New-ActivityAlert

模組:

ExchangePowerShell

適用於:

Security & Compliance

此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。 如需詳細資訊，請參閱 安全 & 性合規性 PowerShell。

使用 New-ActivityAlert Cmdlet 在 Microsoft 365 Defender 入口網站或Microsoft Purview 合規性入口網站中建立活動警示。 當使用者在 Microsoft 365 中執行特定活動時，活動警示會傳送電子郵件通知給您。

如需下方＜語法＞一節中參數集的詳細資訊，請參閱 Exchange Cmdlet 語法。

Syntax

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet，您必須獲指派許可權。 如需詳細資訊，請參閱Microsoft 365 Defender入口網站中的許可權或Microsoft Purview 合規性入口網站中的許可權。

範例

範例 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

此範例會建立名為外部共用警示的新活動警示，其具有下列屬性：

• 作業：sharinginvitationcreated。
• NotifyUser： chrisda@contoso.com 和 michelle@contoso.com 。
• UserId： laura@contoso.com 和 julia@contoso.com 。
• 描述：和 的 laura@contoso.comjulia@contoso.com 外部共用事件通知。

參數

-Category

Category 參數會指定活動警訊的類別。 有效值為：

• 無 (這是預設值)
• DataLossPrevention
• ThreatManagement
• DataGovernance
• AccessGovernance
• 其他人

Type:	AlertRuleCategory
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Condition

Condition 參數會指定事件匯總的篩選準則。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Confirm

Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。

• 例如，具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停，可強制您在繼續之前確認命令。 對於這些 Cmdlet，您可以使用以下確切語法來略過確認提示：-Confirm:$false。
• 其他大部分的 Cmdlet (例如，New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時，指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

Description 參數會指定活動警訊的選用描述。 如果值包含空格，請使用引號 (") 括住值。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Disabled

Disabled 參數會指定已啟用或已停用活動警訊。 有效值為：

• $true：活動警示已停用。
• $false：活動警示已啟用。 這是預設值。

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-EmailCulture

EmailCulture 參數會指定通知電子郵件訊息的語言。

此參數的有效輸入是Microsoft .NET Framework CultureInfo 類別支援的文化特性程式碼值。 例如，丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊，請參閱 CultureInfo 類別。

Type:	CultureInfo
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Multiplier

Multiplier 參數會指定觸發活動警示的事件數目。 這個參數的值表示來自基準值的乘數。

您只能將此參數與 Type 參數值 AnomalousAggregation 搭配使用。

Type:	Double
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Name

Name 參數會指定活動警訊的唯一名稱。 最大長度為 64 個字元。 如果值包含空格，請使用引號 (") 括住值。

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-NotifyUser

NotifyUser 參數會指定通知訊息的電子郵件地址。 您可以指定內部和外部電子郵件地址。

您可以輸入多個以逗號分隔的值。 如果值包含空格或需要引號，請使用下列語法： "Value1","Value2",..."ValueN" 。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operation

Operation 參數會指定觸發活動警示的活動。

此參數的有效值是可在 Microsoft 365 稽核記錄中取得的活動。 如需這些活動的描述，請參閱 稽核的活動。

您可以輸入多個以逗號分隔的值。 如果值包含空格或需要引號，請使用下列語法： "Value1","Value2",..."ValueN" 。

如果 Type 參數值為 ElevationOfPrivilege，則無法使用此參數。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordType

RecordType 參數會指定活動警訊的記錄類型標籤。 如需可用值的詳細資訊，請參閱 AuditLogRecordType。

當 Type 參數的值為 ElevationOfPrivilege 時，您不能使用此參數。

Type:	AuditRecordType
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-ScopeLevel

ScopeLevel 參數會指定使用 Type 參數值 SimpleAggregation 或 AnomalousAggregation 的活動警示範圍。 有效值為：

• SingleUser (這是預設值)
• AllUsers

Type:	AlertScopeLevel
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Severity

Severity 參數會指定活動警訊的嚴重性層級。 有效值為：

• 無
• 低 (這是預設值)
• 中
• 高

Type:	RuleSeverity
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Threshold

Threshold 參數會指定在 TimeWindow 參數所指定的時間間隔內觸發活動警訊的事件數目。 此參數的最小值為 3。

您只能將此參數與 Type 參數值 SimpleAggregation 搭配使用。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-TimeWindow

TimeWindow 參數會指定 Threshold 參數所使用的時間範圍 (以分鐘為單位)。

您只能將此參數與 Type 參數值 SimpleAggregation 搭配使用。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Type

Type 參數會指定類型警示。 有效值為：

• 自訂：系統會針對您使用 Operation 參數指定的活動建立警示。 一般而言，如果您不使用 Type 參數，而且您使用 Operations 參數指定活動，則不需要使用此值 (，則會自動將 Custom 值新增至 Type 屬性) 。
• ElevationOfPrivilege：此值即將淘汰。
• SimpleAggregation：會根據 Operation 和 Condition 參數所定義的活動、Threshold 參數所指定的活動數目，以及 TimeWindow 參數所指定的時間週期來建立警示。
• AnomalousAggregation：警示是根據 Operation 和 Condition 參數所定義的活動，以及 Multiplier 參數所指定的活動數目來建立。

注意：您無法變更現有活動警示中的 Type 值。

Type:	AlertType
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserId

UserId 參數會指定您要監視的人員。

• 如果您指定使用者的電子郵件地址，您會在使用者執行指定的活動時收到電子郵件通知。 您可以指定以逗號隔開的多個電子郵件地址。
• 如果這個參數為空白 ($null)，當您組織中的任何使用者執行指定的活動時，您會收到電子郵件通知。

您只能將此參數與 Type 參數值 Custom 或 ElevationOfPrivilege 搭配使用。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-WhatIf

WhatIf 參數無法在安全 & 性合規性 PowerShell 中運作。

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance