共用方式為


New-ProtectionAlert

此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。 如需詳細資訊,請參閱 安全 & 性合規性 PowerShell

使用 New-ProtectionAlert Cmdlet 在Microsoft Purview 合規性入口網站中建立警示原則。 警示原則包含定義要監視之使用者活動的條件,以及Microsoft Purview 合規性入口網站中電子郵件警示和專案的通知選項。

如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet,您必須獲指派許可權。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限

範例

範例 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

此範例會建立警示原則,每當組織中的任何人刪除Microsoft Purview 合規性入口網站中的內容搜尋時,就會觸發警示。

參數

-AggregationType

AggregationType 參數會針對多次發生的監視活動指定警訊原則如何觸發警訊。 有效值為:

  • 無:每次發生活動時都會觸發警示。
  • SimpleAggregation:警示會根據指定時間範圍中的活動量觸發, (Threshold 和 TimeWindow 參數的值) 。 這是預設值。
  • 異常匯總:當活動量達到異常層級時,會觸發警示 (大幅超過針對活動) 建立的一般基準。 請注意,Microsoft 365 最多可能需要 7 天的時間來建立基準。 在基準計算期間,不會產生活動的警示。
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

AlertBy 參數會指定匯總警示原則的範圍。 有效值由 ThreatType 參數值決定︰

  • 活動:有效值為使用者或$null (空白,這是預設值) 。 如果不使用值 User,則警訊原則的範圍是整個組織。
  • 惡意程式碼:有效值為 Mail.Recipient 或 Mail.ThreatName。

當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

將保留此參數供 Microsoft 內部使用。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Category 參數會指定警示原則的類別。 有效值為:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • 其他人
  • PrivacyManagement
  • 監督
  • ThreatManagement

當符合警訊原則條件的活動發生時,產生的警訊就會標記為此參數所指定的類別。 這可讓您追蹤和管理有相同類別設定的警訊

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Comment 參數會指定選擇性註解。 如果指定的值含有空格,則必須以雙引號 (") 括住值,例如︰"This is an admin note"。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。

  • 例如,具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停,可強制您在繼續之前確認命令。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:-Confirm:$false
  • 其他大部分的 Cmdlet (例如,New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ 填滿 CorrelationPolicyId 描述 }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ 填入 CustomProperties 描述 }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Description 參數會指定警訊原則的描述文字。 如果值包含空格,請使用引號 (") 括住值。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Disabled 參數會啟用或停用警訊原則。 有效值為:

  • $true:已停用警示原則。
  • $false:已啟用警示原則。 這是預設值。
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Filter 參數會使用 OPATH 語法,依指定的屬性和值來篩選結果。 搜尋準則使用語法 "Property -ComparisonOperator 'Value'"

  • 以雙引號 「」 括住整個 OPATH 篩選準則。 如果篩選條件包含系統值 (例如 $true$false$null),請改為使用單引號 ' '。 雖然此參數是字串 (不是系統區塊),您也可以使用大括弧 { },但只有在篩選條件不包含變數時。
  • Property 是可篩選的屬性。
  • ComparisonOperator 是 OPATH 比較運算子 (例如 -eq equals 和 -like 字串比較) 。 如需比較運算子的詳細資訊,請參閱 about_Comparison_Operators
  • Value 是要搜尋的屬性值。 以單引號括住文字值和變數 ('Value''$Variable')。 如果變數值包含單引號,您必須識別 (逸出) 單引號,以正確展開變數。 例如,使用 '$($User -Replace "'","''")',而不是 '$User'。 請勿以引號括住整數或系統值 (例如,請改用 500$true$false$null) 。

您可以使用邏輯 -and 運算子 (將多個搜尋準則鏈結在一起,例如, "Criteria1 -and Criteria2") 。

如需 Exchange 中 OPATH 篩選的詳細資訊,請參閱 其他 OPATH 語法資訊

可篩選的屬性如下:

活動

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

惡意程式碼

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Language
  • 郵件:收件者
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Name 參數會指定警訊原則的唯一名稱。 如果值包含空格,請使用引號 (") 括住值。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

NotificationCulture 參數會指定用作通知的語言或地區設定。

此參數的有效輸入是來自 Microsoft .NET Framework CultureInfo 類別的支援文化特性程式碼值。 例如,丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊,請參閱 CultureInfo 類別

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ 填滿通知啟用描述 }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

NotifyUser 參數會指定接收到警訊原則通知訊息的使用者 SMTP 位址。 您可以指定多個以逗號分隔的值。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

NotifyUserOnFilterMatch 參數會指定在針對匯總活動設定警示原則時,是否要觸發單一事件的警示。 有效值為:

  • $true:即使已針對匯總活動設定警示,在符合活動期間仍會觸發通知 (基本上是早期警告) 。
  • $false:警示會根據指定的匯總類型觸發。 這是預設值。

當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

NotifyUserSuppressionExpiryDate 參數會指定是否暫時停止警訊原則的通知。 直到指定的日期-時間為止,偵測到的活動皆不會傳送通知。

在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定成使用簡短日期格式 mm/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

NotifyUserThrottleThreshold 參數會指定在 NotifyUserThrottleWindow 參數所指定的期間內警訊原則通知的最大數目。 一旦在期間內達到最大通知數目,就不會再針對警訊傳送通知。 有效值為:

  • SyncSchedule 參數會指定 ???。此參數的有效值為:
  • 值 $null。 此為預設值 (沒有針對警訊的最大通知數目)。
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

NotifyUserThrottleWindow 參數會以分鐘為單位指定 NotifyUserThrottleThreshold 參數所使用的時間間隔。 有效值為:

  • SyncSchedule 參數會指定 ???。此參數的有效值為:
  • 值 $null。 此為預設值 (沒有通知節流的間隔)。
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Operation 參數會指定警示原則所監視的活動。 如需可用活動的清單,請參閱稽核活動中的 [稽 核的活動] 索引標籤。

雖然此參數在技術上能夠接受以逗號分隔的多個值,但多個值無法運作。

只有在 ThreatType 參數具有值 Activity 時您才能使用此參數。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Severity 參數會指定偵測的嚴重性。 有效值為:

  • 低 (這是預設值)
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

ThreatType 參數會指定受警訊原則監視的活動類型。 有效值為:

  • 活動
  • 惡意程式碼

您為此參數選取的值會決定可以使用在 AlertBy、Filter 和 Operation 參數的值。

建立警訊原則之後,無法變更這個值。

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Threshold 參數會指定在 TimeWindow 參數所指定的期間內觸發警示原則的偵測數目。 有效值是大於或等於 3 的整數。

只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

TimeWindow 參數會針對 Threshold 參數所指定的偵測數目來指定時間間隔 (以分鐘為單位)。 有效值是大於 60 (一小時) 的整數。

只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

WhatIf 參數無法在安全 & 性合規性 PowerShell 中運作。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance