Freigeben über


New-ProtectionAlert

Dieses Cmdlet ist nur im Security & Compliance Center-PowerShell verfügbar. Weitere Informationen finden Sie unter Security & Compliance Center-PowerShell.

Verwenden Sie das Cmdlet New-ProtectionAlert, um Warnungsrichtlinien im Microsoft Purview-Complianceportal und im Microsoft Defender-Portal zu erstellen. Warnungsrichtlinien enthalten Bedingungen, die die zu überwachenden Benutzeraktivitäten sowie die Benachrichtigungsoptionen für E-Mail-Warnungen und Einträge definieren.

Hinweis

Obwohl das Cmdlet verfügbar ist, erhalten Sie die folgende Fehlermeldung, wenn Sie nicht über eine Unternehmenslizenz verfügen:

Zum Erstellen erweiterter Warnungsrichtlinien ist ein Office 365 E5- oder Office 365 E3-Abonnement mit einem Office 365 Threat Intelligence- oder Office 365 EquivioAnalytics-Add-On-Abonnement für Ihre organization erforderlich. Mit Ihrem aktuellen Abonnement können nur einzelne Ereigniswarnungen erstellt werden.

Sie können diesen Fehler umgehen, indem Sie und -Operation innerhalb des Befehls angeben-AggregationType None.

Weitere Informationen finden Sie unter Warnungsrichtlinien in Microsoft 365.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Beschreibung

Um dieses Cmdlet in Security & Compliance PowerShell zu verwenden, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Beispiele

Beispiel 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

In diesem Beispiel wird eine Warnungsrichtlinie erstellt, die eine Warnung auslöst, wenn jemand im organization eine Inhaltssuche im Microsoft Purview-Complianceportal löscht.

Parameter

-AggregationType

Der Parameter AggregationType gibt an, wie die Warnungsrichtlinie Warnungen für mehrere Instanzen von überwachter Aktivität auslöst. Gültige Werte sind:

  • None: Warnungen werden für jedes Vorkommen der Aktivität ausgelöst.
  • SimpleAggregation: Warnungen werden abhängig vom Umfang der Aktivität in einem bestimmten Zeitfenster (die Werte der Parameter Threshold und TimeWindow) ausgelöst. Dies ist der Standardwert.
  • AnomalousAggregation: Warnungen werden ausgelöst, wenn der Umfang der Aktivität ungewöhnliche Level erreicht (überschreitet die normale Basislinie, die für die Aktivität eingerichtet ist, erheblich). Beachten Sie, dass es bis zu 7 Tage dauern kann, bis Microsoft 365 die Baseline festgelegt hat. Während der Berechnungsphase für die Basislinie werden keine Warnungen für Aktivitäten generiert.
Typ:AlertAggregationType
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-AlertBy

Der AlertBy-Parameter gibt den Bereich für aggregierte Warnungsrichtlinien an. Gültige Werte werden durch den Parameterwert ThreatType bestimmt:

  • Aktivität: Gültige Werte sind User oder $null (der Standardwert ist leer). Wenn der Wert User nicht verwendet wird, ist der Umfang der Warnungsrichtlinie die gesamte Organisation.
  • Schadsoftware: Gültige Werte sind Mail.Recipient oder Mail.ThreatName.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-AlertFor

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Category

Der Parameter Category gibt eine Kategorie für die Warnungsrichtlinie an. Gültige Werte sind:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Sonstige
  • PrivacyManagement
  • Aufsicht
  • ThreatManagement

Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die durch diesen Parameter angegeben ist. So können Sie Warnungen nachverfolgen und verwalten, die die gleiche Kategorie-Einstellung haben.

Typ:AlertRuleCategory
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Comment

Der „Comment“-Parameter gibt einen optionalen Kommentar an. Wenn Sie einen Wert angeben, der Leerzeichen enthält, setzen Sie den Wert in Anführungszeichen ("), z. B. "This is an admin note".

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Confirm

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

  • Destruktive Cmdlets (beispielsweise Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
  • Die meisten anderen Cmdlets (beispielsweise New-*- und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Typ:SwitchParameter
Aliase:cf
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Typ:System.Guid
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Typ:PswsHashtable
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Description

Der Parameter Description gibt eine Beschreibung für die Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Disabled

Der Parameter Disabled aktiviert oder deaktiviert die Warnungsrichtlinie. Gültige Werte sind:

  • $true: Die Warnungsrichtlinie ist deaktiviert.
  • $false: Die Warnungsrichtlinie ist aktiviert. Dies ist der Standardwert.
Typ:Boolean
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Filter

Der Parameter Filter verwendet die OPATH-Syntax, um die Ergebnisse nach den angegebenen Eigenschaften und Werten zu filtern. Das Suchkriterium verwendet die Syntax "Property -ComparisonOperator 'Value'".

  • Schließen Sie den gesamten OPATH-Filter in doppelte Anführungszeichen " ein. Wenn der Filter Systemwerte enthält (z. B. $true, $falseoder $null), verwenden Sie stattdessen einfache Anführungszeichen ''. Obwohl dieser Parameter eine Zeichenfolge ist (kein Systemblock), können Sie auch geschweifte Klammern { } verwenden, jedoch nur, wenn der Filter keine Variablen enthält.
  • Eigenschaft ist eine filterbare Eigenschaft.
  • ComparisonOperator ist ein OPATH-Vergleichsoperator (z. B -eq . für gleich und -like für den Zeichenfolgenvergleich). Weitere Informationen über Vergleichsoperatoren finden Sie unter about_Comparison_Operators.
  • Wert ist der zu suchende Eigenschaftswert. Fügen Sie Textwerte und Variablen in einfache Anführungszeichen ('Value' oder '$Variable') ein. Wenn ein Variablenwert einfache Anführungszeichen enthält, müssen Sie die einfachen Anführungszeichen identifizieren (escape), um die Variable korrekt zu erweitern. Sie können z. B. '$($User -Replace "'","''")' anstelle von '$User' verwenden. Schließen Sie keine ganzen Zahlen oder Systemwerte in Anführungszeichen ein (verwenden Sie stattdessen beispielsweise 500$true, $false oder $null).

Sie können mehrere Suchkriterien mithilfe des logischen -and Operators verketten (z. B "Criteria1 -and Criteria2". ).

Ausführliche Informationen zu OPATH-Filtern in Exchange finden Sie unter Zusätzliche Informationen zur OPATH-Syntax.

Die filterbaren Eigenschaften sind:

Aktivität

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Schadsoftware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Richtung
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Sprache
  • Mail:Empfänger
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Betreff
  • Mail:TenantId
  • Mail:ThreatName
Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Name

Der Parameter Name gibt den eindeutigen Namen der neuen Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotificationCulture

Der Parameter NotificationCulture gibt die Sprache oder das Gebietsschema für Warnungen an.

Gültige Eingabe für diesen Parameter ist ein unterstützter Kulturcodewert aus der Microsoft .NET Framework CultureInfo-Klasse. Beispiel: da-DK für Dänisch oder ja-JP für Japanisch. Weitere Informationen finden Sie unter CultureInfo-Klasse.

Typ:CultureInfo
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Typ:Boolean
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotifyUser

Der Parameter NotifyUser gibt die SMTP-Adresse des Benutzers an, der Benachrichtigungen für die Warnungsrichtlinie erhält. Es können mehrere Werte durch Kommata getrennt angegeben werden.

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotifyUserOnFilterMatch

Der Parameter NotifyUserOnFilterMatch gibt an, ob eine Warnung für ein einzelnes Ereignis ausgelöst werden soll, wenn die Warnungsrichtlinie für aggregierte Aktivitäten konfiguriert ist. Gültige Werte sind:

  • $true: Obwohl die Warnung für aggregierte Aktivität konfiguriert ist, wird eine Benachrichtigung während einer Übereinstimmung für die Aktivität (im Grunde eine frühzeitige Warnung) ausgelöst.
  • $false: Warnungen werden entsprechend des angegebenen Aggregationstyps ausgelöst. Dies ist der Standardwert.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Typ:Boolean
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotifyUserSuppressionExpiryDate

Der Parameter NotifyUserSuppressionExpiryDate gibt an, ob Benachrichtigungen für die Warnungsrichtlinie vorübergehend unterbrochen werden. Bis zum angegebenen Datum und der Uhrzeit werden keine Benachrichtigungen für erkannte Aktivitäten gesendet.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Typ:DateTime
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotifyUserThrottleThreshold

Der Parameter NotifyUserThrottleThreshold gibt die maximale Anzahl an Benachrichtigungen für die Warnungsrichtlinie innerhalb des vom Parameter NotifyUserThrottleWindow angegebenen Zeitraums an. Sobald die maximale Anzahl von Benachrichtigungen im Zeitraum erreicht wurde, werden keine Benachrichtigungen mehr für die Warnung gesendet. Gültige Werte sind:

  • Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
  • Der Wert $null. Dies ist der Standardwert (keine maximale Anzahl von Benachrichtigungen für eine Warnung).
Typ:Int32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-NotifyUserThrottleWindow

Der Parameter NotifyUserThrottleWindow gibt das Zeitintervall in Minuten an, das vom NotifyUserThrottleThreshold-Parameter verwendet wird. Gültige Werte sind:

  • Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
  • Der Wert $null. Dies ist der Standardwert (kein Intervall für Benachrichtigungseinschränkung).
Typ:Int32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Operation

Der Parameter Operation gibt die Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Eine Liste der verfügbaren Aktivitäten finden Sie auf der Registerkarte Überwachte Aktivitäten unter Überwachte Aktivitäten.

Obwohl dieser Parameter technisch gesehen mehrere durch Kommas getrennte Werte akzeptieren kann, funktionieren mehrere Werte nicht.

Sie können diesen Parameter nur verwenden, wenn der Parameter ThreatType den Wert Activity hat.

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Typ:MultiValuedProperty
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Typ:System.UInt64
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Severity

Der Parameter Severity gibt den Schweregrad der Erkennung an. Gültige Werte sind:

  • Niedrig (Dies ist der Standardwert)
  • Mittel
  • Hoch
Typ:RuleSeverity
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-ThreatType

Der Parameter ThreatType gibt den Typ der Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Gültige Werte sind:

  • Aktivität
  • Schadsoftware

Der Wert, den Sie für diesen Parameter auswählen, bestimmt die Werte, die Sie für die Parameter AlertBy, Filter und Operation verwenden können.

Sie können diesen Wert nach dem Erstellen der Warnungsrichtlinie nicht mehr ändern.

Typ:ThreatAlertType
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-Threshold

Der Parameter Threshold gibt die Anzahl der Erkennungen an, die die Warnungsrichtlinie innerhalb des durch den TimeWindow-Parameter angegebenen Zeitraums auslösen. Ein gültiger Wert ist eine ganze Zahl, die größer als oder gleich 3 ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

Typ:Int32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-TimeWindow

Der Parameter TimeWindow gibt das durch den Parameter Threshold verwendete Zeitintervall in Minuten an. Ein gültiger Wert ist eine ganze Zahl, die größer als 60 (eine Stunde) ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

Typ:Int32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Typ:System.Boolean
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Typ:System.UInt64
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance

-WhatIf

Der WhatIf-Schalter funktioniert in Security & Compliance PowerShell nicht.

Typ:SwitchParameter
Aliase:wi
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False
Gilt für::Security & Compliance