New-ActivityAlert
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет New-ActivityAlert для создания оповещений о действиях на портале Microsoft 365 Defender или в Портал соответствия требованиям Microsoft Purview. Оповещения о действиях отправляют уведомления по электронной почте, когда пользователи выполняют определенные действия в Майкрософт 365.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-ActivityAlert
-Multiplier <Double>
-Name <String>
-NotifyUser <MultiValuedProperty>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Threshold <Int32>
-TimeWindow <Int32>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Operation <MultiValuedProperty>
[-Type <AlertType>]
[-Category <AlertRuleCategory>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Описание
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft 365 Defender или Разрешения на Портал соответствия требованиям Microsoft Purview.
Примеры
Пример 1
New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"В этом примере создается новое оповещение о действии с именем External Sharing Alert и следующими свойствами:
- Операция: sharinginvitationcreated.
- NotifyUser: chrisda@contoso.com и michelle@contoso.com.
- UserId: laura@contoso.com и julia@contoso.com.
- Описание: уведомление о событиях внешнего общего доступа по и laura@contoso.comjulia@contoso.com.
Параметры
-Category
Параметр Category задает категорию для предупреждения об активности. Допустимые значения:
- Нет (это значение по умолчанию)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Другие
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Параметр Condition задает условия фильтра для агрегирования событий.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает дополнительное описание для оповещения о действии. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Параметр Disabled указывает, включено ли оповещение о действии. Допустимые значения:
- $true: оповещение о действиях отключено.
- $false: оповещение о действиях включено. Это значение используется по умолчанию.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Параметр EmailCulture задает язык уведомления, отправляемого по электронной почте.
Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Майкрософт платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Дополнительные сведения см. в разделе Класс CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Параметр Множитель указывает количество событий, которые активируют оповещение о действии. Значение этого параметра представляет собой множитель базового значения.
Этот параметр можно использовать, только когда параметру Type задано значение AnomalousAggregation.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Параметр Name указывает уникальное имя оповещения о действии. Максимальная длина: 64 символа. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Параметр NotifyUser задает адреса электронной почты для уведомлений. Вы можете указать внутренние и внешние адреса электронной почты.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Параметр Operation указывает действие, которое активирует оповещение о действии.
Допустимое значение для этого параметра — это действие, доступное в журнале аудита Майкрософт 365. Описание этих действий см. в разделе Проверенные действия.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Этот параметр невозможно использовать, если параметру Type задано значение ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Параметр RecordType задает метку типа записи для оповещения о действии. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Этот параметр не может использоваться, если значение параметра Type равно ElevationOfPrivilege.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Параметр ScopeLevel задает область для оповещений о действиях, использующих значения параметров Type SimpleAggregation или AnomalousAggregation. Допустимые значения:
- SingleUser (это значение по умолчанию)
- Allusers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Параметр Severity задает степень серьезности для предупреждения об активности. Допустимые значения:
- Нет
- Низкий (это значение по умолчанию)
- Средняя
- Высокая
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Параметр Threshold задает такое количество событий за период, указанный параметром TimeWindow, при достижении которого отправляется предупреждение об активности. Минимальное значение этого параметра — 3.
Этот параметр можно использовать, только когда параметру Type задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Параметр TimeWindow задает период в минутах, используемый параметром Threshold.
Этот параметр можно использовать, только когда параметру Type задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Type
Параметр Type задает тип предупреждения. Допустимые значения:
- Пользовательский. Для действий, указанных с помощью параметра Operation, создается оповещение. Как правило, использовать это значение не требуется (если вы не используете параметр Type и указываете действия с помощью параметра Operations, значение Custom автоматически добавляется в свойство Type).
- ElevationOfPrivilege: это значение прекращается.
- SimpleAggregation. Оповещение создается на основе действий, определенных параметрами Operation и Condition, количества действий, заданного параметром Threshold, и периода времени, заданного параметром TimeWindow.
- AnomalousAggregation. Оповещение создается на основе действий, определенных параметрами Operation и Condition, и количества действий, заданных параметром Множитель.
Примечание. Изменить значение Type в существующем оповещении о действии нельзя.
| Type: | AlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Параметр UserId определяет пользователей, которых необходимо отслеживать.
- Если указать электронный адрес пользователя, то при выполнении этим пользователем указанного действия вы получите уведомление по электронной почте. Можно указать несколько адресов электронной почты, разделив их запятыми.
- Если этот параметр останется пустым ($null), вы получите уведомление по электронной почте, когда любой пользователь вашей организации выполнит указанное действие.
Этот параметр можно использовать только со значениями параметра Type Custom или ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |