New-ProtectionAlert
Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.
Usare il cmdlet New-ProtectionAlert per creare criteri di avviso nel Portale di conformità di Microsoft Purview. I criteri di avviso contengono condizioni che definiscono le attività utente da monitorare e le opzioni di notifica per gli avvisi e le voci di posta elettronica nel Portale di conformità di Microsoft Purview.
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Descrizione
Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.
Esempio
Esempio 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType NoneQuesto esempio crea un criterio di avviso che attiva un avviso ogni volta che un utente dell'organizzazione elimina una ricerca contenuto nel Portale di conformità di Microsoft Purview.
Parametri
-AggregationType
Il parametro AggregationType specifica il modo in cui il criterio di avviso attiva gli avvisi in caso di più occorrenze di un'attività monitorata. I valori validi sono:
- Nessuno: vengono attivati avvisi per ogni occorrenza dell'attività.
- SimpleAggregation: gli avvisi vengono attivati in base al volume di attività in un determinato intervallo di tempo (i valori dei parametri Threshold e TimeWindow). Questo è il valore predefinito.
- AnomalousAggregation: gli avvisi vengono attivati quando il volume di attività raggiunge livelli insoliti (supera notevolmente la linea di base normale stabilita per l'attività). Si noti che possono essere necessari fino a 7 giorni prima che Microsoft 365 stabilisca la baseline. Durante il periodo di calcolo della baseline, non viene generato alcun avviso per l'attività.
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
Il parametro AlertBy consente di specificare l'ambito per i criteri di avviso aggregati. I valori validi sono determinati dal valore dal parametro ThreatType:
- Attività: i valori validi sono User o $null (vuoto, ovvero il valore predefinito). Se non si usa il valore User, l'ambito del criterio di avviso si riferisce all'intera organizzazione.
- Malware: i valori validi sono Mail.Recipient o Mail.ThreatName.
Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
Questo parametro è riservato all'uso interno da parte di Microsoft.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Il parametro Category consente di specificare una categoria per i criteri di avviso. I valori validi sono:
- AccessGovernance
- ComplianceManager
- DataGovernance
- Mailflow
- Altri
- PrivacyManagement
- Supervisione
- ThreatManagement
Quando si verifica un'attività che soddisfa le condizioni del criterio di avviso, l'avviso generato è contrassegnato con la categoria specificata da questo parametro. In questo modo è possibile controllare e gestire gli avvisi che hanno la stessa impostazione di categoria
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Il parametro Comment consente di specificare un commento facoltativo. Se si specifica un valore che contiene degli spazi, è necessario racchiuderlo tra virgolette ("); ad esempio: "Questa è una nota per amministratori".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.
- I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi:
-Confirm:$false. - La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Il parametro Description consente di specificare una descrizione per il criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Il parametro Disabled consente di attivare o disattivare il criterio di avviso. I valori validi sono:
- $true: i criteri di avviso sono disabilitati.
- $false: i criteri di avviso sono abilitati. Questo è il valore predefinito.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Il parametro Filter usa la sintassi OPATH per filtrare i risultati in base alle proprietà e ai valori specificati. I criteri di ricerca usano la sintassi "Property -ComparisonOperator 'Value'".
- Racchiudere l'intero filtro OPATH tra virgolette doppie " ". Se il filtro contiene valori di sistema (ad esempio,
$true,$falseo$null), usare le virgolette singole ''. Sebbene questo parametro sia una stringa (non un blocco di sistema), è anche possibile usare le parentesi graffe { }, ma solo se il filtro non contiene variabili. - La proprietà è una proprietà filtrabile.
- ComparisonOperator è un operatore di confronto OPATH, ad esempio
-eqper equals e-likeper il confronto di stringhe. Per ulteriori informazioni sugli operatori di confronto, vedere about_Comparison_Operators. - Il valore è il valore della proprietà da cercare. Racchiudere valori di testo e variabili tra virgolette singole (
'Value'o'$Variable'). Se un valore variabile contiene virgolette singole, è necessario identificare (escape) le virgolette singole per espandere correttamente la variabile. Ad esempio, invece di'$User', usare'$($User -Replace "'","''")'. Non racchiudere valori interi o di sistema tra virgolette, ad esempio usare500,$true,$falseo$null.
È possibile concatenare più criteri di ricerca usando l'operatore logico -and , "Criteria1 -and Criteria2"ad esempio .
Per informazioni dettagliate sui filtri OPATH in Exchange, vedere Informazioni aggiuntive sulla sintassi OPATH.
Le proprietà filtrabili sono:
Attività
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Posta:Direzione
- Posta elettronica:Da
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Posta elettronica:Lingua
- Posta elettronica:Destinatario
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Posta:Oggetto
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Il parametro Name specifica il nome univoco del criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
Il parametro NotificationCulture consente di specificare la lingua o le impostazioni internazionali da utilizzare per le notifiche.
L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Il parametro NotifyUser consente di specificare l'indirizzo SMTP dell'utente che riceve i messaggi di notifica relativi al criterio di avviso. È possibile specificare più valori separati da virgole.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
Il parametro NotifyUserOnFilterMatch specifica se attivare un avviso per un singolo evento quando i criteri di avviso sono configurati per l'attività aggregata. I valori validi sono:
- $true: anche se l'avviso è configurato per l'attività aggregata, viene attivata una notifica durante una corrispondenza per l'attività (in pratica, un avviso anticipato).
- $false: gli avvisi vengono attivati in base al tipo di aggregazione specificato. Questo è il valore predefinito.
Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Il parametro NotifyUserSuppressionExpiryDate consente di specificare se sospendere temporaneamente le notifiche del criterio di avviso. Fino all'ora-data specificata, non vengono inviate notifiche per le attività rilevate.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
Il parametro NotifyUserThrottleThreshold consente di specificare il numero massimo di notifiche del criterio di avviso nel periodo di tempo specificato dal parametro NotifyUserThrottleWindow. Una volta raggiunto il numero massimo di notifiche nel periodo di tempo, non vengono inviate altre notifiche per l'avviso. I valori validi sono:
- Un numero intero.
- Il valore $null. Questo è il valore predefinito (nessun numero massimo di notifiche per un avviso).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
Il parametro NotifyUserThrottleWindow specifica l'intervallo di tempo in minuti usato dal parametro NotifyUserThrottleThreshold. I valori validi sono:
- Un numero intero.
- Il valore $null. Questo è il valore predefinito (nessun intervallo per la limitazione delle richieste di notifica).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Il parametro Operation consente di specificare le attività monitorate dai criteri di avviso. Per l'elenco delle attività disponibili, vedere la scheda Attività controllate in Attività controllate.
Sebbene questo parametro sia tecnicamente in grado di accettare più valori separati da virgole, più valori non funzionano.
È possibile utilizzare questo parametro solo quando il valore del parametro ThreatType è Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Il parametro Severity consente di specificare la gravità del rilevamento. I valori validi sono:
- Basso (questo è il valore predefinito)
- Medio
- Alto
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
Il parametro ThreatType specifica il tipo di attività che vengono monitorate dal criterio di avviso. I valori validi sono:
- Attività
- Malware
Il valore selezionato per questo parametro determina i valori che è possibile utilizzare per i parametri AlertBy, Filter, e Operation.
Non è possibile modificare questo valore dopo aver creato il criterio di avviso.
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Il parametro Threshold consente di specificare il numero di rilevamenti che attivano i criteri di avviso entro il periodo di tempo specificato dal parametro TimeWindow. Un valore valido è un numero intero maggiore o uguale a 3.
È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti per un numero di rilevamenti specificato dal parametro Threshold. Un valore valido è un numero intero maggiore di 60 (un'ora).
È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per