New-ProtectionAlert

Syntaxe

Default (Par défaut)

New-ProtectionAlert
    -Category <AlertRuleCategory>
    -Name <String>
    -NotifyUser <MultiValuedProperty>
    -ThreatType <ThreatAlertType>
    [-AggregationType <AlertAggregationType>]
    [-AlertBy <MultiValuedProperty>]
    [-AlertFor <MultiValuedProperty>]
    [-Comment <String>]
    [-Confirm]
    [-CorrelationPolicyId <System.Guid>]
    [-Description <String>]
    [-Disabled <Boolean>]
    [-Filter <String>]
    [-LogicalOperationName <String>]
    [-NotificationCulture <CultureInfo>]
    [-NotificationEnabled <Boolean>]
    [-NotifyUserOnFilterMatch <Boolean>]
    [-NotifyUserSuppressionExpiryDate <DateTime>]
    [-NotifyUserThrottleThreshold <Int32>]
    [-NotifyUserThrottleWindow <Int32>]
    [-Operation <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
    [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
    [-CustomProperties <PswsHashtable>]
    [-Severity <RuleSeverity>]
    [-Threshold <Int32>]
    [-TimeWindow <Int32>]
    [-UseCreatedDateTime <System.Boolean>]
    [-VolumeThreshold <System.UInt64>]
    [-WhatIf]
    [<CommonParameters>]

Description

Exemples

Exemple 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Paramètres

-AggregationType

Applicable : Sécurité & Conformité

Le paramètre AggregationType spécifie la façon dont la stratégie d’alerte déclenche des alertes pour plusieurs occurrences de l’activité surveillée. Les valeurs valides sont les suivantes :

• Aucun : des alertes sont déclenchées pour chaque occurrence de l’activité.
• SimpleAggregation : les alertes sont déclenchées en fonction du volume d’activité dans une fenêtre de temps donnée (les valeurs des paramètres Threshold et TimeWindow). Cette valeur est la valeur par défaut.
• AnomalieAggregation : les alertes sont déclenchées lorsque le volume d’activité atteint des niveaux inhabituels (qui dépassent considérablement la base de référence normale établie pour l’activité). L’établissement de la base de référence peut prendre jusqu’à 7 jours. Pendant la période de calcul de la ligne de base, aucune alerte n’est générée pour l’activité.

Propriétés du paramètre

Jeux de paramètres

-AlertBy

Applicable : Sécurité & Conformité

Le paramètre AlertBy spécifie l’étendue des stratégies d’alerte agrégées. Les valeurs valides sont déterminées par la valeur de paramètre ThreatType :

• Activité : Les valeurs valides sont User ou $null (vide, qui est la valeur par défaut). Si vous n’utilisez pas la valeur User, l’étendue de la stratégie d’alerte est l’ensemble de l’organisation.
• Programme malveillant : les valeurs valides sont Mail.Recipient ou Mail.ThreatName.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Remarque : Ce paramètre est requis pour afficher les entités dans les alertes. Sans elle, les alertes se déclenchent sans afficher les entités. Nous vous recommandons vivement de spécifier une valeur pour ce paramètre.

Propriétés du paramètre

Jeux de paramètres

-AlertFor

Applicable : Sécurité & Conformité

Ce paramètre est réservé à l’usage interne chez Microsoft.

Propriétés du paramètre

Jeux de paramètres

-Category

Applicable : Sécurité & Conformité

Le paramètre Category spécifie une catégorie pour la stratégie d’alerte. Les valeurs valides sont les suivantes :

• AccessGovernance
• ComplianceManager
• DataGovernance
• MailFlow
• Autres
• ConfidentialitéGérer
• Surveillance
• ThreatManagement

Lorsqu’une activité qui répond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie qui est spécifiée par ce paramètre. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie

Propriétés du paramètre

Jeux de paramètres

-Comment

Applicable : Sécurité & Conformité

Le paramètre Comment permet d’insérer un commentaire facultatif. Si la valeur que vous saisissez contient des espaces, placez-la entre guillemets ("). Par exemple : "Ceci est une note d’administration".

Propriétés du paramètre

Jeux de paramètres

-Confirm

Applicable : Sécurité & Conformité

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

• Les applets de commande destructrices (par exemple, les applets de commande Remove-*) comportent une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
• La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n'ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.

Propriétés du paramètre

Jeux de paramètres

-CorrelationPolicyId

Applicable : Sécurité & Conformité

{{ Fill CorrelationPolicyId Description }}

Propriétés du paramètre

Jeux de paramètres

-CustomProperties

Applicable : Sécurité & Conformité

{{ Fill CustomProperties Description }}

Propriétés du paramètre

Jeux de paramètres

-Description

Applicable : Sécurité & Conformité

Le paramètre Description spécifie un texte descriptif pour la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Propriétés du paramètre

Jeux de paramètres

-Disabled

Applicable : Sécurité & Conformité

Le paramètre Disabled active ou désactive la stratégie d’alerte. Les valeurs valides sont les suivantes :

• $true : la stratégie d’alerte est désactivée.
• $false : la stratégie d’alerte est activée. Cette valeur est la valeur par défaut.

Propriétés du paramètre

Jeux de paramètres

-Filter

Applicable : Sécurité & Conformité

Le paramètre Filter utilise la syntaxe OPATH pour filtrer les résultats en fonction des propriétés et valeurs spécifiées. Les critères de recherche utilisent la syntaxe "Property -ComparisonOperator 'Value'".

• Placez l’ensemble du filtre OPATH entre guillemets doubles « ». Si le filtre contient des valeurs système (par exemple, $true, $falseou $null), utilisez plutôt des guillemets simples « ». Bien que ce paramètre soit une chaîne (et non un bloc système), vous pouvez également utiliser des accolades { }, mais uniquement si le filtre ne contient pas de variables.
• Property est une propriété filtrable.
• ComparisonOperator est un opérateur de comparaison OPATH (par exemple -eq , pour des valeurs égales et -like pour la comparaison de chaînes). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators.
• Value est la valeur de propriété à rechercher. Placez les valeurs de texte et les variables entre guillemets simples ('Value' ou '$Variable'). Si une valeur de variable contient des guillemets simples, vous devez identifier (échappement) les guillemets simples pour développer la variable correctement. Par exemple, au lieu de '$User', utilisez '$($User -Replace "'","''")'. Ne placez pas entre guillemets les entiers ou les valeurs système (par exemple, utilisez 500, $true, $falseou $null à la place).

Vous pouvez chaîner plusieurs critères de recherche à l’aide de l’opérateur logique -and (par exemple, "Criteria1 -and Criteria2").

Pour plus d’informations sur les filtres OPATH dans Exchange, consultez Informations supplémentaires sur la syntaxe OPATH.

Les propriétés filtrables sont les suivantes :

Activité

• Activity.ClientIp
• Activity.CreationTime
• Activity.Item
• Activity.ItemType
• Activity.Operation
• Activity.ResultStatus
• Activity.Scope
• Activity.SiteUrl
• Activity.SourceFileExtension
• Activity.SourceFileName
• Activity.TargetUserOrGroupType
• Activity.UserAgent
• Activity.UserId
• Activity.UserType
• Activity.Workload

Programme malveillant

• Mail :AttachmentExtensions
• Mail :AttachmentNames
• Mail :CreationTime
• Mail :DeliveryStatus
• Mail :Direction
• Mail :From
• Mail :FromDomain
• Mail :InternetMessageId
• Mail :IsIntraOrgspoof
• Mail :IsMalware
• Mail :IsSpam
• Mail :IsThreat
• Mail :Language
• Mail :Recipient
• Mail :Scl
• Mail :SenderCountry
• Mail :SenderIpAddress
• Mail :Subject
• Mail :TenantId
• Mail :ThreatName

Propriétés du paramètre

Jeux de paramètres

-LogicalOperationName

Applicable : Sécurité & Conformité

{{ Fill LogicalOperationName Description }}

Propriétés du paramètre

Jeux de paramètres

-Name

Applicable : Sécurité & Conformité

Le paramètre Name spécifie le nom unique de la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Propriétés du paramètre

Jeux de paramètres

-NotificationCulture

Applicable : Sécurité & Conformité

Le paramètre NotificationCulture spécifie la langue ou les paramètres régionaux qui sont utilisés pour les notifications.

L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo de Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez Classe CultureInfo.

Propriétés du paramètre

Jeux de paramètres

-NotificationEnabled

Applicable : Sécurité & Conformité

{{ Fill NotificationEnabled Description }}

Propriétés du paramètre

Jeux de paramètres

-NotifyUser

Applicable : Sécurité & Conformité

Le paramètre NotifyUser spécifie l’adresse SMTP de l’utilisateur qui reçoit des messages de notification pour la stratégie d’alerte. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Propriétés du paramètre

Jeux de paramètres

-NotifyUserOnFilterMatch

Applicable : Sécurité & Conformité

Le paramètre NotifyUserOnFilterMatch spécifie s’il faut déclencher une alerte pour un événement unique lorsque la stratégie d’alerte est configurée pour une activité agrégée. Les valeurs valides sont les suivantes :

• $true : même si l’alerte est configurée pour l’activité agrégée, une notification est déclenchée lors d’une correspondance pour l’activité (essentiellement, un avertissement précoce).
• $false : les alertes sont déclenchées en fonction du type d’agrégation spécifié. Cette valeur est la valeur par défaut.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Propriétés du paramètre

Jeux de paramètres

-NotifyUserSuppressionExpiryDate

Applicable : Sécurité & Conformité

Le paramètre NotifyUserSuppressionExpiryDate indique s’il faut suspendre temporairement les notifications de la stratégie d’alerte. Aucune notification n’est envoyée pour les activités détectées jusqu’à la date-heure spécifiée.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte MM/jj/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Propriétés du paramètre

Jeux de paramètres

-NotifyUserThrottleThreshold

Applicable : Sécurité & Conformité

Le paramètre NotifyUserThrottleThreshold spécifie le nombre maximal de notifications pour la stratégie d’alerte pendant la période de temps spécifiée par le paramètre NotifyUserThrottleWindow. Une fois que le nombre maximal de notifications est atteint au cours de la période, plus aucune notification n’est envoyée pour l’alerte. Les valeurs valides sont les suivantes :

• Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
• Valeur $null. Cette valeur est la valeur par défaut (aucun nombre maximal de notifications pour une alerte).

Propriétés du paramètre

Jeux de paramètres

-NotifyUserThrottleWindow

Applicable : Sécurité & Conformité

Le paramètre NotifyUserThrottleWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre NotifyUserThrottleThreshold. Les valeurs valides sont les suivantes :

• Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
• Valeur $null. Cette valeur est la valeur par défaut (aucun intervalle pour la limitation des notifications).

Propriétés du paramètre

Jeux de paramètres

-Operation

Applicable : Sécurité & Conformité

Le paramètre Operation spécifie les activités supervisées par la stratégie d’alerte. Pour obtenir la liste des activités disponibles, consultez l’onglet Activités auditées dans Activités auditées.

Bien que ce paramètre soit techniquement capable d’accepter plusieurs valeurs séparées par des virgules, plusieurs valeurs ne fonctionnent pas.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre ThreatType est Activity.

Propriétés du paramètre

Jeux de paramètres

-PrivacyManagementScopedSensitiveInformationTypes

Applicable : Sécurité & Conformité

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Propriétés du paramètre

Jeux de paramètres

-PrivacyManagementScopedSensitiveInformationTypesForCounting

Applicable : Sécurité & Conformité

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Propriétés du paramètre

Jeux de paramètres

-PrivacyManagementScopedSensitiveInformationTypesThreshold

Applicable : Sécurité & Conformité

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Propriétés du paramètre

Jeux de paramètres

-Severity

Applicable : Sécurité & Conformité

Le paramètre Severity spécifie la gravité de la détection. Les valeurs valides sont les suivantes :

• Faible (valeur par défaut)
• Moyen
• Élevé

Propriétés du paramètre

Jeux de paramètres

-ThreatType

Applicable : Sécurité & Conformité

Le paramètre ThreatType spécifie le type d’activités supervisées par la stratégie d’alerte. Les valeurs valides sont les suivantes :

• Activité
• Programme malveillant

La valeur que vous sélectionnez pour ce paramètre détermine les valeurs que vous pouvez utiliser pour les paramètres AlertBy, Filter et Operation.

Vous ne pouvez pas modifier cette valeur après avoir créé la stratégie d’alerte.

Propriétés du paramètre

Jeux de paramètres

-Threshold

Applicable : Sécurité & Conformité

Le paramètre Threshold spécifie le nombre de détections qui déclenchent la stratégie d’alerte au cours de la période spécifiée par le paramètre TimeWindow. Une valeur valide est un nombre entier qui est supérieur ou égal à 3.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Propriétés du paramètre

Jeux de paramètres

-TimeWindow

Applicable : Sécurité & Conformité

Le paramètre TimeWindow spécifie l’intervalle de temps en minutes du nombre de détections spécifié par le paramètre Threshold. Une valeur valide est un nombre entier qui est supérieur à 60 (une heure).

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Propriétés du paramètre

Jeux de paramètres

-UseCreatedDateTime

Applicable : Sécurité & Conformité

{{ Fill UseCreatedDateTime Description }}

Propriétés du paramètre

Jeux de paramètres

-VolumeThreshold

Applicable : Sécurité & Conformité

{{ Fill VolumeThreshold Description }}

Propriétés du paramètre

Jeux de paramètres

-WhatIf

Applicable : Sécurité & Conformité

Le commutateur WhatIf ne fonctionne pas dans le Centre de sécurité et de conformité PowerShell.

Propriétés du paramètre

Jeux de paramètres

CommonParameters