New-ProtectionAlert
此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。 如需詳細資訊,請參閱 安全 & 性合規性 PowerShell。
使用 New-ProtectionAlert Cmdlet 在Microsoft Purview 合規性入口網站中建立警示原則。 警示原則包含定義要監視之使用者活動的條件,以及Microsoft Purview 合規性入口網站中電子郵件警示和專案的通知選項。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
Syntax
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Description
若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet,您必須獲指派許可權。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
範例
範例 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None此範例會建立警示原則,每當組織中的任何人刪除Microsoft Purview 合規性入口網站中的內容搜尋時,就會觸發警示。
參數
-AggregationType
AggregationType 參數會針對多次發生的監視活動指定警訊原則如何觸發警訊。 有效值為:
- 無:每次發生活動時都會觸發警示。
- SimpleAggregation:警示會根據指定時間範圍中的活動量觸發, (Threshold 和 TimeWindow 參數的值) 。 這是預設值。
- 異常匯總:當活動量達到異常層級時,會觸發警示 (大幅超過針對活動) 建立的一般基準。 請注意,Microsoft 365 最多可能需要 7 天的時間來建立基準。 在基準計算期間,不會產生活動的警示。
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
AlertBy 參數會指定匯總警示原則的範圍。 有效值由 ThreatType 參數值決定︰
- 活動:有效值為使用者或$null (空白,這是預設值) 。 如果不使用值 User,則警訊原則的範圍是整個組織。
- 惡意程式碼:有效值為 Mail.Recipient 或 Mail.ThreatName。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
將保留此參數供 Microsoft 內部使用。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Category 參數會指定警示原則的類別。 有效值為:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- 其他人
- PrivacyManagement
- 監督
- ThreatManagement
當符合警訊原則條件的活動發生時,產生的警訊就會標記為此參數所指定的類別。 這可讓您追蹤和管理有相同類別設定的警訊
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Comment 參數會指定選擇性註解。 如果指定的值含有空格,則必須以雙引號 (") 括住值,例如︰"This is an admin note"。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。
- 例如,具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停,可強制您在繼續之前確認命令。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:
-Confirm:$false。 - 其他大部分的 Cmdlet (例如,New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ 填滿 CorrelationPolicyId 描述 }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ 填入 CustomProperties 描述 }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Description 參數會指定警訊原則的描述文字。 如果值包含空格,請使用引號 (") 括住值。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Disabled 參數會啟用或停用警訊原則。 有效值為:
- $true:已停用警示原則。
- $false:已啟用警示原則。 這是預設值。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Filter 參數會使用 OPATH 語法,依指定的屬性和值來篩選結果。 搜尋準則使用語法 "Property -ComparisonOperator 'Value'"。
- 以雙引號 「」 括住整個 OPATH 篩選準則。 如果篩選條件包含系統值 (例如
$true、$false或$null),請改為使用單引號 ' '。 雖然此參數是字串 (不是系統區塊),您也可以使用大括弧 { },但只有在篩選條件不包含變數時。 - Property 是可篩選的屬性。
- ComparisonOperator 是 OPATH 比較運算子 (例如
-eqequals 和-like字串比較) 。 如需比較運算子的詳細資訊,請參閱 about_Comparison_Operators。 - Value 是要搜尋的屬性值。 以單引號括住文字值和變數 (
'Value'或'$Variable')。 如果變數值包含單引號,您必須識別 (逸出) 單引號,以正確展開變數。 例如,使用'$($User -Replace "'","''")',而不是'$User'。 請勿以引號括住整數或系統值 (例如,請改用500、$true、$false或$null) 。
您可以使用邏輯 -and 運算子 (將多個搜尋準則鏈結在一起,例如, "Criteria1 -and Criteria2") 。
如需 Exchange 中 OPATH 篩選的詳細資訊,請參閱 其他 OPATH 語法資訊。
可篩選的屬性如下:
活動
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
惡意程式碼
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- 郵件:收件者
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Name 參數會指定警訊原則的唯一名稱。 如果值包含空格,請使用引號 (") 括住值。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
NotificationCulture 參數會指定用作通知的語言或地區設定。
此參數的有效輸入是來自 Microsoft .NET Framework CultureInfo 類別的支援文化特性程式碼值。 例如,丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊,請參閱 CultureInfo 類別。
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ 填滿通知啟用描述 }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
NotifyUser 參數會指定接收到警訊原則通知訊息的使用者 SMTP 位址。 您可以指定多個以逗號分隔的值。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
NotifyUserOnFilterMatch 參數會指定在針對匯總活動設定警示原則時,是否要觸發單一事件的警示。 有效值為:
- $true:即使已針對匯總活動設定警示,在符合活動期間仍會觸發通知 (基本上是早期警告) 。
- $false:警示會根據指定的匯總類型觸發。 這是預設值。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
NotifyUserSuppressionExpiryDate 參數會指定是否暫時停止警訊原則的通知。 直到指定的日期-時間為止,偵測到的活動皆不會傳送通知。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定成使用簡短日期格式 mm/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
NotifyUserThrottleThreshold 參數會指定在 NotifyUserThrottleWindow 參數所指定的期間內警訊原則通知的最大數目。 一旦在期間內達到最大通知數目,就不會再針對警訊傳送通知。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此為預設值 (沒有針對警訊的最大通知數目)。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
NotifyUserThrottleWindow 參數會以分鐘為單位指定 NotifyUserThrottleThreshold 參數所使用的時間間隔。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此為預設值 (沒有通知節流的間隔)。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Operation 參數會指定警示原則所監視的活動。 如需可用活動的清單,請參閱稽核活動中的 [稽 核的活動] 索引標籤。
雖然此參數在技術上能夠接受以逗號分隔的多個值,但多個值無法運作。
只有在 ThreatType 參數具有值 Activity 時您才能使用此參數。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Severity 參數會指定偵測的嚴重性。 有效值為:
- 低 (這是預設值)
- 中
- 高
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
ThreatType 參數會指定受警訊原則監視的活動類型。 有效值為:
- 活動
- 惡意程式碼
您為此參數選取的值會決定可以使用在 AlertBy、Filter 和 Operation 參數的值。
建立警訊原則之後,無法變更這個值。
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Threshold 參數會指定在 TimeWindow 參數所指定的期間內觸發警示原則的偵測數目。 有效值是大於或等於 3 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
TimeWindow 參數會針對 Threshold 參數所指定的偵測數目來指定時間間隔 (以分鐘為單位)。 有效值是大於 60 (一小時) 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
WhatIf 參數無法在安全 & 性合規性 PowerShell 中運作。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |