New-ProtectionAlert
此 cmdlet 仅在安全与合规中心 PowerShell 内可用。 有关更多信息,请参见 安全与合规中心 PowerShell。
使用 New-ProtectionAlert cmdlet 在Microsoft Purview 合规门户和Microsoft Defender门户中创建警报策略。 警报策略包含定义要监视的用户活动的条件,以及电子邮件警报和条目的通知选项。
注意
虽然 cmdlet 可用,但如果没有企业许可证,则会收到以下错误:
创建高级警报策略需要Office 365 E5订阅或Office 365 E3订阅,其中包含组织的 Office 365 Threat Intelligence 或 Office 365 EquivioAnalytics 加载项订阅。 使用当前订阅,只能创建单个事件警报。
可以通过在 命令中指定 -AggregationType None 和 -Operation 来绕过此错误。
有关详细信息,请参阅 Microsoft 365 中的警报策略。
有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法。
语法
Default (默认值)
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
说明
要在安全与合规中心 PowerShell 中使用此 cmdlet,必须分配权限。 有关详细信息,请参阅 Microsoft Purview 合规门户中的权限。
示例
示例 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None
此示例创建一个警报策略,每当组织中的任何人删除Microsoft Purview 合规门户中的内容搜索时,都会触发警报。
参数
-AggregationType
适用:安全 & 合规性
AggregationType 参数指定提醒策略如何针对受监控的活动多次出现的情况触发提醒。 有效值包含:
- 无:每次发生活动时都会触发警报。
- SimpleAggregation:根据给定时间窗口中的活动量触发警报, (阈值和 TimeWindow 参数的值) 。 此值为默认值。
- AnomalousAggregation:当活动量达到异常水平 (大大超出为活动) 建立的正常基线时,将触发警报。 Microsoft 365 建立基线最多可能需要 7 天。 在基线计算期间,不会为活动生成警报。
参数属性
| 类型: | AlertAggregationType |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AlertBy
适用:安全 & 合规性
AlertBy 参数指定聚合警报策略的范围。 有效值由 ThreatType 参数值决定:
- 活动:有效值为 User 或$null (空白,这是) 的默认值。 如果不使用值 User,则提醒策略的范围是整个组织。
- 恶意软件:有效值为 Mail.Recipient 或 Mail.ThreatName。
AggregationType 参数值为 None 时,不能使用此参数(每次出现此活动均会触发提醒)。
注意:此参数是警报中显示实体所必需的。 如果没有它,警报将触发而不显示实体。 强烈建议为此参数指定值。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-AlertFor
适用:安全 & 合规性
保留此参数以供 Microsoft 内部使用。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Category
适用:安全 & 合规性
Category 参数指定警报策略的类别。 有效值包含:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- 其他
- PrivacyManagement
- 监督
- ThreatManagement
当发生与提醒策略的条件匹配的活动时,生成的提醒将使用此参数指定的类别进行标记。 这允许你跟踪和管理具有相同类别设置的提醒
参数属性
| 类型: | AlertRuleCategory |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Comment
适用:安全 & 合规性
Comment 参数指定可选注释。 如果您指定包含空格的值,为该值加上双引号("),例如:"这是管理员备注"。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Confirm
适用:安全 & 合规性
Confirm 开关指定是否显示确认提示。 此开关对 cmdlet 造成的影响取决于在你继续操作之前 cmdlet 是否需要确认。
- 破坏性 cmdlet(例如 Remove-* cmdlets)内置有暂停,可强制要求先确认命令,然后再继续操作。 对于这些 cmdlet,您可以使用此确切语法跳过确认提示:
-Confirm:$false。 - 其他大多数 cmdlet(例如 New-* 和 Set-* cmdlet)都没有内置暂停。 对于这些 cmdlet,指定不含值的 Confirm 开关会引入暂停,从而强制要求你先确认命令,然后再继续操作。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | cf |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-CorrelationPolicyId
适用:安全 & 合规性
{{ Fill CorrelationPolicyId Description }}
参数属性
| 类型: | System.Guid |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-CustomProperties
适用:安全 & 合规性
{{ Fill CustomProperties Description }}
参数属性
| 类型: | PswsHashtable |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Description
适用:安全 & 合规性
Description 参数指定提醒策略说明文本。 如果值中有空格,请使用双引号 (") 将此值括起来。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Disabled
适用:安全 & 合规性
Disabled 参数启用或禁用提醒策略。 有效值包含:
- $true:警报策略已禁用。
- $false:已启用警报策略。 此值为默认值。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Filter
适用:安全 & 合规性
Filter 参数使用 OPATH 语法按指定的属性和值筛选结果。 搜索条件使用 语法 "Property -ComparisonOperator 'Value'"。
- 将整个 OPATH 筛选器括在双引号“”中。 如果筛选器包含系统值 (,例如
$true、$false或$null) ,请改用单引号 ' 。 虽然此参数是 (不是系统块) 的字符串,但也可以使用大括号 { },但前提是筛选器不包含变量。 - 属性是可筛选的属性。
- ComparisonOperator 是一个 OPATH 比较运算符, (例如
-eq用于等于和-like字符串比较) 。 有关比较运算符的详细信息,请参阅 about_Comparison_Operators。 - Value 是要搜索的属性值。 将文本值和变量括在单引号 (
'Value'或'$Variable') 。 如果变量值包含单引号,则需要识别 (转义) 单引号才能正确展开变量。 例如,使用'$($User -Replace "'","''")'而不是'$User'。 不要将整数或系统值括在引号 (例如,改用500、$true、$false或$null) 。
可以使用逻辑 -and 运算符 ((例如 "Criteria1 -and Criteria2" ,) )将多个搜索条件链接在一起。
有关 Exchange 中的 OPATH 筛选器的详细信息,请参阅 其他 OPATH 语法信息。
可筛选属性包括:
活动
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
恶意软件
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-LogicalOperationName
适用:安全 & 合规性
{{ Fill LogicalOperationName Description }}
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Name
适用:安全 & 合规性
Name 参数指定提醒策略的唯一名称。 如果值中有空格,请使用双引号 (") 将此值括起来。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotificationCulture
适用:安全 & 合规性
NotificationCulture 参数指定用于通知的语言或区域设置。
此参数的有效输入是 Microsoft .NET Framework CultureInfo 类支持的区域性代码值。 例如,da-DK 表示丹麦语,ja-JP 表示日语。 有关详细信息,请参阅 CultureInfo 类。
参数属性
| 类型: | CultureInfo |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotificationEnabled
适用:安全 & 合规性
{{ Fill NotificationEnabled Description }}
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyUser
适用:安全 & 合规性
NotifyUser 参数指定接收提醒策略通知邮件的用户的 SMTP 地址。 可以指定用逗号分隔的多个值。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyUserOnFilterMatch
适用:安全 & 合规性
NotifyUserOnFilterMatch 参数指定在为聚合活动配置警报策略时是否为单个事件触发警报。 有效值包含:
- $true:即使为聚合活动配置了警报,但在活动 (匹配期间会触发通知,) 早期警告。
- $false:根据指定的聚合类型触发警报。 此值为默认值。
AggregationType 参数值为 None 时,不能使用此参数(每次出现此活动均会触发提醒)。
参数属性
| 类型: | Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyUserSuppressionExpiryDate
适用:安全 & 合规性
NotifyUserSuppressionExpiryDate 参数指定是否暂时挂起提醒策略的通知。 在指定的日期时间之前,不会为检测到的活动发送任何通知。
请使用短日期格式,该格式在运行命令的计算机上的“区域选项”设置中定义。 例如,如果计算机配置为使用短日期格式 MM/dd/yyyy,请输入 09/01/2018 以指定 2018 年 9 月 1 日。 可以只输入日期,也可以输入当天的日期和时间。 如果输入当天的日期和时间,请将该值括在引号 (") 中,例如,"09/01/2018 5:00 PM"。
参数属性
| 类型: | DateTime |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyUserThrottleThreshold
适用:安全 & 合规性
NotifyUserThrottleThreshold 参数指定在 NotifyUserThrottleWindow 参数指定的时间段内提醒策略的最大通知数。 达到时间段内的最大通知数后,不会再为警报发送通知。 有效值包含:
- SyncSchedule 参数指定 ???。此参数的有效值是:
- 值 $null。 此值是默认 (警报) 的最大通知数。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-NotifyUserThrottleWindow
适用:安全 & 合规性
NotifyUserThrottleWindow 参数指定 NotifyUserThrottleThreshold 参数使用的时间间隔(以分钟为单位)。 有效值包含:
- SyncSchedule 参数指定 ???。此参数的有效值是:
- 值 $null。 此值是默认 (通知限制) 的间隔。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Operation
适用:安全 & 合规性
Operation 参数指定警报策略监视的活动。 有关可用活动的列表,请参阅已审核活动中的“ 已审核活动”选项卡。
尽管此参数在技术上能够接受用逗号分隔的多个值,但多个值不起作用。
ThreatType 参数的值为 Activity 时,只可使用此参数。
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-PrivacyManagementScopedSensitiveInformationTypes
适用:安全 & 合规性
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
适用:安全 & 合规性
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
参数属性
| 类型: | MultiValuedProperty |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
适用:安全 & 合规性
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
参数属性
| 类型: | System.UInt64 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Severity
适用:安全 & 合规性
Severity 参数指定检测的严重性。 有效值包含:
- 低 (默认值)
- 中
- 高
参数属性
| 类型: | RuleSeverity |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ThreatType
适用:安全 & 合规性
ThreatType 参数指定由提醒策略监视的活动的类型。 有效值包含:
- 活动
- 恶意软件
为此参数选择的值确定可用于 AlertBy、Filter 和 Operation 参数的值。
创建提醒策略后将无法更改此值。
参数属性
| 类型: | ThreatAlertType |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Threshold
适用:安全 & 合规性
Threshold 参数指定在 TimeWindow 参数指定的时间段内触发警报策略的检测数。 有效值是大于或等于 3 的整数。
AggregationType 参数值为 SimpleAggregation 时,只能使用此参数。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-TimeWindow
适用:安全 & 合规性
TimeWindow 参数指定由 Threshold 参数指定的检测次数的时间间隔(以分钟为单位)。 有效值是大于 60(一个小时)的整数。
AggregationType 参数值为 SimpleAggregation 时,只能使用此参数。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-UseCreatedDateTime
适用:安全 & 合规性
{{ Fill UseCreatedDateTime Description }}
参数属性
| 类型: | System.Boolean |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-VolumeThreshold
适用:安全 & 合规性
{{ Fill VolumeThreshold Description }}
参数属性
| 类型: | System.UInt64 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-WhatIf
适用:安全 & 合规性
WhatIf 开关在安全与合规 PowerShell 中不起作用。
参数属性
| 类型: | SwitchParameter |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
| 别名: | 无线 |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。