New-ProtectionAlert
Questo cmdlet è disponibile solo in PowerShell per sicurezza e conformità. Per altre informazioni, vedere PowerShell per sicurezza e conformità.
Usare il cmdlet New-ProtectionAlert per creare criteri di avviso nel Portale di conformità di Microsoft Purview e nel portale di Microsoft Defender. I criteri di avviso contengono condizioni che definiscono le attività utente da monitorare e le opzioni di notifica per gli avvisi e le voci di posta elettronica.
Nota
Anche se il cmdlet è disponibile, si riceve l'errore seguente se non si dispone di una licenza enterprise:
La creazione di criteri di avviso avanzati richiede una sottoscrizione Office 365 E5 o Office 365 E3 con un Office 365 Threat Intelligence o Office 365 sottoscrizione del componente aggiuntivo EquivioAnalytics per l'organizzazione. Con la sottoscrizione corrente, è possibile creare solo avvisi di eventi singoli.
È possibile ignorare questo errore specificando -AggregationType None
e -Operation
all'interno del comando .
Per altre informazioni, vedere Criteri di avviso in Microsoft 365.
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Descrizione
Per usare questo cmdlet in PowerShell per sicurezza e conformità, è necessario disporre delle autorizzazioni. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.
Esempio
Esempio 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None
In questo esempio viene creato un criterio di avviso che attiva un avviso ogni volta che un utente dell'organizzazione elimina una ricerca contenuto nel Portale di conformità di Microsoft Purview.
Parametri
-AggregationType
Il parametro AggregationType specifica il modo in cui il criterio di avviso attiva gli avvisi in caso di più occorrenze di un'attività monitorata. I valori validi sono:
- Nessuno: vengono attivati avvisi per ogni occorrenza dell'attività.
- SimpleAggregation: gli avvisi vengono attivati in base al volume di attività in un determinato intervallo di tempo (i valori dei parametri Threshold e TimeWindow). Questo è il valore predefinito.
- AnomalousAggregation: gli avvisi vengono attivati quando il volume di attività raggiunge livelli insoliti (supera notevolmente la linea di base normale stabilita per l'attività). Si noti che possono essere necessari fino a 7 giorni prima che Microsoft 365 stabilisca la baseline. Durante il periodo di calcolo della baseline, non viene generato alcun avviso per l'attività.
Tipo: | AlertAggregationType |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-AlertBy
Il parametro AlertBy consente di specificare l'ambito per i criteri di avviso aggregati. I valori validi sono determinati dal valore dal parametro ThreatType:
- Attività: i valori validi sono User o $null (vuoto, ovvero il valore predefinito). Se non si usa il valore User, l'ambito del criterio di avviso si riferisce all'intera organizzazione.
- Malware: i valori validi sono Mail.Recipient o Mail.ThreatName.
Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-AlertFor
Questo parametro è riservato all'uso interno da parte di Microsoft.
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Category
Il parametro Category consente di specificare una categoria per i criteri di avviso. I valori validi sono:
- AccessGovernance
- ComplianceManager
- DataGovernance
- Flusso di posta
- Altri
- PrivacyManagement
- Supervisione
- ThreatManagement
Quando si verifica un'attività che soddisfa le condizioni del criterio di avviso, l'avviso generato è contrassegnato con la categoria specificata da questo parametro. In questo modo è possibile controllare e gestire gli avvisi che hanno la stessa impostazione di categoria
Tipo: | AlertRuleCategory |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | True |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Comment
Il parametro Comment consente di specificare un commento facoltativo. Se si specifica un valore che contiene degli spazi, è necessario racchiuderlo tra virgolette ("); ad esempio: "Questa è una nota per amministratori".
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Confirm
L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.
- I cmdlet distruttivi (ad esempio, i cmdlet Remove-*) dispongono di una pausa incorporata che impone all'utente di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi:
-Confirm:$false
. - La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non dispone di una pausa incorporata. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Tipo: | SwitchParameter |
Alias: | cf |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
Tipo: | System.Guid |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
Tipo: | PswsHashtable |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Description
Il parametro Description consente di specificare una descrizione per il criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Disabled
Il parametro Disabled consente di attivare o disattivare il criterio di avviso. I valori validi sono:
- $true: i criteri di avviso sono disabilitati.
- $false: i criteri di avviso sono abilitati. Questo è il valore predefinito.
Tipo: | Boolean |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Filter
Il parametro Filter usa la sintassi OPATH per filtrare i risultati in base alle proprietà e ai valori specificati. I criteri di ricerca usano la sintassi "Property -ComparisonOperator 'Value'"
.
- Racchiudere l'intero filtro OPATH tra virgolette doppie " ". Se il filtro contiene valori di sistema (ad esempio,
$true
,$false
o$null
), usare le virgolette singole ''. Sebbene questo parametro sia una stringa (non un blocco di sistema), è anche possibile usare le parentesi graffe { }, ma solo se il filtro non contiene variabili. - La proprietà è una proprietà filtrabile.
- ComparisonOperator è un operatore di confronto OPATH, ad esempio
-eq
per equals e-like
per il confronto di stringhe. Per ulteriori informazioni sugli operatori di confronto, vedere about_Comparison_Operators. - Il valore è il valore della proprietà da cercare. Racchiudere valori di testo e variabili tra virgolette singole (
'Value'
o'$Variable'
). Se un valore variabile contiene virgolette singole, è necessario identificare (escape) le virgolette singole per espandere correttamente la variabile. Ad esempio, invece di'$User'
, usare'$($User -Replace "'","''")'
. Non racchiudere valori interi o di sistema tra virgolette, ad esempio usare500
,$true
,$false
o$null
.
È possibile concatenare più criteri di ricerca usando l'operatore logico -and
, "Criteria1 -and Criteria2"
ad esempio .
Per informazioni dettagliate sui filtri OPATH in Exchange, vedere Informazioni aggiuntive sulla sintassi OPATH.
Le proprietà filtrabili sono:
Attività
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Posta:Direzione
- Posta elettronica:Da
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Posta elettronica:Lingua
- Posta elettronica:Destinatario
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Posta:Oggetto
- Mail:TenantId
- Mail:ThreatName
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Name
Il parametro Name specifica il nome univoco del criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
Tipo: | String |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | True |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotificationCulture
Il parametro NotificationCulture consente di specificare la lingua o le impostazioni internazionali da utilizzare per le notifiche.
L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.
Tipo: | CultureInfo |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
Tipo: | Boolean |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotifyUser
Il parametro NotifyUser consente di specificare l'indirizzo SMTP dell'utente che riceve i messaggi di notifica relativi al criterio di avviso. È possibile specificare più valori separati da virgole.
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | True |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotifyUserOnFilterMatch
Il parametro NotifyUserOnFilterMatch specifica se attivare un avviso per un singolo evento quando i criteri di avviso sono configurati per l'attività aggregata. I valori validi sono:
- $true: anche se l'avviso è configurato per l'attività aggregata, viene attivata una notifica durante una corrispondenza per l'attività (in pratica, un avviso anticipato).
- $false: gli avvisi vengono attivati in base al tipo di aggregazione specificato. Questo è il valore predefinito.
Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).
Tipo: | Boolean |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Il parametro NotifyUserSuppressionExpiryDate consente di specificare se sospendere temporaneamente le notifiche del criterio di avviso. Fino all'ora-data specificata, non vengono inviate notifiche per le attività rilevate.
Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'uso del formato di data breve MM/gg/aaaa, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".
Tipo: | DateTime |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotifyUserThrottleThreshold
Il parametro NotifyUserThrottleThreshold consente di specificare il numero massimo di notifiche del criterio di avviso nel periodo di tempo specificato dal parametro NotifyUserThrottleWindow. Una volta raggiunto il numero massimo di notifiche nel periodo di tempo, non vengono inviate altre notifiche per l'avviso. I valori validi sono:
- Un numero intero.
- Il valore $null. Questo è il valore predefinito (nessun numero massimo di notifiche per un avviso).
Tipo: | Int32 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-NotifyUserThrottleWindow
Il parametro NotifyUserThrottleWindow specifica l'intervallo di tempo in minuti usato dal parametro NotifyUserThrottleThreshold. I valori validi sono:
- Un numero intero.
- Il valore $null. Questo è il valore predefinito (nessun intervallo per la limitazione delle richieste di notifica).
Tipo: | Int32 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Operation
Il parametro Operation consente di specificare le attività monitorate dai criteri di avviso. Per l'elenco delle attività disponibili, vedere la scheda Attività controllate in Attività controllate.
Sebbene questo parametro sia tecnicamente in grado di accettare più valori separati da virgole, più valori non funzionano.
È possibile utilizzare questo parametro solo quando il valore del parametro ThreatType è Activity.
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
Tipo: | MultiValuedProperty |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
Tipo: | System.UInt64 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Severity
Il parametro Severity consente di specificare la gravità del rilevamento. I valori validi sono:
- Basso (questo è il valore predefinito)
- Medio
- Alto
Tipo: | RuleSeverity |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-ThreatType
Il parametro ThreatType specifica il tipo di attività che vengono monitorate dal criterio di avviso. I valori validi sono:
- Attività
- Malware
Il valore selezionato per questo parametro determina i valori che è possibile utilizzare per i parametri AlertBy, Filter, e Operation.
Non è possibile modificare questo valore dopo aver creato il criterio di avviso.
Tipo: | ThreatAlertType |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | True |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-Threshold
Il parametro Threshold consente di specificare il numero di rilevamenti che attivano i criteri di avviso entro il periodo di tempo specificato dal parametro TimeWindow. Un valore valido è un numero intero maggiore o uguale a 3.
È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.
Tipo: | Int32 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-TimeWindow
Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti per un numero di rilevamenti specificato dal parametro Threshold. Un valore valido è un numero intero maggiore di 60 (un'ora).
È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.
Tipo: | Int32 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
Tipo: | System.Boolean |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
Tipo: | System.UInt64 |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |
-WhatIf
Il parametro WhatIf non funziona in PowerShell per sicurezza e conformità.
Tipo: | SwitchParameter |
Alias: | wi |
Posizione: | Named |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Si applica a: | Security & Compliance |