New-ProtectionAlert
Este cmdlet solo está disponible en PowerShell de cumplimiento de seguridad & . Para obtener más información, consulte Security & Compliance PowerShell.
Use el cmdlet New-ProtectionAlert para crear directivas de alerta en el portal de cumplimiento Microsoft Purview. Las directivas de alerta contienen condiciones que definen las actividades de usuario que se van a supervisar y las opciones de notificación para las alertas y entradas de correo electrónico en el portal de cumplimiento Microsoft Purview.
Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.
Syntax
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Description
Para usar este cmdlet en PowerShell de cumplimiento de seguridad & , debe tener asignados permisos. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.
Ejemplos
Ejemplo 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType NoneEn este ejemplo se crea una directiva de alerta que desencadena una alerta cada vez que alguien de la organización elimina una búsqueda de contenido en el portal de cumplimiento Microsoft Purview.
Parámetros
-AggregationType
El parámetro AggregationType especifica cómo la directiva de alerta desencadena alertas para varias apariciones de la actividad supervisada. Los valores admitidos son:
- Ninguno: se desencadenan alertas para cada aparición de la actividad.
- SimpleAggregation: las alertas se desencadenan en función del volumen de actividad en un período de tiempo determinado (los valores de los parámetros Threshold y TimeWindow). Este es el valor predeterminado.
- AnomalousAggregation: las alertas se desencadenan cuando el volumen de actividad alcanza niveles inusuales (supera en gran medida la línea base normal establecida para la actividad). Tenga en cuenta que Microsoft 365 puede tardar hasta 7 días en establecer la línea base. Durante el período de cálculo de línea base, no se genera ninguna alerta para la actividad.
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
El parámetro AlertBy especifica el ámbito de las directivas de alerta agregadas. Los valores válidos se determinan mediante el valor del parámetro ThreatType:
- Actividad: los valores válidos son User o $null (en blanco, que es el valor predeterminado). Si no usa el valor User, el ámbito de la directiva de alertas es toda la organización.
- Malware: los valores válidos son Mail.Recipient o Mail.ThreatName.
No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
Este parámetro está reservado para uso interno de Microsoft.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
El parámetro Category especifica una categoría para la directiva de alertas. Los valores admitidos son:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Otros
- PrivacyManagement
- Supervisión
- ThreatManagement
Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. Esto permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de categoría
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
El parámetro Comment especifica un comentario opcional. Si especifica un valor que contenga espacios, escríbalo entre comillas ("), por ejemplo: "Esto es una nota del administrador".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.
- Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta:
-Confirm:$false. - La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
El parámetro Description especifica un texto descriptivo para la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
El parámetro Disabled habilita o deshabilita la directiva de alerta. Los valores admitidos son:
- $true: la directiva de alertas está deshabilitada.
- $false: la directiva de alertas está habilitada. Este es el valor predeterminado.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
El parámetro Filter usa la sintaxis de OPATH para filtrar los resultados por las propiedades y valores especificados. Los criterios de búsqueda usan la sintaxis "Property -ComparisonOperator 'Value'".
- Incluya todo el filtro de OPATH entre comillas dobles " ". Si el filtro contiene valores del sistema (por ejemplo, ,
$true$falseo$null), use comillas simples ' ' en su lugar. Aunque este parámetro es una cadena (no un bloque del sistema), también puede usar llaves { }, pero solo si el filtro no contiene variables. - La propiedad es una propiedad filtrable.
- ComparisonOperator es un operador de comparación de OPATH (por ejemplo
-eq, para igual y-likepara la comparación de cadenas). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators. - Value es el valor de propiedad que se va a buscar. Incluya valores de texto y variables entre comillas simples (
'Value'o'$Variable'). Si un valor de variable contiene comillas simples, debe identificar (escape) las comillas simples para expandir la variable correctamente. Por ejemplo, en lugar de'$User', use'$($User -Replace "'","''")'. No incluya enteros ni valores del sistema entre comillas (por ejemplo, use500,$true,$falseo$nullen su lugar).
Puede encadenar varios criterios de búsqueda mediante el operador lógico -and (por ejemplo, "Criteria1 -and Criteria2").
Para obtener información detallada sobre los filtros de OPATH en Exchange, consulte Información adicional de la sintaxis de OPATH.
Las propiedades filtrables son:
Actividad
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
El parámetro Name especifica el nombre único de la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
El parámetro NotificationCulture especifica el idioma o configuración regional que se usa para las notificaciones.
La entrada válida para este parámetro es un valor de código de referencia cultural compatible de la clase CultureInfo de Microsoft .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, vea CultureInfo (clase).
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
El parámetro NotifyUser especifica la dirección SMTP del usuario que recibe los mensajes de notificación de la directiva de alerta. Puede especificar distintos valores separados por comas.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
El parámetro NotifyUserOnFilterMatch especifica si se desencadena una alerta para un único evento cuando la directiva de alertas está configurada para la actividad agregada. Los valores admitidos son:
- $true: aunque la alerta está configurada para la actividad agregada, se desencadena una notificación durante una coincidencia para la actividad (básicamente, una advertencia temprana).
- $false: las alertas se desencadenan según el tipo de agregación especificado. Este es el valor predeterminado.
No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
El parámetro NotifyUserSuppressionExpiryDate especifica si se van a suspender temporalmente las notificaciones de la directiva de alerta. Hasta la fecha y hora especificadas, no se envía ninguna notificación para actividades detectadas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
El parámetro NotifyUserThrottleThreshold especifica el número máximo de notificaciones de la directiva de alerta dentro del período de tiempo especificado por el parámetro NotifyUserThrottleWindow. Cuando se alcanza el número máximo de notificaciones en el período de tiempo, no se envían más notificaciones para la alerta. Los valores válidos son:
- El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
- El valor $null. Este es el valor predeterminado (no hay ningún número máximo de notificaciones para una alerta).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
El parámetro NotifyUserThrottleWindow especifica el intervalo de tiempo en minutos que usa el parámetro NotifyUserThrottleThreshold. Los valores admitidos son:
- El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
- El valor $null. Es el valor predeterminado (ningún intervalo de límite de notificaciones).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
El parámetro Operation especifica las actividades que supervisa la directiva de alertas. Para obtener la lista de actividades disponibles, consulte la pestaña Actividades auditadas en Actividades auditadas.
Aunque este parámetro es técnicamente capaz de aceptar varios valores separados por comas, varios valores no funcionan.
Solo puede usar este parámetro cuando el parámetro ThreatType tiene el valor Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
El parámetro Severity especifica la gravedad de la detección. Los valores admitidos son:
- Bajo (este es el valor predeterminado)
- Mediano
- Alto
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
El parámetro ThreatType especifica el tipo de actividades que supervisa la directiva de alerta. Los valores admitidos son:
- Actividad
- Malware
El valor que seleccione para este parámetro determina los valores que puede usar para los parámetros AlertBy, Filter y Operation.
No se puede cambiar este valor después de crear la directiva de alerta.
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
El parámetro Threshold especifica el número de detecciones que desencadenan la directiva de alertas dentro del período de tiempo especificado por el parámetro TimeWindow. Un valor válido es un entero que es mayor o igual que 3.
Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
El parámetro TimeWindow especifica el intervalo de tiempo en minutos del número de detecciones especificado por el parámetro Threshold. Un valor válido es un entero que es mayor que 60 (una hora).
Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
El modificador WhatIf no funciona en PowerShell de cumplimiento de seguridad & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de