New-ProtectionAlert

Ссылка

Модуль:: ExchangePowerShell

Применяется к:: Security & Compliance

Этот командлет доступен только в PowerShell безопасности и соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.

Используйте командлет New-ProtectionAlert для создания политик оповещений в Портал соответствия требованиям Microsoft Purview и на портале Microsoft Defender. Политики оповещений содержат условия, определяющие действия пользователей, которые необходимо отслеживать, и параметры уведомлений для оповещений и записей по электронной почте.

Примечание.

Хотя командлет доступен, если у вас нет корпоративной лицензии, вы получите следующую ошибку:

Для создания расширенных политик оповещений требуется подписка на Office 365 E5 или Office 365 E3 подписка с Office 365 Threat Intelligence или надстройкой Office 365 EquivioAnalytics для вашей организации. В текущей подписке можно создавать только отдельные оповещения о событиях.

Эту ошибку можно обойти, указав -AggregationType None и в -Operation команде .

Дополнительные сведения см. в статье Политики оповещений в Microsoft 365.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Описание

Чтобы использовать этот командлет в PowerShell безопасности и соответствия требованиям, вам должны быть назначены соответствующие разрешения. Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

Примеры

Пример 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

В этом примере создается политика генерации оповещений, которая активирует оповещение каждый раз, когда кто-либо в организации удаляет поиск контента в Портал соответствия требованиям Microsoft Purview.

Параметры

-AggregationType

Параметр AggregationType указывает, как политика предупреждений отправляет предупреждения при возникновении нескольких случаев отслеживаемой активности. Допустимые значения:

Нет: оповещения активируются для каждого вхождения действия.
SimpleAggregation: оповещения активируются в зависимости от объема действий в заданном временном окне (значения параметров Threshold и TimeWindow). Это значение используется по умолчанию.
AnomalousAggregation: оповещения активируются, когда объем действия достигает необычных уровней (значительно превышает обычный базовый план, установленный для действия). Обратите внимание, что установка базовых показателей Microsoft 365 может занять до 7 дней. В период расчета базового уровня не создаются предупреждения об активности.

Тип:	AlertAggregationType
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-AlertBy

Параметр AlertBy указывает область для агрегированных политик оповещений. Допустимые значения определяются значением параметра ThreatType:

Действие. Допустимые значения: User или $null (пустое значение, которое является значением по умолчанию). Если вы не используете значение User, политика предупреждений распространяется на всю организацию.
Вредоносная программа: допустимые значения: Mail.Recipient или Mail.ThreatName.

Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-AlertFor

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Category

Параметр Category указывает категорию для политики оповещений. Допустимые значения:

AccessGovernance
ComplianceManager
DataGovernance
MailFlow
Другие
PrivacyManagement
Контроль
ThreatManagement

Когда происходит активность, которая соответствует условиям политики предупреждений, категория создаваемого предупреждения определяется этим параметром. Это позволяет отслеживать предупреждения, которые относятся к одной категории, и управлять ими.

Тип:	AlertRuleCategory
Position:	Named
Default value:	None
Обязательно:	True
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Comment

Параметр Comment указывает необязательный комментарий. Если вы указываете значение, содержащее пробелы, заключите его в кавычки ("), например:" Это примечание администратора ".

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

Деструктивные командлеты (например, командлеты Remove-) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
Большинство других командлетов (например, командлеты New- и Set-) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.

Тип:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-CorrelationPolicyId

Тип:	System.Guid
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-CustomProperties

Тип:	PswsHashtable
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Description

Параметр Description задает описание политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Disabled

Параметр Disabled включает или выключает политику предупреждений. Допустимые значения:

$true: политика оповещений отключена.
$false: политика оповещений включена. Это значение используется по умолчанию.

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Filter

Параметр Filter использует синтаксис OPATH для фильтрации результатов по указанным свойствам и значениям. Для критериев поиска используется следующий синтаксис: "Property -ComparisonOperator 'Value'".

Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например, $true, $false или $null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные.
Property — это свойство с поддержкой фильтрации.
ComparisonOperator — это оператор сравнения OPATH (например -eq , для равных и -like для сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators.
Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки ('Value' или '$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо '$User' используйте '$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте 500, $true, $false, или $null вместо них).

Можно связать несколько условий поиска вместе с помощью логического -and оператора (например, "Criteria1 -and Criteria2").

Подробные сведения о фильтрах OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.

Фильтруемые свойства:

Действие

Activity.ClientIp
Activity.CreationTime
Activity.Item
Activity.ItemType
Activity.Operation
Activity.ResultStatus
Activity.Scope
Activity.SiteUrl
Activity.SourceFileExtension
Activity.SourceFileName
Activity.TargetUserOrGroupType
Activity.UserAgent
Activity.UserId
Activity.UserType
Activity.Workload

Вредоносная программа

Mail:AttachmentExtensions
Mail:AttachmentNames
Mail:CreationTime
Mail:DeliveryStatus
Mail:Direction
Mail:From
Mail:FromDomain
Mail:InternetMessageId
Mail:IsIntraOrgSpoof
Mail:IsMalware
Mail:IsSpam
Mail:IsThreat
Mail:Language
Mail:Recipient
Mail:Scl
Mail:SenderCountry
Mail:SenderIpAddress
Mail:Subject
Mail:TenantId
Mail:ThreatName

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-LogicalOperationName

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Name

Параметр Name определяет уникальное имя политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Тип:	String
Position:	Named
Default value:	None
Обязательно:	True
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotificationCulture

Параметр NotificationCulture определяет язык или языковой стандарт уведомлений.

Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Microsoft платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Подробнее см. в разделе Класс CultureInfo.

Тип:	CultureInfo
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotificationEnabled

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUser

Параметр NotifyUser задает SMTP-адрес пользователя, который получает уведомления о действиях, отслеживаемых политикой предупреждений. Вы можете указать несколько значений, разделив их запятыми.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	True
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserOnFilterMatch

Параметр NotifyUserOnFilterMatch указывает, следует ли активировать оповещение для одного события, если политика оповещений настроена для агрегированного действия. Допустимые значения:

$true. Несмотря на то, что оповещение настроено для агрегированного действия, во время сопоставления действия активируется уведомление (в основном, раннее предупреждение).
$false: оповещения активируются в соответствии с указанным типом агрегирования. Это значение используется по умолчанию.

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserSuppressionExpiryDate

Параметр NotifyUserSuppressionExpiryDate указывает, следует ли временно приостановить отправку уведомлений согласно политике предупреждений. До указанного времени приостанавливается отправка уведомлений об обнаруженных действий.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Тип:	DateTime
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserThrottleThreshold

Параметр NotifyUserThrottleThreshold задает максимальное количество уведомлений для политики предупреждений за период, указанный параметром NotifyUserThrottleWindow. После достижения этого числа отправка уведомлений об активности приостанавливается. Допустимые значения:

Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
Значение $null. Это значение по умолчанию (без максимального количества уведомлений для предупреждения).

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserThrottleWindow

Параметр NotifyUserThrottleWindow задает интервал времени в минутах, используемый параметром NotifyUserThrottleThreshold. Допустимые значения:

Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
Значение $null. Это значение по умолчанию (без периода для регулирования количества уведомлений).

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Operation

Параметр Operation указывает действия, отслеживаемые политикой оповещений. Список доступных действий см. на вкладке Проверенные действия в разделе Проверенные действия.

Хотя этот параметр технически способен принимать несколько значений, разделенных запятыми, несколько значений не работают.

Этот параметр можно использовать, только когда параметру ThreatType задано значение Activity.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Тип:	System.UInt64
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Severity

Параметр Severity задает серьезность обнаруженного действия. Допустимые значения:

Низкий (это значение по умолчанию)
Средняя
Высокая

Тип:	RuleSeverity
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-ThreatType

Параметр ThreatType задает тип действий, которые отслеживаются политикой предупреждений. Допустимые значения:

Действие
Вредоносная программа

Значение, выбираемое для этого параметра, определяет значения, которые вы можете задавать параметрам AlertBy, Filter и Operation.

Это значение невозможно изменить после создания политики предупреждений.

Тип:	ThreatAlertType
Position:	Named
Default value:	None
Обязательно:	True
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Threshold

Параметр Threshold указывает количество обнаружений, которые активируют политику оповещений в течение периода времени, заданного параметром TimeWindow. Значение должно быть целым числом не менее 3.

Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-TimeWindow

Параметр TimeWindow задает период в минутах для количества обнаруженных действий, указанного параметром Threshold. Значение должно быть целым числом больше 60 (один час).