Set-ProtectionAlert
此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。 如需詳細資訊,請參閱 安全 & 性合規性 PowerShell。
使用 Set-ProtectionAlert Cmdlet 來修改Microsoft Purview 合規性入口網站中的警示原則。
注意:您無法使用此 Cmdlet 來編輯預設警示原則。 您只能修改使用 New-ProtectionAlert Cmdlet 建立的警示。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
Syntax
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Description
若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet,您必須獲指派許可權。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
範例
範例 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity High
本範例會將指定警示原則的偵測嚴重性設定為 High。
範例 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120
此範例會修改警示,使其即使已針對匯總活動進行設定,也會在符合活動期間觸發通知。 相同命令中也會設定 10 次偵測的臨界值和兩小時的 TimeWindow。
參數
-AggregationType
AggregationType 參數會針對多次發生的監視活動指定警訊原則如何觸發警訊。 有效值為:
- 無:每次發生活動時都會觸發警示。
- SimpleAggregation:警示會根據指定時間範圍中的活動量觸發, (Threshold 和 TimeWindow 參數的值) 。 這是預設值。
- 異常匯總:當活動量達到異常層級時,會觸發警示 (大幅超過針對活動) 建立的一般基準。 請注意,Microsoft 365 最多可能需要 7 天的時間來建立基準。 在基準計算期間,不會產生活動的警示。
Type: | AlertAggregationType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertBy
AlertBy 參數會指定匯總警示原則的範圍。 有效值由 ThreatType 參數值決定︰
- 活動:有效值為使用者或$null (空白,這是預設值) 。 如果不使用值 User,則警訊原則的範圍是整個組織。
- 惡意程式碼:有效值為 Mail.Recipient 或 Mail.ThreatName。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertFor
將保留此參數供 Microsoft 內部使用。
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Category
Category 參數會指定警示原則的類別。 有效值為:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- 其他人
- PrivacyManagement
- 監督
- ThreatManagement
當符合警訊原則條件的活動發生時,產生的警訊就會標記為此參數所指定的類別。 這可讓您追蹤和管理有相同類別設定的警訊
Type: | AlertRuleCategory |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Comment
Comment 參數會指定選擇性註解。 如果指定的值含有空格,則必須以雙引號 (") 括住值,例如︰"This is an admin note"。
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Confirm
Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。
- 例如,具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停,可強制您在繼續之前確認命令。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:
-Confirm:$false
。 - 其他大部分的 Cmdlet (例如,New-* 和 Set-* Cmdlet) 沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Description
Description 參數會指定警訊原則的描述文字。 如果值包含空格,請使用引號 (") 括住值。
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Disabled
Disabled 參數會啟用或停用警訊原則。 有效值為:
- $true:已停用警示原則。
- $false:已啟用警示原則。 這是預設值。
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Filter
Filter 參數會使用 OPATH 語法,依指定的屬性和值來篩選結果。 搜尋準則使用語法 "Property -ComparisonOperator 'Value'"
。
- 以雙引號 「」 括住整個 OPATH 篩選準則。 如果篩選條件包含系統值 (例如
$true
、$false
或$null
),請改為使用單引號 ' '。 雖然此參數是字串 (不是系統區塊),您也可以使用大括弧 { },但只有在篩選條件不包含變數時。 - Property 是可篩選的屬性。
- ComparisonOperator 是 OPATH 比較運算子 (例如
-eq
equals 和-like
字串比較) 。 如需比較運算子的詳細資訊,請參閱 about_Comparison_Operators。 - Value 是要搜尋的屬性值。 以單引號括住文字值和變數 (
'Value'
或'$Variable'
)。 如果變數值包含單引號,您必須識別 (逸出) 單引號,以正確展開變數。 例如,使用'$($User -Replace "'","''")'
,而不是'$User'
。 請勿以引號括住整數或系統值 (例如,請改用500
、$true
、$false
或$null
) 。
您可以使用 -and
邏輯運算子將多個搜尋準則鏈結在一起 (例如, "Criteria1 -and Criteria2"
) 。
如需 Exchange 中 OPATH 篩選的詳細資訊,請參閱 其他 OPATH 語法資訊。
可篩選的屬性如下:
活動
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
惡意程式碼
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- 郵件:收件者
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
Mail:ThreatName
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Identity
Identity 參數會指定您要修改的警示原則。 您可以使用唯一識別警示原則的任何值。 例如:
- 名稱
- 辨別名稱 (DN)
- GUID
Type: | ComplianceRuleIdParameter |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationCulture
NotificationCulture 參數會指定用作通知的語言或地區設定。
此參數的有效輸入是來自 Microsoft .NET Framework CultureInfo 類別的支援文化特性程式碼值。 例如,丹麥文為 da-DK 或日文為 ja-JP。 如需詳細資訊,請參閱 CultureInfo 類別。
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationEnabled
{{ 填滿通知啟用描述 }}
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUser
將保留此參數供 Microsoft 內部使用。
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
NotifyUserOnFilterMatch 參數會指定在針對匯總活動設定警示原則時,是否要觸發單一事件的警示。 有效值為:
- $true:即使已針對匯總活動設定警示,在符合活動期間仍會觸發通知 (基本上是早期警告) 。
- $false:警示會根據指定的匯總類型觸發。 這是預設值。
當 AggregationType 參數值為 None 時,不能使用此參數 (活動每次出現皆會觸發警訊)。
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
NotifyUserSuppressionExpiryDate 參數會指定是否暫時停止警訊原則的通知。 直到指定的日期-時間為止,偵測到的活動皆不會傳送通知。
在您要執行命令的電腦上,使用該電腦的 [地區選項] 設定中定義的簡短日期格式。 例如,如果電腦設定成使用簡短日期格式 mm/dd/yyyy,請輸入 09/01/2018 以指定 2018 年 9 月 1 日。 您可以只輸入日期,或者也可以輸入日期和時間。 如果輸入日期和時間,請使用引號 (") 括住值,例如 "09/01/2018 5:00 PM"。
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
NotifyUserThrottleThreshold 參數會指定在 NotifyUserThrottleWindow 參數所指定的期間內警訊原則通知的最大數目。 一旦在期間內達到最大通知數目,就不會再針對警訊傳送通知。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此為預設值 (沒有針對警訊的最大通知數目)。
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
NotifyUserThrottleWindow 參數會以分鐘為單位指定 NotifyUserThrottleThreshold 參數所使用的時間間隔。 有效值為:
- SyncSchedule 參數會指定 ???。此參數的有效值為:
- 值 $null。 此為預設值 (沒有通知節流的間隔)。
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Operation
Operation 參數會指定警示原則所監視的活動。 如需可用活動的清單,請參閱稽核活動中的 [稽 核的活動] 索引標籤。
雖然此參數在技術上能夠接受以逗號分隔的多個值,但多個值無法運作。
只有在 ThreatType 參數具有值 Activity 時您才能使用此參數。
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Severity
Severity 參數會指定偵測的嚴重性。 有效值為:
- 低 (這是預設值)
- 中
- 高
Type: | RuleSeverity |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Threshold
Threshold 參數會指定在 TimeWindow 參數) 指定的期間內,觸發警示原則 (的偵測數目。 有效值是大於或等於 3 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-TimeWindow
TimeWindow 參數會針對 Threshold 參數所指定的偵測數目來指定時間間隔 (以分鐘為單位)。 有效值是大於 60 (一小時) 的整數。
只有在 AggregationType 參數值為 SimpleAggregation 時您才能使用此參數。
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-WhatIf
WhatIf 參數無法在安全 & 性合規性 PowerShell 中運作。
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |