New-ProtectionAlert
此 Cmdlet 僅適用於安全性與合規性 PowerShell。 如需詳細資訊,請參閱 安全性與合規性 PowerShell。
使用 New-ProtectionAlert Cmdlet 在 Microsoft Purview 合規性入口網站 和 Microsoft Defender 入口網站中建立警示原則。 警示原則包含定義要監視之用戶活動的條件,以及電子郵件警示和專案的通知選項。
注意事項
雖然 Cmdlet 可供使用,但如果您沒有企業授權,則會收到下列錯誤:
建立進階警示原則需要 Office 365 E5 訂用帳戶或 Office 365 E3 具有 Office 365 威脅情報的訂用帳戶,或 Office 365 貴組織的 EquivioAnalytics 附加元件訂用帳戶。 使用您目前的訂用帳戶時,只能建立單一事件警示。
您可以在 命令內指定 -AggregationType None 和 -Operation ,以略過此錯誤。
如需詳細資訊,請參閱 Microsoft 365 中的警示原則。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
語法
Default (預設值)
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Description
若要在安全性與合規性 PowerShell 中使用此 Cmdlet,您必須獲得指派權限。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
範例
範例 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None
此範例會建立警示原則,每當組織中的任何人刪除 Microsoft Purview 合規性入口網站 中的內容搜尋時,就會觸發警示。
參數
-AggregationType
適用:安全性 & 合規性
AggregationType 參數會針對多次發生的監視活動指定警訊原則如何觸發警訊。 有效值為:
- 無:每次發生活動時都會觸發警示。
- SimpleAggregation:警示會根據指定時間範圍中的活動量觸發, (Threshold 和 TimeWindow 參數的值) 。 此值為預設值。
- AnomalousAggregation:當活動量達到異常層級時,會觸發警示 (大幅超過針對活動) 建立的一般基準。 Microsoft 365 建立基準最多可能需要 7 天的時間。 在基準計算期間,不會產生活動的警示。
參數屬性
| 類型: | AlertAggregationType |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-AlertBy
適用:安全性 & 合規性
AlertBy 參數會指定匯總警示原則的範圍。 有效值由 ThreatType 參數值決定︰
- 活動:有效值為使用者或$null (空白,這是預設值) 。 如果不使用值 User,則警訊原則的範圍是整個組織。
- 惡意代碼:有效值為 Mail.Recipient 或 Mail.ThreatName。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
注意:需要此參數,才能在警示中顯示實體。 如果沒有,警示會觸發而不顯示實體。 強烈建議您指定此參數的值。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-AlertFor
適用:安全性 & 合規性
將保留此參數供 Microsoft 內部使用。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Category
適用:安全性 & 合規性
Category 參數會指定警示原則的類別。 有效值為:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- 其他人
- PrivacyManagement
- 監督
- ThreatManagement
當符合警訊原則條件的活動發生時,產生的警訊就會標記為此參數所指定的類別。 這可讓您追蹤和管理有相同類別設定的警訊
參數屬性
| 類型: | AlertRuleCategory |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Comment
適用:安全性 & 合規性
Comment 參數會指定選擇性註解。 如果指定的值含有空格,則必須以雙引號 (") 括住值,例如︰"This is an admin note"。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Confirm
適用:安全性 & 合規性
Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。
- 破壞性的 Cmdlet (如 Remove-* cmdlets) 有內建暫停,它會先強迫您確認命令才會繼續作業。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:
-Confirm:$false。 - 其他大部分的 Cmdlet (如 New-* 和 Set-* cmdlets) 則沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | cf |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-CorrelationPolicyId
適用:安全性 & 合規性
{{ 填滿 CorrelationPolicyId 描述 }}
參數屬性
| 類型: | System.Guid |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-CustomProperties
適用:安全性 & 合規性
{{ 填入 CustomProperties 描述 }}
參數屬性
| 類型: | PswsHashtable |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Description
適用:安全性 & 合規性
Description 參數會指定警訊原則的描述文字。 如果值包含空格,請使用引號 (") 括住值。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Disabled
適用:安全性 & 合規性
Disabled 參數會啟用或停用警訊原則。 有效值為:
- $true:已停用警示原則。
- $false:已啟用警示原則。 此值為預設值。
參數屬性
| 類型: | Boolean |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Filter
適用:安全性 & 合規性
Filter 參數會使用 OPATH 語法,依指定的屬性和值來篩選結果。 搜尋準則使用語法 "Property -ComparisonOperator 'Value'"。
- 以雙引號 「括住整個 OPATH 篩選條件」。 如果篩選條件包含系統值 (例如
$true、$false或$null),請改為使用單引號 ' '。 雖然此參數是字串 (不是系統區塊),您也可以使用大括弧 { },但只有在篩選條件不包含變數時。 - Property 是可篩選的屬性。
- ComparisonOperator 是 OPATH 比較運算符 (例如
-eqequals 和-like字串比較) 。 如需比較運算子的詳細資訊,請參閱 about_Comparison_Operators。 - Value 是要搜尋的屬性值。 以單引號括住文字值和變數 (
'Value'或'$Variable')。 如果變數值包含單引號,您必須識別 (逸出) 單引號,以正確展開變數。 例如,使用'$($User -Replace "'","''")',而不是'$User'。 請勿以引弧括住整數或系統值 (例如,請改用500、$true、$false或$null) 。
您可以使用邏輯 -and 運算子 (將多個搜尋準則鏈結在一起,例如, "Criteria1 -and Criteria2") 。
如需 Exchange 中 OPATH 篩選的詳細資訊,請參閱 其他 OPATH 語法資訊。
可篩選的屬性如下:
活動
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
惡意程式碼
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- 郵件:收件者
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-LogicalOperationName
適用:安全性 & 合規性
{{ Fill LogicalOperationName Description }}
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Name
適用:安全性 & 合規性
Name 參數會指定警訊原則的唯一名稱。 如果值包含空格,請使用引號 (") 括住值。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotificationCulture
適用:安全性 & 合規性
NotificationCulture 參數會指定用作通知的語言或地區設定。
此參數的有效輸入是 cultureInfo 類別 .NET Framework Microsoft支援的文化特性程式代碼值。 例如,丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊,請參閱 CultureInfo 類別。
參數屬性
| 類型: | CultureInfo |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotificationEnabled
適用:安全性 & 合規性
{{ 填滿通知啟用描述 }}
參數屬性
| 類型: | Boolean |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotifyUser
適用:安全性 & 合規性
NotifyUser 參數會指定接收到警訊原則通知訊息的使用者 SMTP 位址。 您可以指定多個以逗號分隔的值。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotifyUserOnFilterMatch
適用:安全性 & 合規性
NotifyUserOnFilterMatch 參數會指定在針對匯總活動設定警示原則時,是否要觸發單一事件的警示。 有效值為:
- $true:即使已針對匯總活動設定警示,在符合活動期間仍會觸發通知 (基本上是早期警告) 。
- $false:警示會根據指定的匯總類型觸發。 此值為預設值。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
參數屬性
| 類型: | Boolean |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotifyUserSuppressionExpiryDate
適用:安全性 & 合規性
NotifyUserSuppressionExpiryDate 參數會指定是否暫時停止警訊原則的通知。 直到指定的日期-時間為止,偵測到的活動皆不會傳送通知。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果計算機設定為使用簡短日期格式MM/dd/yyyy,請輸入09/01/2018以指定2018年9月1日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
參數屬性
| 類型: | DateTime |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotifyUserThrottleThreshold
適用:安全性 & 合規性
NotifyUserThrottleThreshold 參數會指定在 NotifyUserThrottleWindow 參數所指定的期間內警訊原則通知的最大數目。 一旦達到時間週期內的通知數目上限,就不會再針對警示傳送通知。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此值是警示) 的預設 (沒有通知數目上限。
參數屬性
| 類型: | Int32 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-NotifyUserThrottleWindow
適用:安全性 & 合規性
NotifyUserThrottleWindow 參數會以分鐘為單位指定 NotifyUserThrottleThreshold 參數所使用的時間間隔。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此值是通知節流) 的預設 (沒有間隔。
參數屬性
| 類型: | Int32 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Operation
適用:安全性 & 合規性
Operation 參數會指定警示原則所監視的活動。 如需可用活動的清單,請參閱稽核活動中的 [稽 核的活動] 索引標籤。
雖然此參數在技術上能夠接受以逗號分隔的多個值,但多個值無法運作。
只有在 ThreatType 參數具有值 Activity 時您才能使用此參數。
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PrivacyManagementScopedSensitiveInformationTypes
適用:安全性 & 合規性
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
適用:安全性 & 合規性
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
參數屬性
| 類型: | MultiValuedProperty |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
適用:安全性 & 合規性
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
參數屬性
| 類型: | System.UInt64 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Severity
適用:安全性 & 合規性
Severity 參數會指定偵測的嚴重性。 有效值為:
- 低 (預設值)
- 中
- 高
參數屬性
| 類型: | RuleSeverity |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-ThreatType
適用:安全性 & 合規性
ThreatType 參數會指定受警訊原則監視的活動類型。 有效值為:
- 活動
- 惡意程式碼
您為此參數選取的值會決定可以使用在 AlertBy、Filter 和 Operation 參數的值。
建立警訊原則之後,無法變更這個值。
參數屬性
| 類型: | ThreatAlertType |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Threshold
適用:安全性 & 合規性
Threshold 參數會指定在 TimeWindow 參數所指定的期間內觸發警示原則的偵測數目。 有效值是大於或等於 3 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
參數屬性
| 類型: | Int32 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-TimeWindow
適用:安全性 & 合規性
TimeWindow 參數會針對 Threshold 參數所指定的偵測數目來指定時間間隔 (以分鐘為單位)。 有效值是大於 60 (一小時) 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
參數屬性
| 類型: | Int32 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-UseCreatedDateTime
適用:安全性 & 合規性
{{ Fill UseCreatedDateTime Description }}
參數屬性
| 類型: | System.Boolean |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-VolumeThreshold
適用:安全性 & 合規性
{{ Fill VolumeThreshold Description }}
參數屬性
| 類型: | System.UInt64 |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-WhatIf
適用:安全性 & 合規性
WhatIf 開關無法在安全性與合規性 PowerShell 中使用。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 無線 |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
CommonParameters
此 Cmdlet 支援一般參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters。