Condividi tramite


New-ProtectionAlert

Questo cmdlet è disponibile solo in PowerShell per sicurezza e conformità. Per altre informazioni, vedere PowerShell per sicurezza e conformità.

Usare il cmdlet New-ProtectionAlert per creare criteri di avviso nel Portale di conformità di Microsoft Purview e nel portale di Microsoft Defender. I criteri di avviso contengono condizioni che definiscono le attività utente da monitorare e le opzioni di notifica per gli avvisi e le voci di posta elettronica.

Nota

Anche se il cmdlet è disponibile, si riceve l'errore seguente se non si dispone di una licenza enterprise:

La creazione di criteri di avviso avanzati richiede una sottoscrizione Office 365 E5 o Office 365 E3 con un Office 365 Threat Intelligence o Office 365 sottoscrizione del componente aggiuntivo EquivioAnalytics per l'organizzazione. Con la sottoscrizione corrente, è possibile creare solo avvisi di eventi singoli.

È possibile ignorare questo errore specificando -AggregationType None e -Operation all'interno del comando .

Per altre informazioni, vedere Criteri di avviso in Microsoft 365.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Descrizione

Per usare questo cmdlet in PowerShell per sicurezza e conformità, è necessario disporre delle autorizzazioni. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.

Esempio

Esempio 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

In questo esempio viene creato un criterio di avviso che attiva un avviso ogni volta che un utente dell'organizzazione elimina una ricerca contenuto nel Portale di conformità di Microsoft Purview.

Parametri

-AggregationType

Il parametro AggregationType specifica il modo in cui il criterio di avviso attiva gli avvisi in caso di più occorrenze di un'attività monitorata. I valori validi sono:

  • Nessuno: vengono attivati avvisi per ogni occorrenza dell'attività.
  • SimpleAggregation: gli avvisi vengono attivati in base al volume di attività in un determinato intervallo di tempo (i valori dei parametri Threshold e TimeWindow). Questo è il valore predefinito.
  • AnomalousAggregation: gli avvisi vengono attivati quando il volume di attività raggiunge livelli insoliti (supera notevolmente la linea di base normale stabilita per l'attività). Si noti che possono essere necessari fino a 7 giorni prima che Microsoft 365 stabilisca la baseline. Durante il periodo di calcolo della baseline, non viene generato alcun avviso per l'attività.
Tipo:AlertAggregationType
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-AlertBy

Il parametro AlertBy consente di specificare l'ambito per i criteri di avviso aggregati. I valori validi sono determinati dal valore dal parametro ThreatType:

  • Attività: i valori validi sono User o $null (vuoto, ovvero il valore predefinito). Se non si usa il valore User, l'ambito del criterio di avviso si riferisce all'intera organizzazione.
  • Malware: i valori validi sono Mail.Recipient o Mail.ThreatName.

Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-AlertFor

Questo parametro è riservato all'uso interno da parte di Microsoft.

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Category

Il parametro Category consente di specificare una categoria per i criteri di avviso. I valori validi sono:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • Flusso di posta
  • Altri
  • PrivacyManagement
  • Supervisione
  • ThreatManagement

Quando si verifica un'attività che soddisfa le condizioni del criterio di avviso, l'avviso generato è contrassegnato con la categoria specificata da questo parametro. In questo modo è possibile controllare e gestire gli avvisi che hanno la stessa impostazione di categoria

Tipo:AlertRuleCategory
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Comment

Il parametro Comment consente di specificare un commento facoltativo. Se si specifica un valore che contiene degli spazi, è necessario racchiuderlo tra virgolette ("); ad esempio: "Questa è una nota per amministratori".

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Confirm

L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.

  • I cmdlet distruttivi (ad esempio, i cmdlet Remove-*) dispongono di una pausa incorporata che impone all'utente di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi: -Confirm:$false.
  • La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non dispone di una pausa incorporata. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Tipo:SwitchParameter
Alias:cf
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Tipo:System.Guid
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Tipo:PswsHashtable
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Description

Il parametro Description consente di specificare una descrizione per il criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Disabled

Il parametro Disabled consente di attivare o disattivare il criterio di avviso. I valori validi sono:

  • $true: i criteri di avviso sono disabilitati.
  • $false: i criteri di avviso sono abilitati. Questo è il valore predefinito.
Tipo:Boolean
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Filter

Il parametro Filter usa la sintassi OPATH per filtrare i risultati in base alle proprietà e ai valori specificati. I criteri di ricerca usano la sintassi "Property -ComparisonOperator 'Value'".

  • Racchiudere l'intero filtro OPATH tra virgolette doppie " ". Se il filtro contiene valori di sistema (ad esempio, $true, $falseo $null), usare le virgolette singole ''. Sebbene questo parametro sia una stringa (non un blocco di sistema), è anche possibile usare le parentesi graffe { }, ma solo se il filtro non contiene variabili.
  • La proprietà è una proprietà filtrabile.
  • ComparisonOperator è un operatore di confronto OPATH, ad esempio -eq per equals e -like per il confronto di stringhe. Per ulteriori informazioni sugli operatori di confronto, vedere about_Comparison_Operators.
  • Il valore è il valore della proprietà da cercare. Racchiudere valori di testo e variabili tra virgolette singole ('Value' o '$Variable'). Se un valore variabile contiene virgolette singole, è necessario identificare (escape) le virgolette singole per espandere correttamente la variabile. Ad esempio, invece di '$User', usare '$($User -Replace "'","''")'. Non racchiudere valori interi o di sistema tra virgolette, ad esempio usare 500, $true, $falseo $null .

È possibile concatenare più criteri di ricerca usando l'operatore logico -and , "Criteria1 -and Criteria2"ad esempio .

Per informazioni dettagliate sui filtri OPATH in Exchange, vedere Informazioni aggiuntive sulla sintassi OPATH.

Le proprietà filtrabili sono:

Attività

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Malware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Posta:Direzione
  • Posta elettronica:Da
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Posta elettronica:Lingua
  • Posta elettronica:Destinatario
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Posta:Oggetto
  • Mail:TenantId
  • Mail:ThreatName
Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Name

Il parametro Name specifica il nome univoco del criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotificationCulture

Il parametro NotificationCulture consente di specificare la lingua o le impostazioni internazionali da utilizzare per le notifiche.

L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.

Tipo:CultureInfo
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Tipo:Boolean
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotifyUser

Il parametro NotifyUser consente di specificare l'indirizzo SMTP dell'utente che riceve i messaggi di notifica relativi al criterio di avviso. È possibile specificare più valori separati da virgole.

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotifyUserOnFilterMatch

Il parametro NotifyUserOnFilterMatch specifica se attivare un avviso per un singolo evento quando i criteri di avviso sono configurati per l'attività aggregata. I valori validi sono:

  • $true: anche se l'avviso è configurato per l'attività aggregata, viene attivata una notifica durante una corrispondenza per l'attività (in pratica, un avviso anticipato).
  • $false: gli avvisi vengono attivati in base al tipo di aggregazione specificato. Questo è il valore predefinito.

Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).

Tipo:Boolean
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotifyUserSuppressionExpiryDate

Il parametro NotifyUserSuppressionExpiryDate consente di specificare se sospendere temporaneamente le notifiche del criterio di avviso. Fino all'ora-data specificata, non vengono inviate notifiche per le attività rilevate.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'uso del formato di data breve MM/gg/aaaa, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Tipo:DateTime
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotifyUserThrottleThreshold

Il parametro NotifyUserThrottleThreshold consente di specificare il numero massimo di notifiche del criterio di avviso nel periodo di tempo specificato dal parametro NotifyUserThrottleWindow. Una volta raggiunto il numero massimo di notifiche nel periodo di tempo, non vengono inviate altre notifiche per l'avviso. I valori validi sono:

  • Un numero intero.
  • Il valore $null. Questo è il valore predefinito (nessun numero massimo di notifiche per un avviso).
Tipo:Int32
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-NotifyUserThrottleWindow

Il parametro NotifyUserThrottleWindow specifica l'intervallo di tempo in minuti usato dal parametro NotifyUserThrottleThreshold. I valori validi sono:

  • Un numero intero.
  • Il valore $null. Questo è il valore predefinito (nessun intervallo per la limitazione delle richieste di notifica).
Tipo:Int32
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Operation

Il parametro Operation consente di specificare le attività monitorate dai criteri di avviso. Per l'elenco delle attività disponibili, vedere la scheda Attività controllate in Attività controllate.

Sebbene questo parametro sia tecnicamente in grado di accettare più valori separati da virgole, più valori non funzionano.

È possibile utilizzare questo parametro solo quando il valore del parametro ThreatType è Activity.

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Tipo:MultiValuedProperty
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Tipo:System.UInt64
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Severity

Il parametro Severity consente di specificare la gravità del rilevamento. I valori validi sono:

  • Basso (questo è il valore predefinito)
  • Medio
  • Alto
Tipo:RuleSeverity
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-ThreatType

Il parametro ThreatType specifica il tipo di attività che vengono monitorate dal criterio di avviso. I valori validi sono:

  • Attività
  • Malware

Il valore selezionato per questo parametro determina i valori che è possibile utilizzare per i parametri AlertBy, Filter, e Operation.

Non è possibile modificare questo valore dopo aver creato il criterio di avviso.

Tipo:ThreatAlertType
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-Threshold

Il parametro Threshold consente di specificare il numero di rilevamenti che attivano i criteri di avviso entro il periodo di tempo specificato dal parametro TimeWindow. Un valore valido è un numero intero maggiore o uguale a 3.

È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.

Tipo:Int32
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-TimeWindow

Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti per un numero di rilevamenti specificato dal parametro Threshold. Un valore valido è un numero intero maggiore di 60 (un'ora).

È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.

Tipo:Int32
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Tipo:System.Boolean
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Tipo:System.UInt64
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance

-WhatIf

Il parametro WhatIf non funziona in PowerShell per sicurezza e conformità.

Tipo:SwitchParameter
Alias:wi
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False
Si applica a:Security & Compliance