Set-ActivityAlert
此 cmdlet 仅在安全性 & 合规性 PowerShell 中可用。 有关详细信息,请参阅 安全性 & 合规性 PowerShell。
使用 Set-ActivityAlert cmdlet 在Microsoft 365 Defender门户或Microsoft Purview 合规门户修改活动警报。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Set-ActivityAlert
[-Identity] <ComplianceRuleIdParameter>
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-Multiplier <Double>]
[-NotifyUser <MultiValuedProperty>]
[-Operation <MultiValuedProperty>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] 说明
若要在安全性 & 合规性 PowerShell 中使用此 cmdlet,需要分配权限。 有关详细信息,请参阅Microsoft 365 Defender门户中的权限或Microsoft Purview 合规门户中的权限。
示例
示例 1
$NU = Get-ActivityAlert "Contoso Elevation of Privilege"
$NU.NotifyUser.Add("chris@fabrikam.com")
Set-ActivityAlert "Contoso Elevation of Privilege" -NotifyUser $NU.NotifyUser本示例将外部用户 chris@fabrikam.com 添加到电子邮件通知发送到的活动警报(名为 Contoso 特权提升)的收件人列表中。
注意:若要从收件人列表中删除现有电子邮件地址,请将值 NotifyUser.Add 更改为 NotifyUser.Remove。
示例 2
Set-ActivityAlert -Identity "External Sharing Alert" -Disabled $true此示例禁用名为“外部共享提醒”的现有活动提醒。
参数
-Category
Category 参数指定活动提醒的类别。 有效值包含:
- 无 (这是默认值)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- 其他
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Condition 参数指定事件聚合的筛选条件。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet (例如,Remove-* cmdlet) 具有内置的暂停,该暂停会强制你在继续操作之前确认命令。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 大多数其他 cmdlet (例如,New-* 和 Set-* cmdlet) 没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Description 参数指定活动提醒的可选说明。 如果值中有空格,请使用双引号 (") 将此值括起来。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Disabled 参数指定启用还是禁用活动提醒。 有效值包含:
- $true:活动警报已禁用。
- $false:活动警报已启用。 此值为默认值。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
EmailCulture 参数指定通知电子邮件的语言。
此参数的有效输入是 Microsoft .NET Framework CultureInfo 类支持的区域性代码值。 例如,da-DK 表示丹麦语,ja-JP 表示日语。 有关详细信息,请参阅 CultureInfo 类。
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Identity 参数指定要修改的活动提醒。 可以使用唯一标识该活动提醒的任何值。 例如:
- 名称
- 可分辨名称 (DN)
- GUID
| Type: | ComplianceRuleIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
乘数参数指定触发活动警报的事件数。 该参数的值表示基准值的乘数。
只能对类型属性值 AnomalousAggregation 的活动警报使用此参数。
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
NotifyUser 参数指定将接收通知电子邮件的收件人的电子邮件地址。 可以指定内部和外部电子邮件地址。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
要修改现有收件人列表,请参阅“示例”部分。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Operation 参数指定触发活动警报的活动。
此参数的有效值是在 Microsoft 365 审核日志中可用的活动。 有关这些活动的说明,请参阅 已审核的活动。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
对于用于修改现有 Operations 值列表的语法,请参阅“示例”部分。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
RecordType 参数指定活动提醒的记录类型标签。 有关可用值的详细信息,请参阅 AuditLogRecordType。
Type 参数的值为 ElevationOfPrivilege 时,无法使用此参数。
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
ScopeLevel 参数指定使用 Type 参数值 SimpleAggregation 或 AnomalousAggregation 的活动警报的范围。 有效值包含:
- SingleUser (这是默认值)
- AllUsers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Severity 参数指定活动提醒的安全级别。 有效值包含:
- 无
- 低 (这是默认值)
- 中
- 高
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Threshold 参数指定在 TimeWindow 参数指定的时间间隔内触发活动提醒的事件数。 此参数的最小值是 3。
只能对具有 Type 属性值 SimpleAggregation 的活动警报使用此参数。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
TimeWindow 参数指定 Threshold 参数使用的时间范围(以分钟为单位)。
只能对具有 Type 属性值 SimpleAggregation 的活动警报使用此参数。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
UserId 参数指定要监测的用户。
- 如果指定用户的电子邮件地址,则当该用户执行指定的活动时,你会收到电子邮件通知。 可以指定多个电子邮件地址,中间用逗号分隔。
- 如果此参数为空 ($null),那么当组织中的任何用户执行指定活动时,你都会收到电子邮件通知。
Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"。
对于具有 Type 属性值 Custom 或 ElevationOfPrivilege 的活动提醒,只能使用此参数。
对于用于修改现有 UserId 值列表的语法,请参阅“示例”部分。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
WhatIf 开关在安全 & 合规性 PowerShell 中不起作用。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈