New-ProtectionAlert

Der Parameter AggregationType gibt an, wie die Warnungsrichtlinie Warnungen für mehrere Instanzen von überwachter Aktivität auslöst. Gültige Werte sind:

• None: Warnungen werden für jedes Vorkommen der Aktivität ausgelöst.
• SimpleAggregation: Warnungen werden abhängig vom Umfang der Aktivität in einem bestimmten Zeitfenster (die Werte der Parameter Threshold und TimeWindow) ausgelöst. Dies ist der Standardwert.
• AnomalousAggregation: Warnungen werden ausgelöst, wenn der Umfang der Aktivität ungewöhnliche Level erreicht (überschreitet die normale Basislinie, die für die Aktivität eingerichtet ist, erheblich). Beachten Sie, dass es bis zu 7 Tage dauern kann, bis Microsoft 365 die Baseline festgelegt hat. Während der Berechnungsphase für die Basislinie werden keine Warnungen für Aktivitäten generiert.

Der AlertBy-Parameter gibt den Bereich für aggregierte Warnungsrichtlinien an. Gültige Werte werden durch den Parameterwert ThreatType bestimmt:

• Aktivität: Gültige Werte sind User oder $null (der Standardwert ist leer). Wenn der Wert User nicht verwendet wird, ist der Umfang der Warnungsrichtlinie die gesamte Organisation.
• Schadsoftware: Gültige Werte sind Mail.Recipient oder Mail.ThreatName.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Der Parameter Category gibt eine Kategorie für die Warnungsrichtlinie an. Gültige Werte sind:

• AccessGovernance
• ComplianceManager
• DataGovernance
• MailFlow
• Sonstige
• PrivacyManagement
• Aufsicht
• ThreatManagement

Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die durch diesen Parameter angegeben ist. So können Sie Warnungen nachverfolgen und verwalten, die die gleiche Kategorie-Einstellung haben.

Der „Comment“-Parameter gibt einen optionalen Kommentar an. Wenn Sie einen Wert angeben, der Leerzeichen enthält, setzen Sie den Wert in Anführungszeichen ("), z. B. "This is an admin note".

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

• Destruktive Cmdlets (beispielsweise Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
• Die meisten anderen Cmdlets (beispielsweise New-*- und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.

{{ Fill CorrelationPolicyId Description }}

{{ Fill CustomProperties Description }}

Der Parameter Description gibt eine Beschreibung für die Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Der Parameter Disabled aktiviert oder deaktiviert die Warnungsrichtlinie. Gültige Werte sind:

• $true: Die Warnungsrichtlinie ist deaktiviert.
• $false: Die Warnungsrichtlinie ist aktiviert. Dies ist der Standardwert.

Der Parameter Filter verwendet die OPATH-Syntax, um die Ergebnisse nach den angegebenen Eigenschaften und Werten zu filtern. Das Suchkriterium verwendet die Syntax "Property -ComparisonOperator 'Value'".

• Schließen Sie den gesamten OPATH-Filter in doppelte Anführungszeichen " ein. Wenn der Filter Systemwerte enthält (z. B. $true, $falseoder $null), verwenden Sie stattdessen einfache Anführungszeichen ''. Obwohl dieser Parameter eine Zeichenfolge ist (kein Systemblock), können Sie auch geschweifte Klammern { } verwenden, jedoch nur, wenn der Filter keine Variablen enthält.
• Eigenschaft ist eine filterbare Eigenschaft.
• ComparisonOperator ist ein OPATH-Vergleichsoperator (z. B -eq . für gleich und -like für den Zeichenfolgenvergleich). Weitere Informationen über Vergleichsoperatoren finden Sie unter about_Comparison_Operators.
• Wert ist der zu suchende Eigenschaftswert. Fügen Sie Textwerte und Variablen in einfache Anführungszeichen ('Value' oder '$Variable') ein. Wenn ein Variablenwert einfache Anführungszeichen enthält, müssen Sie die einfachen Anführungszeichen identifizieren (escape), um die Variable korrekt zu erweitern. Sie können z. B. '$($User -Replace "'","''")' anstelle von '$User' verwenden. Schließen Sie keine ganzen Zahlen oder Systemwerte in Anführungszeichen ein (verwenden Sie stattdessen beispielsweise 500$true, $false oder $null).

Sie können mehrere Suchkriterien mithilfe des logischen -and Operators verketten (z. B "Criteria1 -and Criteria2". ).

Ausführliche Informationen zu OPATH-Filtern in Exchange finden Sie unter Zusätzliche Informationen zur OPATH-Syntax.

Die filterbaren Eigenschaften sind:

Aktivität

• Activity.ClientIp
• Activity.CreationTime
• Activity.Item
• Activity.ItemType
• Activity.Operation
• Activity.ResultStatus
• Activity.Scope
• Activity.SiteUrl
• Activity.SourceFileExtension
• Activity.SourceFileName
• Activity.TargetUserOrGroupType
• Activity.UserAgent
• Activity.UserId
• Activity.UserType
• Activity.Workload

Schadsoftware

• Mail:AttachmentExtensions
• Mail:AttachmentNames
• Mail:CreationTime
• Mail:DeliveryStatus
• Mail:Richtung
• Mail:From
• Mail:FromDomain
• Mail:InternetMessageId
• Mail:IsIntraOrgSpoof
• Mail:IsMalware
• Mail:IsSpam
• Mail:IsThreat
• Mail:Sprache
• Mail:Empfänger
• Mail:Scl
• Mail:SenderCountry
• Mail:SenderIpAddress
• Mail:Betreff
• Mail:TenantId
• Mail:ThreatName

{{ Fill LogicalOperationName Description }}

Der Parameter Name gibt den eindeutigen Namen der neuen Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Der Parameter NotificationCulture gibt die Sprache oder das Gebietsschema für Warnungen an.

Gültige Eingabe für diesen Parameter ist ein unterstützter Kulturcodewert aus der Microsoft .NET Framework CultureInfo-Klasse. Beispiel: da-DK für Dänisch oder ja-JP für Japanisch. Weitere Informationen finden Sie unter CultureInfo-Klasse.

{{ Fill NotificationEnabled Description }}

Der Parameter NotifyUser gibt die SMTP-Adresse des Benutzers an, der Benachrichtigungen für die Warnungsrichtlinie erhält. Es können mehrere Werte durch Kommata getrennt angegeben werden.

Der Parameter NotifyUserOnFilterMatch gibt an, ob eine Warnung für ein einzelnes Ereignis ausgelöst werden soll, wenn die Warnungsrichtlinie für aggregierte Aktivitäten konfiguriert ist. Gültige Werte sind:

• $true: Obwohl die Warnung für aggregierte Aktivität konfiguriert ist, wird eine Benachrichtigung während einer Übereinstimmung für die Aktivität (im Grunde eine frühzeitige Warnung) ausgelöst.
• $false: Warnungen werden entsprechend des angegebenen Aggregationstyps ausgelöst. Dies ist der Standardwert.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Der Parameter NotifyUserSuppressionExpiryDate gibt an, ob Benachrichtigungen für die Warnungsrichtlinie vorübergehend unterbrochen werden. Bis zum angegebenen Datum und der Uhrzeit werden keine Benachrichtigungen für erkannte Aktivitäten gesendet.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn der Computer beispielsweise für die Verwendung des kurzen Datumsformats MM/TT/jjjj konfiguriert ist, geben Sie 09/01/2018 ein, um den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Der Parameter NotifyUserThrottleThreshold gibt die maximale Anzahl an Benachrichtigungen für die Warnungsrichtlinie innerhalb des vom Parameter NotifyUserThrottleWindow angegebenen Zeitraums an. Sobald die maximale Anzahl von Benachrichtigungen im Zeitraum erreicht wurde, werden keine Benachrichtigungen mehr für die Warnung gesendet. Gültige Werte sind:

• Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
• Der Wert $null. Dies ist der Standardwert (keine maximale Anzahl von Benachrichtigungen für eine Warnung).

Der Parameter NotifyUserThrottleWindow gibt das Zeitintervall in Minuten an, das vom NotifyUserThrottleThreshold-Parameter verwendet wird. Gültige Werte sind:

• Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
• Der Wert $null. Dies ist der Standardwert (kein Intervall für Benachrichtigungseinschränkung).

Der Parameter Operation gibt die Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Eine Liste der verfügbaren Aktivitäten finden Sie auf der Registerkarte Überwachte Aktivitäten unter Überwachte Aktivitäten.

Obwohl dieser Parameter technisch gesehen mehrere durch Kommas getrennte Werte akzeptieren kann, funktionieren mehrere Werte nicht.

Sie können diesen Parameter nur verwenden, wenn der Parameter ThreatType den Wert Activity hat.

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Der Parameter Severity gibt den Schweregrad der Erkennung an. Gültige Werte sind:

• Niedrig (Dies ist der Standardwert)
• Mittel
• Hoch

Der Parameter ThreatType gibt den Typ der Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Gültige Werte sind:

• Aktivität
• Schadsoftware

Der Wert, den Sie für diesen Parameter auswählen, bestimmt die Werte, die Sie für die Parameter AlertBy, Filter und Operation verwenden können.

Sie können diesen Wert nach dem Erstellen der Warnungsrichtlinie nicht mehr ändern.

Der Parameter Threshold gibt die Anzahl der Erkennungen an, die die Warnungsrichtlinie innerhalb des durch den TimeWindow-Parameter angegebenen Zeitraums auslösen. Ein gültiger Wert ist eine ganze Zahl, die größer als oder gleich 3 ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

Der Parameter TimeWindow gibt das durch den Parameter Threshold verwendete Zeitintervall in Minuten an. Ein gültiger Wert ist eine ganze Zahl, die größer als 60 (eine Stunde) ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

{{ Fill UseCreatedDateTime Description }}

{{ Fill VolumeThreshold Description }}

Der WhatIf-Schalter funktioniert in Security & Compliance PowerShell nicht.