New-ProtectionAlert
此 cmdlet 仅在安全性 & 合规性 PowerShell 中可用。 有关详细信息,请参阅 安全性 & 合规性 PowerShell。
使用 New-ProtectionAlert cmdlet 在Microsoft Purview 合规门户中创建警报策略。 警报策略包含定义要监视的用户活动的条件,以及Microsoft Purview 合规门户中电子邮件警报和条目的通知选项。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] 说明
若要在安全性 & 合规性 PowerShell 中使用此 cmdlet,需要分配权限。 有关详细信息,请参阅 Microsoft Purview 合规门户中的权限。
示例
示例 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None此示例创建一个警报策略,每当组织中的任何人删除Microsoft Purview 合规门户中的内容搜索时,都会触发警报。
参数
-AggregationType
AggregationType 参数指定提醒策略如何针对受监控的活动多次出现的情况触发提醒。 有效值包含:
- 无:每次发生活动时都会触发警报。
- SimpleAggregation:根据给定时间窗口中的活动量触发警报, (阈值和 TimeWindow 参数的值) 。 此值为默认值。
- AnomalousAggregation:当活动量达到异常水平 (大大超出为活动) 建立的正常基线时,将触发警报。 请注意,Microsoft 365 最长可能需要 7 天才能建立基线。 在基线计算期间,不会为活动生成警报。
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
AlertBy 参数指定聚合警报策略的范围。 有效值由 ThreatType 参数值决定:
- 活动:有效值为 User 或$null (空白,这是) 的默认值。 如果不使用值 User,则提醒策略的范围是整个组织。
- 恶意软件:有效值为 Mail.Recipient 或 Mail.ThreatName。
AggregationType 参数值为 None 时,不能使用此参数(每次出现此活动均会触发提醒)。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
保留此参数以供 Microsoft 内部使用。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Category 参数指定警报策略的类别。 有效值包含:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- 其他
- PrivacyManagement
- 监督
- ThreatManagement
当发生与提醒策略的条件匹配的活动时,生成的提醒将使用此参数指定的类别进行标记。 这允许你跟踪和管理具有相同类别设置的提醒
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Comment 参数指定可选注释。 如果您指定包含空格的值,为该值加上双引号("),例如:"这是管理员备注"。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet (例如,Remove-* cmdlet) 具有内置的暂停,该暂停会强制你在继续操作之前确认命令。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 大多数其他 cmdlet (例如,New-* 和 Set-* cmdlet) 没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Description 参数指定提醒策略说明文本。 如果值中有空格,请使用双引号 (") 将此值括起来。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Disabled 参数启用或禁用提醒策略。 有效值包含:
- $true:警报策略已禁用。
- $false:已启用警报策略。 此值为默认值。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Filter 参数使用 OPATH 语法按指定的属性和值筛选结果。 搜索条件使用 语法 "Property -ComparisonOperator 'Value'"。
- 将整个 OPATH 筛选器括在双引号“”中。 如果筛选器包含系统值 (,例如
$true、$false或$null) ,请改用单引号 ' 。 虽然此参数是一个字符串 (不是) 的系统块,但也可以使用大括号 { },但前提是筛选器不包含变量。 - 属性是可筛选的属性。
- ComparisonOperator 是一个 OPATH 比较运算符, (例如
-eq用于等于和-like字符串比较) 。 有关比较运算符的详细信息,请参阅 about_Comparison_Operators。 - Value 是要搜索的属性值。 将文本值和变量括在单引号 (
'Value'或'$Variable') 。 如果变量值包含单引号,则需要识别 (转义) 单引号才能正确展开变量。 例如,使用'$($User -Replace "'","''")'而不是'$User'。 不要将整数或系统值括在引号 (例如,改用500、$true、$false或$null) 。
可以使用逻辑 -and 运算符 ((例如 "Criteria1 -and Criteria2" ,) )将多个搜索条件链接在一起。
有关 Exchange 中的 OPATH 筛选器的详细信息,请参阅 其他 OPATH 语法信息。
可筛选属性包括:
活动
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
恶意软件
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Name 参数指定提醒策略的唯一名称。 如果值中有空格,请使用双引号 (") 将此值括起来。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
NotificationCulture 参数指定用于通知的语言或区域设置。
此参数的有效输入是 Microsoft .NET Framework CultureInfo 类支持的区域性代码值。 例如,da-DK 表示丹麦语,ja-JP 表示日语。 有关详细信息,请参阅 CultureInfo 类。
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
NotifyUser 参数指定接收提醒策略通知邮件的用户的 SMTP 地址。 可以指定用逗号分隔的多个值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
NotifyUserOnFilterMatch 参数指定在为聚合活动配置警报策略时是否为单个事件触发警报。 有效值包含:
- $true:即使为聚合活动配置了警报,但在活动 (匹配期间会触发通知,) 早期警告。
- $false:根据指定的聚合类型触发警报。 此值为默认值。
AggregationType 参数值为 None 时,不能使用此参数(每次出现此活动均会触发提醒)。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
NotifyUserSuppressionExpiryDate 参数指定是否暂时挂起提醒策略的通知。 在指定的日期时间之前,不会为检测到的活动发送任何通知。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果将计算机配置为使用短日期格式 mm/dd/yyyy,请输入 09/01/2018 来指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
NotifyUserThrottleThreshold 参数指定在 NotifyUserThrottleWindow 参数指定的时间段内提醒策略的最大通知数。 在该时间段内达到最大通知数后,不会再为该提醒发送更多通知。 有效值为:
- SyncSchedule 参数指定 ???。此参数的有效值是:
- 值 $null。 此为默认值(提醒的通知数没有上限)。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
NotifyUserThrottleWindow 参数指定 NotifyUserThrottleThreshold 参数使用的时间间隔(以分钟为单位)。 有效值包含:
- SyncSchedule 参数指定 ???。此参数的有效值是:
- 值 $null。 此为默认值(无通知间隔限制)。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Operation 参数指定警报策略监视的活动。 有关可用活动的列表,请参阅已审核活动中的“ 已审核活动”选项卡。
尽管此参数在技术上能够接受用逗号分隔的多个值,但多个值不起作用。
ThreatType 参数的值为 Activity 时,只可使用此参数。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Severity 参数指定检测的严重性。 有效值包含:
- 低 (这是默认值)
- 中
- 高
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
ThreatType 参数指定由提醒策略监视的活动的类型。 有效值包含:
- 活动
- 恶意软件
为此参数选择的值确定可用于 AlertBy、Filter 和 Operation 参数的值。
创建提醒策略后将无法更改此值。
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Threshold 参数指定在 TimeWindow 参数指定的时间段内触发警报策略的检测数。 有效值是大于或等于 3 的整数。
AggregationType 参数值为 SimpleAggregation 时,只能使用此参数。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
TimeWindow 参数指定由 Threshold 参数指定的检测次数的时间间隔(以分钟为单位)。 有效值是大于 60(一个小时)的整数。
AggregationType 参数值为 SimpleAggregation 时,只能使用此参数。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
WhatIf 开关在安全 & 合规性 PowerShell 中不起作用。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |