New-ActivityAlert

Módulo:

ExchangePowerShell

Se aplica a:

Security & Compliance

Este cmdlet solo está disponible en PowerShell de cumplimiento de seguridad & . Para obtener más información, consulte Security & Compliance PowerShell.

Use el cmdlet New-ActivityAlert para crear alertas de actividad en el portal de Microsoft 365 Defender o en el portal de cumplimiento Microsoft Purview. Las alertas de actividad le envían notificaciones por correo electrónico cuando los usuarios realizan actividades específicas en Microsoft 365.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Syntax

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar este cmdlet en PowerShell de cumplimiento de seguridad & , debe tener asignados permisos. Para obtener más información, vea Permisos en el portal de Microsoft 365 Defender o Permisos en el portal de cumplimiento Microsoft Purview.

Ejemplos

Ejemplo 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

En este ejemplo se crea una nueva alerta de actividad denominada Alerta de uso compartido externo que tiene las siguientes propiedades:

• Operación: sharinginvitationcreated.
• NotifyUser: chrisda@contoso.com y michelle@contoso.com.
• UserId: laura@contoso.com y julia@contoso.com.
• Descripción: notificación para eventos de uso compartido externo por laura@contoso.com y julia@contoso.com.

Parámetros

-Category

El parámetro Category especifica una categoría para la alerta de actividad. Los valores admitidos son:

• None (este es el valor predeterminado)
• DataLossPrevention
• ThreatManagement
• DataGovernance
• AccessGovernance
• Otros

Type:	AlertRuleCategory
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Condition

El parámetro Condition especifica condiciones de filtro para la agregación de eventos.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

• Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
• La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

El parámetro Description especifica una descripción opcional para la alerta de actividad. Si el valor contiene espacios, escriba el valor entre comillas (").

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Disabled

El parámetro Disabled especifica si la alerta de actividad está habilitada o deshabilitada. Los valores admitidos son:

• $true: la alerta de actividad está deshabilitada.
• $false: la alerta de actividad está habilitada. Este es el valor predeterminado.

Type:	Boolean
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-EmailCulture

El parámetro EmailCulture especifica el idioma del mensaje de correo electrónico de notificación.

La entrada válida para este parámetro es un valor de código de referencia cultural admitido de la Microsoft clase CultureInfo de .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, vea CultureInfo (clase).

Type:	CultureInfo
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Multiplier

El parámetro Multiplier especifica el número de eventos que desencadenan una alerta de actividad. El valor de este parámetro indica un multiplicador de un valor de línea base.

Este parámetro solo se puede usar con el valor AnomalousAggregation del parámetro Type.

Type:	Double
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Name

El parámetro Name especifica el nombre único de la alerta de actividad. La longitud máxima es de 64 caracteres. Si el valor contiene espacios, escríbalo entre comillas (").

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-NotifyUser

El parámetro NotifyUser especifica las direcciones de correo electrónico de los mensajes de notificación. Puede especificar direcciones de correo electrónico externas e internas.

Update Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN".

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operation

El parámetro Operation especifica la actividad que desencadena una alerta de actividad.

Un valor válido para este parámetro es una actividad que está disponible en el registro de auditoría de Microsoft 365. Para obtener una descripción de estas actividades, consulte Actividades auditadas.

Update Si los valores contienen espacios o necesitan comillas, use la siguiente sintaxis: "Value1","Value2",..."ValueN".

No puede usar este parámetro si el valor del parámetro Type es ElevationOfPrivilege.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordType

El parámetro RecordType especifica una etiqueta de tipo de registro para la alerta de actividad. Para obtener más información sobre los valores disponibles, vea AuditLogRecordType.

Este parámetro no se puede usar cuando el valor del parámetro Type es ElevationOfPrivilege.

Type:	AuditRecordType
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-ScopeLevel

El parámetro ScopeLevel especifica el ámbito de las alertas de actividad que usan los valores de parámetro Type SimpleAggregation o AnomalousAggregation. Los valores admitidos son:

• SingleUser (este es el valor predeterminado)
• AllUsers

Type:	AlertScopeLevel
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Severity

El parámetro Severity especifica un nivel de gravedad para la alerta de actividad. Los valores admitidos son:

• Ninguno
• Bajo (este es el valor predeterminado)
• Mediano
• Alto

Type:	RuleSeverity
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Threshold

El parámetro Threshold especifica el número de eventos que desencadenan una alerta de actividad en el intervalo de tiempo especificado por el parámetro TimeWindow. El valor mínimo para este parámetro es 3.

Este parámetro solo se puede usar con el valor SimpleAggregation del parámetro Type.

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-TimeWindow

El parámetro TimeWindow especifica la ventana de tiempo en minutos que usa el parámetro Threshold.

Este parámetro solo se puede usar con el valor SimpleAggregation del parámetro Type.

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Type

El parámetro Type especifica el tipo de alerta. Los valores admitidos son:

• Personalizado: se crea una alerta para las actividades especificadas con el parámetro Operation. Normalmente, no es necesario usar este valor (si no usa el parámetro Type y especifica las actividades con el parámetro Operations, el valor Personalizado se agrega automáticamente a la propiedad Type).
• ElevationOfPrivilege: este valor se está retirando.
• SimpleAggregation: se crea una alerta basada en las actividades definidas por los parámetros Operation y Condition, el número de actividades especificadas por el parámetro Threshold y el período de tiempo especificado por el parámetro TimeWindow.
• AnomalousAggregation: se crea una alerta basada en las actividades definidas por los parámetros Operation y Condition, y en el número de actividades especificadas por el parámetro Multiplier.

Nota: No puede cambiar el valor Type en una alerta de actividad existente.

Type:	AlertType
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserId

El parámetro UserId especifica quién quiere supervisar.

• Si especifica una dirección de correo electrónico de usuario, recibirá una notificación de correo electrónico cuando el usuario realice la actividad especificada. Puede especificar varias direcciones de correo electrónico separadas por comas.
• Si este parámetro está en blanco ($null), recibirá una notificación de correo electrónico cuando cualquier usuario de su organización realice la actividad especificada.

Este parámetro solo se puede usar con los valores Custom o ElevationOfPrivilege del parámetro Type.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-WhatIf

El modificador WhatIf no funciona en PowerShell de cumplimiento de seguridad & .

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance