共用方式為


New-ActivityAlert

此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。 如需詳細資訊,請參閱 安全 & 性合規性 PowerShell

使用 New-ActivityAlert Cmdlet 在 Microsoft 365 Defender 入口網站或Microsoft Purview 合規性入口網站中建立活動警示。 當使用者在 Microsoft 365 中執行特定活動時,活動警示會傳送電子郵件通知給您。

如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法

Syntax

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet,您必須獲指派許可權。 如需詳細資訊,請參閱Microsoft 365 Defender入口網站中的許可權或Microsoft Purview 合規性入口網站中的許可權

範例

範例 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

此範例會建立名為外部共用警示的新活動警示,其具有下列屬性:

  • 作業:sharinginvitationcreated。
  • NotifyUser: chrisda@contoso.com 和 michelle@contoso.com 。
  • UserId: laura@contoso.com 和 julia@contoso.com 。
  • 描述:和 的 laura@contoso.comjulia@contoso.com 外部共用事件通知。

參數

-Category

Category 參數會指定活動警訊的類別。 有效值為:

  • 無 (這是預設值)
  • DataLossPrevention
  • ThreatManagement
  • DataGovernance
  • AccessGovernance
  • 其他人
Type:AlertRuleCategory
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Condition

Condition 參數會指定事件匯總的篩選準則。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。

  • 例如,具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停,可強制您在繼續之前確認命令。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:-Confirm:$false
  • 其他大部分的 Cmdlet (例如,New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Description 參數會指定活動警訊的選用描述。 如果值包含空格,請使用引號 (") 括住值。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Disabled 參數會指定已啟用或已停用活動警訊。 有效值為:

  • $true:活動警示已停用。
  • $false:活動警示已啟用。 這是預設值。
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-EmailCulture

EmailCulture 參數會指定通知電子郵件訊息的語言。

此參數的有效輸入是Microsoft .NET Framework CultureInfo 類別支援的文化特性程式碼值。 例如,丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊,請參閱 CultureInfo 類別

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Multiplier

Multiplier 參數會指定觸發活動警示的事件數目。 這個參數的值表示來自基準值的乘數。

您只能將此參數與 Type 參數值 AnomalousAggregation 搭配使用。

Type:Double
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Name 參數會指定活動警訊的唯一名稱。 最大長度為 64 個字元。 如果值包含空格,請使用引號 (") 括住值。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

NotifyUser 參數會指定通知訊息的電子郵件地址。 您可以指定內部和外部電子郵件地址。

您可以輸入多個以逗號分隔的值。 如果值包含空格或需要引號,請使用下列語法: "Value1","Value2",..."ValueN"

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Operation 參數會指定觸發活動警示的活動。

此參數的有效值是可在 Microsoft 365 稽核記錄中取得的活動。 如需這些活動的描述,請參閱 稽核的活動

您可以輸入多個以逗號分隔的值。 如果值包含空格或需要引號,請使用下列語法: "Value1","Value2",..."ValueN"

如果 Type 參數值為 ElevationOfPrivilege,則無法使用此參數。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordType

RecordType 參數會指定活動警訊的記錄類型標籤。 如需可用值的詳細資訊,請參閱 AuditLogRecordType

當 Type 參數的值為 ElevationOfPrivilege 時,您不能使用此參數。

Type:AuditRecordType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ScopeLevel

ScopeLevel 參數會指定使用 Type 參數值 SimpleAggregation 或 AnomalousAggregation 的活動警示範圍。 有效值為:

  • SingleUser (這是預設值)
  • AllUsers
Type:AlertScopeLevel
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Severity 參數會指定活動警訊的嚴重性層級。 有效值為:

  • 低 (這是預設值)
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Threshold 參數會指定在 TimeWindow 參數所指定的時間間隔內觸發活動警訊的事件數目。 此參數的最小值為 3。

您只能將此參數與 Type 參數值 SimpleAggregation 搭配使用。

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

TimeWindow 參數會指定 Threshold 參數所使用的時間範圍 (以分鐘為單位)。

您只能將此參數與 Type 參數值 SimpleAggregation 搭配使用。

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Type

Type 參數會指定類型警示。 有效值為:

  • 自訂:系統會針對您使用 Operation 參數指定的活動建立警示。 一般而言,如果您不使用 Type 參數,而且您使用 Operations 參數指定活動,則不需要使用此值 (,則會自動將 Custom 值新增至 Type 屬性) 。
  • ElevationOfPrivilege:此值即將淘汰。
  • SimpleAggregation:會根據 Operation 和 Condition 參數所定義的活動、Threshold 參數所指定的活動數目,以及 TimeWindow 參數所指定的時間週期來建立警示。
  • AnomalousAggregation:警示是根據 Operation 和 Condition 參數所定義的活動,以及 Multiplier 參數所指定的活動數目來建立。

注意:您無法變更現有活動警示中的 Type 值。

Type:AlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserId

UserId 參數會指定您要監視的人員。

  • 如果您指定使用者的電子郵件地址,您會在使用者執行指定的活動時收到電子郵件通知。 您可以指定以逗號隔開的多個電子郵件地址。
  • 如果這個參數為空白 ($null),當您組織中的任何使用者執行指定的活動時,您會收到電子郵件通知。

您只能將此參數與 Type 參數值 Custom 或 ElevationOfPrivilege 搭配使用。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

WhatIf 參數無法在安全 & 性合規性 PowerShell 中運作。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance