New-ProtectionAlert

Sintaxis

Default (Es el valor predeterminado).

New-ProtectionAlert
    -Category <AlertRuleCategory>
    -Name <String>
    -NotifyUser <MultiValuedProperty>
    -ThreatType <ThreatAlertType>
    [-AggregationType <AlertAggregationType>]
    [-AlertBy <MultiValuedProperty>]
    [-AlertFor <MultiValuedProperty>]
    [-Comment <String>]
    [-Confirm]
    [-CorrelationPolicyId <System.Guid>]
    [-Description <String>]
    [-Disabled <Boolean>]
    [-Filter <String>]
    [-LogicalOperationName <String>]
    [-NotificationCulture <CultureInfo>]
    [-NotificationEnabled <Boolean>]
    [-NotifyUserOnFilterMatch <Boolean>]
    [-NotifyUserSuppressionExpiryDate <DateTime>]
    [-NotifyUserThrottleThreshold <Int32>]
    [-NotifyUserThrottleWindow <Int32>]
    [-Operation <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
    [-CustomProperties <PswsHashtable>]
    [-Severity <RuleSeverity>]
    [-Threshold <Int32>]
    [-TimeWindow <Int32>]
    [-UseCreatedDateTime <System.Boolean>]
    [-VolumeThreshold <System.UInt64>]
    [-WhatIf]
    [<CommonParameters>]

Description

Ejemplos

Ejemplo 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Parámetros

-AggregationType

Aplicable: Cumplimiento de & de seguridad

El parámetro AggregationType especifica cómo la directiva de alerta desencadena alertas para varias apariciones de la actividad supervisada. Los valores admitidos son:

• Ninguno: se desencadenan alertas para cada aparición de la actividad.
• SimpleAggregation: las alertas se desencadenan en función del volumen de actividad en un período de tiempo determinado (los valores de los parámetros Threshold y TimeWindow). Este valor es el predeterminado.
• AnomalousAggregation: las alertas se desencadenan cuando el volumen de actividad alcanza niveles inusuales (supera en gran medida la línea base normal establecida para la actividad). Microsoft 365 puede tardar hasta 7 días en establecer la línea base. Durante el período de cálculo de línea base, no se genera ninguna alerta para la actividad.

Propiedades del parámetro

Conjuntos de parámetros

-AlertBy

Aplicable: Cumplimiento de & de seguridad

El parámetro AlertBy especifica el ámbito de las directivas de alerta agregadas. Los valores válidos se determinan mediante el valor del parámetro ThreatType:

• Actividad: los valores válidos son User o $null (en blanco, que es el valor predeterminado). Si no usa el valor User, el ámbito de la directiva de alertas es toda la organización.
• Malware: los valores válidos son Mail.Recipient o Mail.ThreatName.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Nota: Este parámetro es necesario para mostrar entidades en alertas. Sin él, las alertas se desencadenan sin mostrar entidades. Se recomienda encarecidamente especificar un valor para este parámetro.

Propiedades del parámetro

Conjuntos de parámetros

-AlertFor

Aplicable: Cumplimiento de & de seguridad

Este parámetro está reservado para uso interno de Microsoft.

Propiedades del parámetro

Conjuntos de parámetros

-Category

Aplicable: Cumplimiento de & de seguridad

El parámetro Category especifica una categoría para la directiva de alertas. Los valores admitidos son:

• AccessGovernance
• ComplianceManager
• DataGovernance
• MailFlow
• Otros
• PrivacyManagement
• Supervisión
• ThreatManagement

Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. Esto permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de categoría

Propiedades del parámetro

Conjuntos de parámetros

-Comment

Aplicable: Cumplimiento de & de seguridad

El parámetro Comment especifica un comentario opcional. Si especifica un valor que contenga espacios, escríbalo entre comillas ("), por ejemplo: "Esto es una nota del administrador".

Propiedades del parámetro

Conjuntos de parámetros

-Confirm

Aplicable: Cumplimiento de & de seguridad

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

• Los cmdlets destructivos (por ejemplo, los cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
• La mayoría de los otros cmdlets (por ejemplo, New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.

Propiedades del parámetro

Conjuntos de parámetros

-CorrelationPolicyId

Aplicable: Cumplimiento de & de seguridad

{{ Fill CorrelationPolicyId Description }}

Propiedades del parámetro

Conjuntos de parámetros

-CustomProperties

Aplicable: Cumplimiento de & de seguridad

{{ Fill CustomProperties Description }}

Propiedades del parámetro

Conjuntos de parámetros

-Description

Aplicable: Cumplimiento de & de seguridad

El parámetro Description especifica un texto descriptivo para la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Propiedades del parámetro

Conjuntos de parámetros

-Disabled

Aplicable: Cumplimiento de & de seguridad

El parámetro Disabled habilita o deshabilita la directiva de alerta. Los valores admitidos son:

• $true: la directiva de alertas está deshabilitada.
• $false: la directiva de alertas está habilitada. Este valor es el predeterminado.

Propiedades del parámetro

Conjuntos de parámetros

-Filter

Aplicable: Cumplimiento de & de seguridad

El parámetro Filter usa la sintaxis de OPATH para filtrar los resultados por las propiedades y valores especificados. Los criterios de búsqueda usan la sintaxis "Property -ComparisonOperator 'Value'".

• Incluya todo el filtro de OPATH entre comillas dobles " ". Si el filtro contiene valores del sistema (por ejemplo, , $true$falseo $null), use comillas simples ' ' en su lugar. Aunque este parámetro es una cadena (no un bloque del sistema), también puede usar llaves { }, pero solo si el filtro no contiene variables.
• La propiedad es una propiedad filtrable.
• ComparisonOperator es un operador de comparación de OPATH (por ejemplo -eq , para igual y -like para la comparación de cadenas). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators.
• Value es el valor de propiedad que se va a buscar. Incluya valores de texto y variables entre comillas simples ('Value' o '$Variable'). Si un valor de variable contiene comillas simples, debe identificar (escape) las comillas simples para expandir la variable correctamente. Por ejemplo, en lugar de '$User', use '$($User -Replace "'","''")'. No incluya enteros ni valores del sistema entre comillas (por ejemplo, use 500, $true, $falseo $null en su lugar).

Puede encadenar varios criterios de búsqueda mediante el operador lógico -and (por ejemplo, "Criteria1 -and Criteria2").

Para obtener información detallada sobre los filtros de OPATH en Exchange, consulte Información adicional de la sintaxis de OPATH.

Las propiedades filtrables son:

Actividad

• Activity.ClientIp
• Activity.CreationTime
• Activity.Item
• Activity.ItemType
• Activity.Operation
• Activity.ResultStatus
• Activity.Scope
• Activity.SiteUrl
• Activity.SourceFileExtension
• Activity.SourceFileName
• Activity.TargetUserOrGroupType
• Activity.UserAgent
• Activity.UserId
• Activity.UserType
• Activity.Workload

Malware

• Mail:AttachmentExtensions
• Mail:AttachmentNames
• Mail:CreationTime
• Mail:DeliveryStatus
• Mail:Direction
• Mail:From
• Mail:FromDomain
• Mail:InternetMessageId
• Mail:IsIntraOrgSpoof
• Mail:IsMalware
• Mail:IsSpam
• Mail:IsThreat
• Mail:Language
• Mail:Recipient
• Mail:Scl
• Mail:SenderCountry
• Mail:SenderIpAddress
• Mail:Subject
• Mail:TenantId
• Mail:ThreatName

Propiedades del parámetro

Conjuntos de parámetros

-LogicalOperationName

Aplicable: Cumplimiento de & de seguridad

{{ Fill LogicalOperationName Description }}

Propiedades del parámetro

Conjuntos de parámetros

-Name

Aplicable: Cumplimiento de & de seguridad

El parámetro Name especifica el nombre único de la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Propiedades del parámetro

Conjuntos de parámetros

-NotificationCulture

Aplicable: Cumplimiento de & de seguridad

El parámetro NotificationCulture especifica el idioma o configuración regional que se usa para las notificaciones.

La entrada válida para este parámetro es un valor de código de referencia cultural compatible de la clase CultureInfo de Microsoft .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, consulte Clase CultureInfo.

Propiedades del parámetro

Conjuntos de parámetros

-NotificationEnabled

Aplicable: Cumplimiento de & de seguridad

{{ Fill NotificationEnabled Description }}

Propiedades del parámetro

Conjuntos de parámetros

-NotifyUser

Aplicable: Cumplimiento de & de seguridad

El parámetro NotifyUser especifica la dirección SMTP del usuario que recibe los mensajes de notificación de la directiva de alerta. Puede especificar distintos valores separados por comas.

Propiedades del parámetro

Conjuntos de parámetros

-NotifyUserOnFilterMatch

Aplicable: Cumplimiento de & de seguridad

El parámetro NotifyUserOnFilterMatch especifica si se desencadena una alerta para un único evento cuando la directiva de alertas está configurada para la actividad agregada. Los valores admitidos son:

• $true: aunque la alerta está configurada para la actividad agregada, se desencadena una notificación durante una coincidencia para la actividad (básicamente, una advertencia temprana).
• $false: las alertas se desencadenan según el tipo de agregación especificado. Este valor es el predeterminado.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Propiedades del parámetro

Conjuntos de parámetros

-NotifyUserSuppressionExpiryDate

Aplicable: Cumplimiento de & de seguridad

El parámetro NotifyUserSuppressionExpiryDate especifica si se van a suspender temporalmente las notificaciones de la directiva de alerta. Hasta la fecha y hora especificadas, no se envía ninguna notificación para actividades detectadas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta MM/dd/aaaa, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Propiedades del parámetro

Conjuntos de parámetros

-NotifyUserThrottleThreshold

Aplicable: Cumplimiento de & de seguridad

El parámetro NotifyUserThrottleThreshold especifica el número máximo de notificaciones de la directiva de alerta dentro del período de tiempo especificado por el parámetro NotifyUserThrottleWindow. Una vez que se alcanza el número máximo de notificaciones en el período de tiempo, no se envían más notificaciones para la alerta. Los valores admitidos son:

• El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
• El valor $null. Este valor es el valor predeterminado (no hay ningún número máximo de notificaciones para una alerta).

Propiedades del parámetro

Conjuntos de parámetros

-NotifyUserThrottleWindow

Aplicable: Cumplimiento de & de seguridad

El parámetro NotifyUserThrottleWindow especifica el intervalo de tiempo en minutos que usa el parámetro NotifyUserThrottleThreshold. Los valores admitidos son:

• El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
• El valor $null. Este valor es el valor predeterminado (sin intervalo para la limitación de notificaciones).

Propiedades del parámetro

Conjuntos de parámetros

-Operation

Aplicable: Cumplimiento de & de seguridad

El parámetro Operation especifica las actividades que supervisa la directiva de alertas. Para obtener la lista de actividades disponibles, consulte la pestaña Actividades auditadas en Actividades auditadas.

Aunque este parámetro es técnicamente capaz de aceptar varios valores separados por comas, varios valores no funcionan.

Solo puede usar este parámetro cuando el parámetro ThreatType tiene el valor Activity.

Propiedades del parámetro

Conjuntos de parámetros

-PrivacyManagementScopedSensitiveInformationTypes

Aplicable: Cumplimiento de & de seguridad

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Propiedades del parámetro

Conjuntos de parámetros

-PrivacyManagementScopedSensitiveInformationTypesForCounting

Aplicable: Cumplimiento de & de seguridad

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Propiedades del parámetro

Conjuntos de parámetros

-PrivacyManagementScopedSensitiveInformationTypesThreshold

Aplicable: Cumplimiento de & de seguridad

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Propiedades del parámetro

Conjuntos de parámetros

-Severity

Aplicable: Cumplimiento de & de seguridad

El parámetro Severity especifica la gravedad de la detección. Los valores admitidos son:

• Bajo (valor predeterminado)
• Mediano
• Alto

Propiedades del parámetro

Conjuntos de parámetros

-ThreatType

Aplicable: Cumplimiento de & de seguridad

El parámetro ThreatType especifica el tipo de actividades que supervisa la directiva de alerta. Los valores admitidos son:

• Actividad
• Malware

El valor que seleccione para este parámetro determina los valores que puede usar para los parámetros AlertBy, Filter y Operation.

No se puede cambiar este valor después de crear la directiva de alerta.

Propiedades del parámetro

Conjuntos de parámetros

-Threshold

Aplicable: Cumplimiento de & de seguridad

El parámetro Threshold especifica el número de detecciones que desencadenan la directiva de alertas dentro del período de tiempo especificado por el parámetro TimeWindow. Un valor válido es un entero que es mayor o igual que 3.

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Propiedades del parámetro

Conjuntos de parámetros

-TimeWindow

Aplicable: Cumplimiento de & de seguridad

El parámetro TimeWindow especifica el intervalo de tiempo en minutos del número de detecciones especificado por el parámetro Threshold. Un valor válido es un entero que es mayor que 60 (una hora).

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Propiedades del parámetro

Conjuntos de parámetros

-UseCreatedDateTime

Aplicable: Cumplimiento de & de seguridad

{{ Fill UseCreatedDateTime Description }}

Propiedades del parámetro

Conjuntos de parámetros

-VolumeThreshold

Aplicable: Cumplimiento de & de seguridad

{{ Fill VolumeThreshold Description }}

Propiedades del parámetro

Conjuntos de parámetros

-WhatIf

Aplicable: Cumplimiento de & de seguridad

El modificador WhatIf no funciona en Security & Compliance PowerShell.

Propiedades del parámetro

Conjuntos de parámetros

CommonParameters