New-ActivityAlert
Dieses Cmdlet ist nur in PowerShell zur Sicherheitskonformität & verfügbar. Weitere Informationen finden Sie unter Security & Compliance PowerShell.
Verwenden Sie das Cmdlet New-ActivityAlert, um Aktivitätswarnungen im Microsoft 365 Defender-Portal oder im Microsoft Purview-Complianceportal zu erstellen. Aktivitätswarnungen senden Ihnen E-Mail-Benachrichtigungen, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
New-ActivityAlert
-Multiplier <Double>
-Name <String>
-NotifyUser <MultiValuedProperty>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Threshold <Int32>
-TimeWindow <Int32>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Operation <MultiValuedProperty>
[-Type <AlertType>]
[-Category <AlertRuleCategory>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Beschreibung
Um dieses Cmdlet in PowerShell für Sicherheitskonformität & verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft 365 Defender-Portal oder Berechtigungen im Microsoft Purview-Complianceportal.
Beispiele
Beispiel 1
New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"In diesem Beispiel wird eine neue Aktivitätswarnung namens „External Sharing Alert“ mit den folgenden Eigenschaften erstellt:
- Vorgang: freigabeinvitationcreated.
- NotifyUser: chrisda@contoso.com und michelle@contoso.com.
- UserId: laura@contoso.com und julia@contoso.com.
- Beschreibung: Benachrichtigung für externe Freigabeereignisse nach laura@contoso.com und julia@contoso.com.
Parameter
-Category
Der Parameter Category gibt eine Kategorie für die Aktivitätswarnung. Gültige Werte sind:
- None (Dies ist der Standardwert)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Sonstige
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Der Parameter Condition gibt Filterbedingungen für die Ereignisaggregation an.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Der Parameter Description gibt eine optionale Beschreibung der Aktivitätswarnung an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Der Parameter Disabled legt fest, ob die Aktivitätswarnung aktiviert oder deaktiviert ist. Gültige Werte sind:
- $true: Die Aktivitätswarnung ist deaktiviert.
- $false: Die Aktivitätswarnung ist aktiviert. Dies ist der Standardwert.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Der Parameter EmailCulture gibt die Sprache der Benachrichtigungs-E-Mail an.
Gültige Eingabe für diesen Parameter ist ein unterstützter Kulturcodewert aus der Microsoft .NET Framework CultureInfo-Klasse. Beispiel: da-DK für Dänisch oder ja-JP für Japanisch. Weitere Informationen finden Sie unter CultureInfo-Klasse.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Der Parameter Multiplier gibt die Anzahl der Ereignisse an, die eine Aktivitätswarnung auslösen. Der Wert dieses Parameters deutet auf einen Multiplikator aus einem Basislinienwert hin.
Sie können nur diesen Parameter zusammen mit dem Type-Parameterwert AnomalousAggregation verwenden.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Der Parameter Name legt den eindeutigen Namen der Aktivitätswarnung fest. Die Höchstlänge beträgt 64 Zeichen. Wenn der Wert Leerzeichen enthält, müssen Sie ihn in Anführungszeichen (") setzen.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Der Parameter NotifyUser gibt die E-Mail-Adressen an, die Benachrichtigungen erhalten sollen. Sie können sowohl interne als auch externe E-Mail-Adressen angeben.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Der Parameter Operation gibt die Aktivität an, die eine Aktivitätswarnung auslöst.
Ein gültiger Wert für diesen Parameter ist eine Aktivität, die im Microsoft 365-Überwachungsprotokoll verfügbar ist. Eine Beschreibung dieser Aktivitäten finden Sie unter Überwachte Aktivitäten.
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN".
Wenn der Type-Parameterwert ElevationOfPrivilege ist, können Sie diesen Parameter nicht verwenden.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Der Parameter RecordType gibt ein Datensatztyp-Label für die Aktivitätswarnung an. Ausführliche Informationen zu den verfügbaren Werten finden Sie unter AuditLogRecordType.
Verwenden Sie diesen Parameter nicht, wenn Sie für den Parameter Type den Wert ElevationOfPrivilege festgelegt haben.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Der Parameter ScopeLevel gibt den Bereich für Aktivitätswarnungen an, die die Type-Parameterwerte SimpleAggregation oder AnomalousAggregation verwenden. Gültige Werte sind:
- SingleUser (Dies ist der Standardwert)
- AllUsers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Der Parameter Severity gibt den Schweregrad für die Aktivitätswarnung an. Gültige Werte sind:
- Keine
- Niedrig (Dies ist der Standardwert)
- Mittel
- Hoch
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Der Parameter Threshold gibt die Anzahl an Ereignissen an, die eine Aktivitätswarnung innerhalb des vom Parameter TimeWindow angegebenen Zeitintervalls auslöst. Der niedrigste Wert für diesen Parameter ist 3.
Sie können diesen Parameter nur zusammen mit dem Type-Parameterwert SimpleAggregation verwenden.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Der Parameter TimeWindow gibt das durch den Parameter Threshold verwendete Zeitfenster in Minuten an.
Sie können diesen Parameter nur zusammen mit dem Type-Parameterwert SimpleAggregation verwenden.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Type
Der Parameter Type gibt die Typwarnung an. Gültige Werte sind:
- Benutzerdefiniert: Für die Aktivitäten, die Sie mit dem Parameter Operation angeben, wird eine Warnung erstellt. In der Regel müssen Sie diesen Wert nicht verwenden (wenn Sie den Type-Parameter nicht verwenden und die Aktivitäten mit dem Operations-Parameter angeben, wird der Wert Custom automatisch der Type-Eigenschaft hinzugefügt).
- ElevationOfPrivilege: Dieser Wert wird eingestellt.
- SimpleAggregation: Eine Warnung wird basierend auf den Aktivitäten erstellt, die durch die Parameter Operation und Condition definiert werden, der Anzahl von Aktivitäten, die durch den Threshold-Parameter angegeben werden, und dem zeitraum, der durch den TimeWindow-Parameter angegeben wird.
- AnomaleAggregation: Eine Warnung wird basierend auf den Aktivitäten erstellt, die durch die Parameter Operation und Condition definiert werden, und der Anzahl der Aktivitäten, die durch den Multiplikatorparameter angegeben werden.
Hinweis: Der Wert Type kann in einer bestehenden Aktivitätswarnung nicht geändert werden.
| Type: | AlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Der Parameter UserId legt fest, wen Sie überwachen möchten.
- Wenn Sie hier die E-Mail-Adresse eines Benutzers angeben, erhalten Sie eine E-Mail-Benachrichtigung, sobald der Benutzer die angegebene Aktivität ausführt. Mehrere E-Mail-Adressen können durch Kommas getrennt angegeben werden.
- Wenn Sie den Parameter leer lassen ($null), erhalten Sie eine E-Mail-Benachrichtigung, wann immer ein beliebiger Benutzer in Ihrer Organisation die angegebene Aktivität ausführt.
Sie können diesen Parameter nur zusammen mit dem Type-Parameterwert Custom oder ElevationOfPrivilege verwenden.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Der WhatIf-Schalter funktioniert in PowerShell für Sicherheitskonformität & nicht.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |