Set-ProtectionAlert
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет Set-ProtectionAlert для изменения политик оповещений в Портал соответствия требованиям Microsoft Purview.
Примечание. Этот командлет нельзя использовать для изменения политик оповещений по умолчанию. Вы можете изменять только оповещения, созданные с помощью командлета New-ProtectionAlert.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Описание
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.
Примеры
Пример 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity HighВ этом примере для указанной политики оповещений для параметра Серьезность обнаружения устанавливается значение Высокий.
Пример 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120В этом примере оповещение изменяется таким образом, что даже если оно настроено для агрегированного действия, уведомление активируется во время сопоставления действия. В той же команде также настраиваются пороговое значение в 10 обнаружений и значение TimeWindow в два часа.
Параметры
-AggregationType
Параметр AggregationType указывает, как политика предупреждений отправляет предупреждения при возникновении нескольких случаев отслеживаемой активности. Допустимые значения:
- Нет: оповещения активируются для каждого вхождения действия.
- SimpleAggregation: оповещения активируются на основе объема действий в заданном временном окне (значения параметров Threshold и TimeWindow). Это значение используется по умолчанию.
- AnomalousAggregation: оповещения активируются, когда объем действия достигает необычных уровней (значительно превышает обычный базовый план, установленный для действия). Обратите внимание, что установка базовых показателей Microsoft 365 может занять до 7 дней. В период расчета базового уровня не создаются предупреждения об активности.
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
Параметр AlertBy указывает область для агрегированных политик оповещений. Допустимые значения определяются значением параметра ThreatType:
- Действие. Допустимые значения: User или $null (пустое значение, которое является значением по умолчанию). Если вы не используете значение User, политика предупреждений распространяется на всю организацию.
- Вредоносная программа: допустимые значения: Mail.Recipient или Mail.ThreatName.
Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Параметр Category указывает категорию для политики оповещений. Допустимые значения:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Другие
- PrivacyManagement
- Контроль
- ThreatManagement
Когда происходит активность, которая соответствует условиям политики предупреждений, категория создаваемого предупреждения определяется этим параметром. Это позволяет отслеживать предупреждения, которые относятся к одной категории, и управлять ими.
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Параметр Comment указывает необязательный комментарий. Если вы указываете значение, содержащее пробелы, заключите его в кавычки ("), например:" Это примечание администратора ".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает описание политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Параметр Disabled включает или выключает политику предупреждений. Допустимые значения:
- $true: политика оповещений отключена.
- $false: политика оповещений включена. Это значение используется по умолчанию.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Параметр Filter использует синтаксис OPATH для фильтрации результатов по указанным свойствам и значениям. Для критериев поиска используется следующий синтаксис: "Property -ComparisonOperator 'Value'".
- Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например,
$true,$falseили$null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные. - Property — это свойство с поддержкой фильтрации.
- ComparisonOperator — это оператор сравнения OPATH (например
-eq, для равных и-likeдля сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators. - Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки (
'Value'или'$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо'$User'используйте'$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте500,$true,$false, или$nullвместо них).
Можно связать несколько условий -and поиска вместе с помощью логического оператора (например, "Criteria1 -and Criteria2").
Подробные сведения о фильтрах OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.
Фильтруемые свойства:
Действие
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Вредоносная программа
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Параметр Identity определяет политику предупреждений, которую требуется изменить. Вы можете использовать любой уникальный идентификатор политики. Например:
- имя;
- различающееся имя (DN);
- GUID
| Type: | ComplianceRuleIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
Параметр NotificationCulture определяет язык или языковой стандарт уведомлений.
Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Microsoft платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Дополнительные сведения см. в разделе Класс CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
Параметр NotifyUserOnFilterMatch указывает, следует ли активировать оповещение для одного события, если политика оповещений настроена для агрегированного действия. Допустимые значения:
- $true. Несмотря на то, что оповещение настроено для агрегированного действия, во время сопоставления действия активируется уведомление (в основном, раннее предупреждение).
- $false: оповещения активируются в соответствии с указанным типом агрегирования. Это значение используется по умолчанию.
Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Параметр NotifyUserSuppressionExpiryDate указывает, следует ли временно приостановить отправку уведомлений согласно политике предупреждений. До указанного времени приостанавливается отправка уведомлений об обнаруженных действий.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
Параметр NotifyUserThrottleThreshold задает максимальное количество уведомлений для политики предупреждений за период, указанный параметром NotifyUserThrottleWindow. После достижения этого числа отправка уведомлений об активности приостанавливается. Допустимые значения:
- Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
- Значение $null. Это значение по умолчанию (без максимального количества уведомлений для предупреждения).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
Параметр NotifyUserThrottleWindow задает интервал времени в минутах, используемый параметром NotifyUserThrottleThreshold. Допустимые значения:
- Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
- Значение $null. Это значение по умолчанию (без периода для регулирования количества уведомлений).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Параметр Operation указывает действия, отслеживаемые политикой оповещений. Список доступных действий см. на вкладке Проверенные действия в разделе Проверенные действия.
Хотя этот параметр технически способен принимать несколько значений, разделенных запятыми, несколько значений не работают.
Этот параметр можно использовать, только когда параметру ThreatType задано значение Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Параметр Severity задает серьезность обнаруженного действия. Допустимые значения:
- Низкий (это значение по умолчанию)
- Средняя
- Высокая
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Параметр Threshold указывает количество обнаружений, которые активируют политику оповещений (в течение периода времени, заданного параметром TimeWindow). Значение должно быть целым числом не менее 3.
Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Параметр TimeWindow задает период в минутах для количества обнаруженных действий, указанного параметром Threshold. Значение должно быть целым числом больше 60 (один час).
Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |