New-ActivityAlert

模块:

ExchangePowerShell

适用于:

Security & Compliance

此 cmdlet 仅在安全性 & 合规性 PowerShell 中可用。 有关详细信息，请参阅 安全性 & 合规性 PowerShell。

使用 New-ActivityAlert cmdlet 在Microsoft 365 Defender门户或Microsoft Purview 合规门户中创建活动警报。 当用户在 Microsoft 365 中执行特定活动时，活动警报会向你发送电子邮件通知。

有关以下语法部分的参数设置的详细信息，请参阅 Exchange cmdlet 语法。

语法

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

说明

若要在安全性 & 合规性 PowerShell 中使用此 cmdlet，需要分配权限。 有关详细信息，请参阅Microsoft 365 Defender门户中的权限或Microsoft Purview 合规门户中的权限。

示例

示例 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

此示例创建名为“外部共享提醒”的新活动提醒，其具有以下属性：

• 操作：sharinginvitationcreated。
• NotifyUser： chrisda@contoso.com 和 michelle@contoso.com。
• UserId： laura@contoso.com 和 julia@contoso.com。
• 说明：和 的外部laura@contoso.comjulia@contoso.com共享事件通知。

参数

-Category

Category 参数指定活动提醒的类别。 有效值包含:

• 无 (这是默认值)
• DataLossPrevention
• ThreatManagement
• DataGovernance
• AccessGovernance
• 其他

Type:	AlertRuleCategory
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Condition

Condition 参数指定事件聚合的筛选条件。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Confirm

Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。

• 破坏性 cmdlet (例如，Remove-* cmdlet) 具有内置的暂停，该暂停会强制你在继续操作之前确认命令。 对于这些 cmdlet，您可以使用此确切语法跳过确认提示：-Confirm:$false。
• 大多数其他 cmdlet (例如，New-* 和 Set-* cmdlet) 没有内置暂停。 对于这些 cmdlet，指定不含值的 Confirm 开关会引入暂停，从而强制要求你先确认命令，然后再继续操作。

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

Description 参数指定活动提醒的可选说明。 如果值中有空格，请使用双引号 (") 将此值括起来。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Disabled

Disabled 参数指定启用还是禁用活动提醒。 有效值包含:

• $true：活动警报已禁用。
• $false：活动警报已启用。 此值为默认值。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-EmailCulture

EmailCulture 参数指定通知电子邮件的语言。

此参数的有效输入是 Microsoft .NET Framework CultureInfo 类支持的区域性代码值。 例如，da-DK 表示丹麦语，ja-JP 表示日语。 有关详细信息，请参阅 CultureInfo 类。

Type:	CultureInfo
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Multiplier

乘数参数指定触发活动警报的事件数。 该参数的值表示基准值的乘数。

此参数只能与 Type 参数值 AnomalousAggregation 一起使用。

Type:	Double
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Name

Name 参数指定活动提醒的唯一名称。 最大长度为 64 个字符。 如果值中有空格，请使用双引号 (") 将此值括起来。

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-NotifyUser

NotifyUser 参数指定通知邮件的电子邮件地址。 可以指定内部和外部电子邮件地址。

Update 如果值包含空格或需要引号，请使用以下语法： "Value1","Value2",..."ValueN"。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operation

Operation 参数指定触发活动警报的活动。

此参数的有效值是在 Microsoft 365 审核日志中可用的活动。 有关这些活动的说明，请参阅 已审核的活动。

Update 如果值包含空格或需要引号，请使用以下语法： "Value1","Value2",..."ValueN"。

如果 Type 参数值为 ElevationOfPrivilege，则不能使用此参数。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordType

RecordType 参数指定活动提醒的记录类型标签。 有关可用值的详细信息，请参阅 AuditLogRecordType。

Type 参数的值为 ElevationOfPrivilege 时，无法使用此参数。

Type:	AuditRecordType
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-ScopeLevel

ScopeLevel 参数指定使用 Type 参数值 SimpleAggregation 或 AnomalousAggregation 的活动警报的范围。 有效值包含:

• SingleUser (这是默认值)
• AllUsers

Type:	AlertScopeLevel
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Severity

Severity 参数指定活动提醒的安全级别。 有效值包含:

• 无
• 低 (这是默认值)
• 中
• 高

Type:	RuleSeverity
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Threshold

Threshold 参数指定在 TimeWindow 参数指定的时间间隔内触发活动提醒的事件数。 此参数的最小值是 3。

此参数只能与 Type 参数值 SimpleAggregation 一起使用。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-TimeWindow

TimeWindow 参数指定 Threshold 参数使用的时间范围（以分钟为单位）。

此参数只能与 Type 参数值 SimpleAggregation 一起使用。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Type

Type 参数指定类型提醒。 有效值包含:

• 自定义：为使用 Operation 参数指定的活动创建警报。 通常，如果不使用 Type 参数，并且使用 Operations 参数指定活动，则无需 (使用此值，则“自定义”值会自动添加到 Type 属性) 。
• ElevationOfPrivilege：此值即将停用。
• SimpleAggregation：根据操作和条件参数定义的活动、Threshold 参数指定的活动数以及 TimeWindow 参数指定的时间段创建警报。
• AnomalousAggregation：基于操作和条件参数定义的活动以及乘数参数指定的活动数创建警报。

注意：不能更改现有活动提醒中的 Type 值。

Type:	AlertType
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserId

UserId 参数指定要监测的用户。

• 如果指定用户的电子邮件地址，则当该用户执行指定的活动时，你会收到电子邮件通知。 可以指定多个电子邮件地址，中间用逗号分隔。
• 如果此参数为空 ($null)，那么当组织中的任何用户执行指定活动时，你都会收到电子邮件通知。

此参数只能与 Type 参数值 Custom 或 ElevationOfPrivilege 一起使用。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-WhatIf

WhatIf 开关在安全 & 合规性 PowerShell 中不起作用。

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance