New-ProtectionAlert

Módulo:

ExchangePowerShell

Se aplica a:

Security & Compliance

Este cmdlet está disponible solo en Security & Compliance PowerShell. Para obtener más información, consulte Security & Compliance PowerShell.

Use el cmdlet New-ProtectionAlert para crear directivas de alerta en el portal de cumplimiento Microsoft Purview y el portal de Microsoft Defender. Las directivas de alerta contienen condiciones que definen las actividades de usuario que se van a supervisar y las opciones de notificación para las alertas y entradas de correo electrónico.

Nota:

Aunque el cmdlet está disponible, recibirá el siguiente error si no tiene una licencia de empresa:

La creación de directivas de alerta avanzada requiere una suscripción de Office 365 E5 o Office 365 E3 suscripción con una suscripción de Office 365 Threat Intelligence o Office 365 complemento EquivioAnalytics para su organización. Con la suscripción actual, solo se pueden crear alertas de eventos únicos.

Puede omitir este error especificando -AggregationType None y dentro -Operation del comando .

Para obtener más información, consulte Directivas de alerta en Microsoft 365.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Sintaxis

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar este cmdlet en Security & Compliance PowerShell, debe tener asignados permisos. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.

Ejemplos

Ejemplo 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

En este ejemplo se crea una directiva de alerta que desencadena una alerta cada vez que alguien de la organización elimina una búsqueda de contenido en el portal de cumplimiento Microsoft Purview.

Parámetros

-AggregationType

El parámetro AggregationType especifica cómo la directiva de alerta desencadena alertas para varias apariciones de la actividad supervisada. Los valores admitidos son:

• Ninguno: se desencadenan alertas para cada aparición de la actividad.
• SimpleAggregation: las alertas se desencadenan en función del volumen de actividad en un período de tiempo determinado (los valores de los parámetros Threshold y TimeWindow). Este es el valor predeterminado.
• AnomalousAggregation: las alertas se desencadenan cuando el volumen de actividad alcanza niveles inusuales (supera en gran medida la línea base normal establecida para la actividad). Tenga en cuenta que Microsoft 365 puede tardar hasta 7 días en establecer la línea base. Durante el período de cálculo de línea base, no se genera ninguna alerta para la actividad.

Tipo:	AlertAggregationType
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-AlertBy

El parámetro AlertBy especifica el ámbito de las directivas de alerta agregadas. Los valores válidos se determinan mediante el valor del parámetro ThreatType:

• Actividad: los valores válidos son User o $null (en blanco, que es el valor predeterminado). Si no usa el valor User, el ámbito de la directiva de alertas es toda la organización.
• Malware: los valores válidos son Mail.Recipient o Mail.ThreatName.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-AlertFor

Este parámetro está reservado para uso interno de Microsoft.

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Category

El parámetro Category especifica una categoría para la directiva de alertas. Los valores admitidos son:

• AccessGovernance
• ComplianceManager
• DataGovernance
• MailFlow
• Otros
• PrivacyManagement
• Supervisión
• ThreatManagement

Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. Esto permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de categoría

Tipo:	AlertRuleCategory
Posición:	Named
Valor predeterminado:	None
Requerido:	True
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Comment

El parámetro Comment especifica un comentario opcional. Si especifica un valor que contenga espacios, escríbalo entre comillas ("), por ejemplo: "Esto es una nota del administrador".

Tipo:	String
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

• Los cmdlets destructivos (por ejemplo, los cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
• La mayoría de los otros cmdlets (por ejemplo, New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.

Tipo:	SwitchParameter
Alias:	cf
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Tipo:	System.Guid
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Tipo:	PswsHashtable
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Description

El parámetro Description especifica un texto descriptivo para la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Tipo:	String
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Disabled

El parámetro Disabled habilita o deshabilita la directiva de alerta. Los valores admitidos son:

• $true: la directiva de alertas está deshabilitada.
• $false: la directiva de alertas está habilitada. Este es el valor predeterminado.

Tipo:	Boolean
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Filter

El parámetro Filter usa la sintaxis de OPATH para filtrar los resultados por las propiedades y valores especificados. Los criterios de búsqueda usan la sintaxis "Property -ComparisonOperator 'Value'".

• Incluya todo el filtro de OPATH entre comillas dobles " ". Si el filtro contiene valores del sistema (por ejemplo, , $true$falseo $null), use comillas simples ' ' en su lugar. Aunque este parámetro es una cadena (no un bloque del sistema), también puede usar llaves { }, pero solo si el filtro no contiene variables.
• La propiedad es una propiedad filtrable.
• ComparisonOperator es un operador de comparación de OPATH (por ejemplo -eq , para igual y -like para la comparación de cadenas). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators.
• Value es el valor de propiedad que se va a buscar. Incluya valores de texto y variables entre comillas simples ('Value' o '$Variable'). Si un valor de variable contiene comillas simples, debe identificar (escape) las comillas simples para expandir la variable correctamente. Por ejemplo, en lugar de '$User', use '$($User -Replace "'","''")'. No incluya enteros ni valores del sistema entre comillas (por ejemplo, use 500, $true, $falseo $null en su lugar).

Puede encadenar varios criterios de búsqueda mediante el operador lógico -and (por ejemplo, "Criteria1 -and Criteria2").

Para obtener información detallada sobre los filtros de OPATH en Exchange, consulte Información adicional de la sintaxis de OPATH.

Las propiedades filtrables son:

Actividad

• Activity.ClientIp
• Activity.CreationTime
• Activity.Item
• Activity.ItemType
• Activity.Operation
• Activity.ResultStatus
• Activity.Scope
• Activity.SiteUrl
• Activity.SourceFileExtension
• Activity.SourceFileName
• Activity.TargetUserOrGroupType
• Activity.UserAgent
• Activity.UserId
• Activity.UserType
• Activity.Workload

Malware

• Mail:AttachmentExtensions
• Mail:AttachmentNames
• Mail:CreationTime
• Mail:DeliveryStatus
• Mail:Direction
• Mail:From
• Mail:FromDomain
• Mail:InternetMessageId
• Mail:IsIntraOrgSpoof
• Mail:IsMalware
• Mail:IsSpam
• Mail:IsThreat
• Mail:Language
• Mail:Recipient
• Mail:Scl
• Mail:SenderCountry
• Mail:SenderIpAddress
• Mail:Subject
• Mail:TenantId
• Mail:ThreatName

Tipo:	String
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Tipo:	String
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Name

El parámetro Name especifica el nombre único de la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Tipo:	String
Posición:	Named
Valor predeterminado:	None
Requerido:	True
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotificationCulture

El parámetro NotificationCulture especifica el idioma o configuración regional que se usa para las notificaciones.

La entrada válida para este parámetro es un valor de código de referencia cultural compatible de la clase CultureInfo de Microsoft .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, consulte Clase CultureInfo.

Tipo:	CultureInfo
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Tipo:	Boolean
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotifyUser

El parámetro NotifyUser especifica la dirección SMTP del usuario que recibe los mensajes de notificación de la directiva de alerta. Puede especificar distintos valores separados por comas.

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	True
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotifyUserOnFilterMatch

El parámetro NotifyUserOnFilterMatch especifica si se desencadena una alerta para un único evento cuando la directiva de alertas está configurada para la actividad agregada. Los valores admitidos son:

• $true: aunque la alerta está configurada para la actividad agregada, se desencadena una notificación durante una coincidencia para la actividad (básicamente, una advertencia temprana).
• $false: las alertas se desencadenan según el tipo de agregación especificado. Este es el valor predeterminado.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Tipo:	Boolean
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotifyUserSuppressionExpiryDate

El parámetro NotifyUserSuppressionExpiryDate especifica si se van a suspender temporalmente las notificaciones de la directiva de alerta. Hasta la fecha y hora especificadas, no se envía ninguna notificación para actividades detectadas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta MM/dd/aaaa, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Tipo:	DateTime
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotifyUserThrottleThreshold

El parámetro NotifyUserThrottleThreshold especifica el número máximo de notificaciones de la directiva de alerta dentro del período de tiempo especificado por el parámetro NotifyUserThrottleWindow. Cuando se alcanza el número máximo de notificaciones en el período de tiempo, no se envían más notificaciones para la alerta. Los valores válidos son:

• El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
• El valor $null. Este es el valor predeterminado (no hay ningún número máximo de notificaciones para una alerta).

Tipo:	Int32
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-NotifyUserThrottleWindow

El parámetro NotifyUserThrottleWindow especifica el intervalo de tiempo en minutos que usa el parámetro NotifyUserThrottleThreshold. Los valores admitidos son:

• El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
• El valor $null. Es el valor predeterminado (ningún intervalo de límite de notificaciones).

Tipo:	Int32
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Operation

El parámetro Operation especifica las actividades que supervisa la directiva de alertas. Para obtener la lista de actividades disponibles, consulte la pestaña Actividades auditadas en Actividades auditadas.

Aunque este parámetro es técnicamente capaz de aceptar varios valores separados por comas, varios valores no funcionan.

Solo puede usar este parámetro cuando el parámetro ThreatType tiene el valor Activity.

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Tipo:	MultiValuedProperty
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Tipo:	System.UInt64
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Severity

El parámetro Severity especifica la gravedad de la detección. Los valores admitidos son:

• Bajo (este es el valor predeterminado)
• Mediano
• Alto

Tipo:	RuleSeverity
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-ThreatType

El parámetro ThreatType especifica el tipo de actividades que supervisa la directiva de alerta. Los valores admitidos son:

• Actividad
• Malware

El valor que seleccione para este parámetro determina los valores que puede usar para los parámetros AlertBy, Filter y Operation.

No se puede cambiar este valor después de crear la directiva de alerta.

Tipo:	ThreatAlertType
Posición:	Named
Valor predeterminado:	None
Requerido:	True
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-Threshold

El parámetro Threshold especifica el número de detecciones que desencadenan la directiva de alertas dentro del período de tiempo especificado por el parámetro TimeWindow. Un valor válido es un entero que es mayor o igual que 3.

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Tipo:	Int32
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-TimeWindow

El parámetro TimeWindow especifica el intervalo de tiempo en minutos del número de detecciones especificado por el parámetro Threshold. Un valor válido es un entero que es mayor que 60 (una hora).

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Tipo:	Int32
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Tipo:	System.Boolean
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Tipo:	System.UInt64
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance

-WhatIf

El modificador WhatIf no funciona en Security & Compliance PowerShell.

Tipo:	SwitchParameter
Alias:	wi
Posición:	Named
Valor predeterminado:	None
Requerido:	False
Aceptar entrada de canalización:	False
Aceptar caracteres comodín:	False
Se aplica a:	Security & Compliance