Set-ActivityAlert
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет Set-ActivityAlert для изменения оповещений о действиях на портале Microsoft 365 Defender или Портал соответствия требованиям Microsoft Purview.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Set-ActivityAlert
[-Identity] <ComplianceRuleIdParameter>
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-Multiplier <Double>]
[-NotifyUser <MultiValuedProperty>]
[-Operation <MultiValuedProperty>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Описание
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в разделах Разрешения на портале Microsoft 365 Defender или Разрешения на Портал соответствия требованиям Microsoft Purview.
Примеры
Пример 1
$NU = Get-ActivityAlert "Contoso Elevation of Privilege"
$NU.NotifyUser.Add("chris@fabrikam.com")
Set-ActivityAlert "Contoso Elevation of Privilege" -NotifyUser $NU.NotifyUserВ этом примере внешний пользователь chris@fabrikam.com добавляется в список получателей, которым отправляются уведомления по электронной почте для оповещения о действиях с именем Contoso Повышение привилегий.
Примечание. Чтобы удалить существующий адрес электронной почты из списка получателей, измените значение NotifyUser.Add на NotifyUser.Remove.
Пример 2
Set-ActivityAlert -Identity "External Sharing Alert" -Disabled $trueВ этом примере отключается существующее оповещение о действии с именем External Sharing Alert.
Параметры
-Category
Параметр Category задает категорию для предупреждения об активности. Допустимые значения:
- Нет (это значение по умолчанию)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Другие
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Параметр Condition задает условия фильтра для агрегирования событий.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает дополнительное описание для оповещения о действии. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Параметр Disabled указывает, включено ли оповещение о действии. Допустимые значения:
- $true: оповещение о действиях отключено.
- $false: оповещение о действиях включено. Это значение используется по умолчанию.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Параметр EmailCulture задает язык уведомления, отправляемого по электронной почте.
Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Майкрософт платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Дополнительные сведения см. в разделе Класс CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Параметр Identity задает оповещение о действии, которое требуется изменить. Можно использовать любое значение, однозначно определяющее оповещение о действии. Например:
- имя;
- различающееся имя (DN);
- GUID
| Type: | ComplianceRuleIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Параметр Множитель указывает количество событий, которые активируют оповещение о действии. Значение этого параметра представляет собой множитель базового значения.
Этот параметр можно использовать только для оповещений о действиях, имеющих значение свойства Type AnomalousAggregation.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Параметр NotifyUser определяет электронные адреса пользователей, которые будут получать уведомления на электронную почту. Вы можете указать внутренние и внешние адреса электронной почты.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Чтобы изменить существующий список получателей, см. раздел "Примеры".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Параметр Operation указывает действия, которые активируют оповещения о действиях.
Допустимое значение для этого параметра — это действие, доступное в журнале аудита Майкрософт 365. Описание этих действий см. в разделе Проверенные действия.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Синтаксис, используемый для изменения существующего списка значений Operations, см. в разделе "Примеры".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Параметр RecordType задает метку типа записи для оповещения о действии. Дополнительные сведения о доступных значениях см. в разделе AuditLogRecordType.
Этот параметр не может использоваться, если значение параметра Type равно ElevationOfPrivilege.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Параметр ScopeLevel задает область для оповещений о действиях, использующих значения параметров Type SimpleAggregation или AnomalousAggregation. Допустимые значения:
- SingleUser (это значение по умолчанию)
- Allusers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Параметр Severity задает степень серьезности для предупреждения об активности. Допустимые значения:
- Нет
- Низкий (это значение по умолчанию)
- Средняя
- Высокая
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Параметр Threshold задает такое количество событий за период, указанный параметром TimeWindow, при достижении которого отправляется предупреждение об активности. Минимальное значение этого параметра — 3.
Этот параметр можно использовать только для оповещений о действиях, имеющих значение свойства Type SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Параметр TimeWindow задает период в минутах, используемый параметром Threshold.
Этот параметр можно использовать только для оповещений о действиях, имеющих значение свойства Type SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Параметр UserId определяет пользователей, которых необходимо отслеживать.
- Если указать электронный адрес пользователя, то при выполнении этим пользователем указанного действия вы получите уведомление по электронной почте. Можно указать несколько адресов электронной почты, разделив их запятыми.
- Если этот параметр останется пустым ($null), вы получите уведомление по электронной почте, когда любой пользователь вашей организации выполнит указанное действие.
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
Вы можете использовать этот параметр только в случае предупреждений об активности, для которых указано свойство Type со значением Custom или ElevationOfPrivilege.
Синтаксис, используемый для изменения существующего списка значений UserId, см. в разделе "Примеры".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |