New-ProtectionAlert

Referência

Módulo:: ExchangePowerShell

Aplica-se a:: Security & Compliance

Este cmdlet está disponível apenas no PowerShell de Segurança e Conformidade. Para obter mais informações, consulte PowerShell de Segurança e Conformidade..

Utilize o cmdlet New-ProtectionAlert para criar políticas de alerta no portal de conformidade do Microsoft Purview e no portal Microsoft Defender. As políticas de alerta contêm condições que definem as atividades do utilizador a monitorizar e as opções de notificação para alertas e entradas de e-mail.

Observação

Embora o cmdlet esteja disponível, receberá o seguinte erro se não tiver uma licença empresarial:

A criação de políticas de alerta avançadas requer uma subscrição Office 365 E5 ou uma subscrição Office 365 E3 com uma subscrição de suplemento Office 365 Threat Intelligence ou Office 365 EquivioAnalytics para a sua organização. Com a sua subscrição atual, só podem ser criados alertas de eventos únicos.

Para obter mais informações, consulte Políticas de alerta no Microsoft 365.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Sintaxe

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar este cmdlet no PowerShell de Segurança e Conformidade, você precisa receber permissões. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.

Exemplos

Exemplo 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Este exemplo cria uma política de alerta que aciona um alerta sempre que qualquer pessoa na organização elimina uma Pesquisa de Conteúdo no portal de conformidade do Microsoft Purview.

Parâmetros

-AggregationType

O parâmetro AggregationType especifica como a política de alerta dispara alertas para várias ocorrências de atividade monitorada. Os valores válidos são:

Nenhum: os alertas são acionados para cada ocorrência da atividade.
SimpleAggregation: os alertas são acionados com base no volume de atividade numa determinada janela de tempo (os valores dos parâmetros Limiar e TimeWindow). Esse é o valor padrão.
AnomalousAggregation: os alertas são acionados quando o volume de atividade atinge níveis invulgares (excede significativamente a linha de base normal estabelecida para a atividade). Tenha em atenção que pode demorar até 7 dias para o Microsoft 365 estabelecer a linha de base. Durante o período de cálculo da linha de base, nosso sistema não gera nenhum alerta para a atividade.

Tipo:	AlertAggregationType
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-AlertBy

O parâmetro AlertBy especifica o âmbito das políticas de alerta agregadas. Os valores válidos são determinados pelo valor do parâmetro ThreatType:

Atividade: os valores válidos são Utilizador ou $null (em branco, que é o valor predefinido). Se você não usa o valor User, o escopo da política de alerta consiste na organização inteira.
Software Maligno: os valores válidos são Mail.Recipient ou Mail.ThreatName.

Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-AlertFor

Esse parâmetro está reservado para uso interno da Microsoft.

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Category

O parâmetro Category especifica uma categoria para a política de alerta. Os valores válidos são:

AccessGovernance
ComplianceManager
DataGovernance
MailFlow
Outros
PrivacyManagement
Supervisão
ThreatManagement

Quando ocorre uma atividade que atenda às condições da política de alerta, o alerta gerado é marcado com a categoria especificada por esse parâmetro. Isso permite controlar e gerenciar alertas que apresentam a mesma configuração de categoria

Tipo:	AlertRuleCategory
Cargo:	Named
Valor padrão:	None
Obrigatório:	True
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Comment

O parâmetro Comment especifica um comentário opcional. Se você especificar um valor que contenha espaços, coloque-o entre aspas ("), por exemplo: “Está é uma observação de administrador”.

Tipo:	String
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Confirm

A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.

Cmdlets destrutivos (por exemplo, Remover- cmdlets) têm uma pausa interna que força você a confirmar o comando antes de continuar. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata: -Confirm:$false.
A maioria dos outros cmdlets (por exemplo, New- e Set-) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.

Tipo:	SwitchParameter
Aliases:	cf
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-CorrelationPolicyId

Tipo:	System.Guid
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-CustomProperties

Tipo:	PswsHashtable
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Description

O parâmetro Description especifica um texto descritivo para a política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").

Tipo:	String
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Disabled

O parâmetro Disabled habilita ou desabilita a política de alerta. Os valores válidos são:

$true: a política de alertas está desativada.
$false: a política de alertas está ativada. Esse é o valor padrão.

Tipo:	Boolean
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Filter

O parâmetro Filter utiliza a sintaxe OPATH para filtrar os resultados pelas propriedades e valores especificados. Os critérios de pesquisa utilizam a sintaxe "Property -ComparisonOperator 'Value'".

Coloque todo o filtro OPATH entre aspas " ". Se o filtro contiver valores de sistema (por exemplo, $true, $falseou $null), utilize aspas únicas ' ' em vez disso. Embora este parâmetro seja uma cadeia (não um bloco de sistema), também pode utilizar chavetas { }, mas apenas se o filtro não contiver variáveis.
A propriedade é uma propriedade filtráveis.
ComparisonOperator é um operador de comparação OPATH (por exemplo -eq , para igual e -like para comparação de cadeias). Para obter mais informações sobre operadores de comparação, veja about_Comparison_Operators.
Valor é o valor da propriedade a procurar. Coloque os valores de texto e as variáveis entre plicas ('Value' ou '$Variable'). Se um valor de variável contiver aspas únicas, terá de identificar (escape) as aspas únicas para expandir a variável corretamente. Por exemplo, em vez de '$User', utilize '$($User -Replace "'","''")'. Não coloque números inteiros ou valores do sistema entre aspas (por exemplo, utilize 500, $true, $falseou $null em alternativa).

Pode encadear múltiplos critérios de pesquisa em conjunto com o operador lógico -and (por exemplo, "Criteria1 -and Criteria2").

Para obter informações detalhadas sobre filtros OPATH no Exchange, veja Informações adicionais sobre sintaxe OPATH.

As propriedades filtráveis são:

Atividade

Activity.ClientIp
Activity.CreationTime
Activity.Item
Activity.ItemType
Activity.Operation
Activity.ResultStatus
Activity.Scope
Activity.SiteUrl
Activity.SourceFileExtension
Activity.SourceFileName
Activity.TargetUserOrGroupType
Activity.UserAgent
Activity.UserId
Activity.UserType
Activity.Workload

Malware

Correio:AttachmentExtensions
Mail:AttachmentNames
Correio:CreationTime
Correio:DeliveryStatus
Correio:Direção
Correio:De
Correio:FromDomain
Mail:InternetMessageId
Correio:IsIntraOrgSpoof
Correio:IsMalware
Correio:IsSpam
Correio:ÉAt
Correio:Idioma
Correio:Destinatário
Correio:Scl
Correio:SenderCountry
Correio:SenderIpAddress
Correio:Assunto
Mail:TenantId
Correio:ThreatName

Tipo:	String
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-LogicalOperationName

Tipo:	String
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Name

O parâmetro Name especifica o nome exclusivo da política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").

Tipo:	String
Cargo:	Named
Valor padrão:	None
Obrigatório:	True
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotificationCulture

O parâmetro NotificationCulture especifica o idioma ou local usado para notificações.

A entrada válida para este parâmetro é um valor de código de cultura suportado da classe CultureInfo do Microsoft .NET Framework. Por exemplo, da-DK para dinamarquês ou ja-JP para japonês. Para obter mais informações, consulte Classe CultureInfo.

Tipo:	CultureInfo
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotificationEnabled

Tipo:	Boolean
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotifyUser

O parâmetro NotifyUser especifica o endereço SMTP do usuário que recebe mensagens de notificação da política de alerta. Vários valores, separados por vírgulas, podem ser especificados.

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	True
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotifyUserOnFilterMatch

O parâmetro NotifyUserOnFilterMatch especifica se deve acionar um alerta para um único evento quando a política de alerta está configurada para atividade agregada. Os valores válidos são:

$true: Apesar de o alerta estar configurado para atividade agregada, é acionada uma notificação durante uma correspondência para a atividade (basicamente, um aviso antecipado).
$false: os alertas são acionados de acordo com o tipo de agregação especificado. Esse é o valor padrão.

Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).

Tipo:	Boolean
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotifyUserSuppressionExpiryDate

O parâmetro NotifyUserSuppressionExpiryDate especifica se é necessário suspender temporariamente as notificações da política de alerta. O sistema não envia nenhuma notificação de atividades detectadas, até a Data/Hora especificada.

Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para utilizar o formato de data abreviada MM/dd/aaaa, introduza 01/09/2018 para especificar 1 de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".

Tipo:	DateTime
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotifyUserThrottleThreshold

O parâmetro NotifyUserThrottleThreshold especifica o número máximo de notificações da política de alerta, dentro do período de tempo especificado pelo parâmetro NotifyUserThrottleWindow. O sistema deixa de enviar notificações do alerta, após alcançar o número máximo de notificações no período de tempo. Os valores válidos são:

O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
O valor $null. Esse é o valor padrão (não há número máximo de notificações para um alerta).

Tipo:	Int32
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-NotifyUserThrottleWindow

O parâmetro NotifyUserThrottleWindow especifica o intervalo de tempo em minutos utilizado pelo parâmetro NotifyUserThrottleThreshold. Os valores válidos são:

O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
O valor $null. Esse é o valor padrão (não há intervalos para a limitação de notificação).

Tipo:	Int32
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Operation

O parâmetro Operação especifica as atividades que são monitorizadas pela política de alerta. Para obter a lista de atividades disponíveis, veja o separador Atividades auditadas em Atividades auditadas.

Embora este parâmetro seja tecnicamente capaz de aceitar múltiplos valores separados por vírgulas, vários valores não funcionam.

Você só poderá usar esse parâmetro quando o parâmetro ThreatType tiver o valor Activity.

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Tipo:	MultiValuedProperty
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Tipo:	System.UInt64
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Severity

O parâmetro Severity especifica a severidade da detecção. Os valores válidos são:

Baixo (este é o valor predefinido)
Médio
Alto

Tipo:	RuleSeverity
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-ThreatType

O parâmetro ThreatType especifica o tipo de atividades que são monitorizadas pela política de alerta. Os valores válidos são:

Atividade
Malware

O valor que selecionar para este parâmetro determina os valores que pode utilizar para os parâmetros AlertBy, Filter e Operation.

Não pode alterar este valor depois de criar a política de alerta.

Tipo:	ThreatAlertType
Cargo:	Named
Valor padrão:	None
Obrigatório:	True
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-Threshold

O parâmetro Limiar especifica o número de deteções que acionam a política de alerta dentro do período de tempo especificado pelo parâmetro TimeWindow. O valor válido é um número inteiro maior do que ou igual a 3.

Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.

Tipo:	Int32
Cargo:	Named
Valor padrão:	None
Obrigatório:	False
Aceitar a entrada de pipeline:	False
Aceitar caracteres curinga:	False
Aplica-se a:	Security & Compliance

-TimeWindow

O parâmetro TimeWindow especifica o intervalo de tempo, em minutos, para o número de detecções especificado pelo parâmetro Threshold. O valor válido é um número inteiro maior do que 60 (uma hora).