New-ProtectionAlert

Le paramètre AggregationType spécifie la façon dont la stratégie d’alerte déclenche des alertes pour plusieurs occurrences de l’activité surveillée. Les valeurs valides sont les suivantes :

• Aucun : des alertes sont déclenchées pour chaque occurrence de l’activité.
• SimpleAggregation : les alertes sont déclenchées en fonction du volume d’activité dans une fenêtre de temps donnée (les valeurs des paramètres Threshold et TimeWindow). Il s’agit de la valeur par défaut.
• AnomalieAggregation : les alertes sont déclenchées lorsque le volume d’activité atteint des niveaux inhabituels (qui dépassent considérablement la base de référence normale établie pour l’activité). Notez que l’établissement de la base de référence peut prendre jusqu’à 7 jours. Pendant la période de calcul de la ligne de base, aucune alerte n’est générée pour l’activité.

Le paramètre AlertBy spécifie l’étendue des stratégies d’alerte agrégées. Les valeurs valides sont déterminées par la valeur de paramètre ThreatType :

• Activité : Les valeurs valides sont User ou $null (vide, qui est la valeur par défaut). Si vous n’utilisez pas la valeur User, l’étendue de la stratégie d’alerte est l’ensemble de l’organisation.
• Programme malveillant : les valeurs valides sont Mail.Recipient ou Mail.ThreatName.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Ce paramètre est réservé à l’usage interne chez Microsoft.

Le paramètre Category spécifie une catégorie pour la stratégie d’alerte. Les valeurs valides sont les suivantes :

• AccessGovernance
• ComplianceManager
• DataGovernance
• MailFlow
• Autres
• ConfidentialitéGérer
• Surveillance
• ThreatManagement

Lorsqu’une activité qui répond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie qui est spécifiée par ce paramètre. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie

Le paramètre Comment permet d’insérer un commentaire facultatif. Si la valeur que vous saisissez contient des espaces, placez-la entre guillemets ("). Par exemple : "Ceci est une note d’administration".

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

• Les applets de commande destructrices (par exemple, les applets de commande Remove-*) comportent une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
• La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n'ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.

{{ Fill CorrelationPolicyId Description }}

{{ Fill CustomProperties Description }}

Le paramètre Description spécifie un texte descriptif pour la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Le paramètre Disabled active ou désactive la stratégie d’alerte. Les valeurs valides sont les suivantes :

• $true : la stratégie d’alerte est désactivée.
• $false : la stratégie d’alerte est activée. Il s’agit de la valeur par défaut.

Le paramètre Filter utilise la syntaxe OPATH pour filtrer les résultats en fonction des propriétés et valeurs spécifiées. Les critères de recherche utilisent la syntaxe "Property -ComparisonOperator 'Value'".

• Placez l’ensemble du filtre OPATH entre guillemets doubles « ». Si le filtre contient des valeurs système (par exemple, $true, $falseou $null), utilisez plutôt des guillemets simples « ». Bien que ce paramètre soit une chaîne (et non un bloc système), vous pouvez également utiliser des accolades { }, mais uniquement si le filtre ne contient pas de variables.
• Property est une propriété filtrable.
• ComparisonOperator est un opérateur de comparaison OPATH (par exemple -eq , pour des valeurs égales et -like pour la comparaison de chaînes). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators.
• Value est la valeur de propriété à rechercher. Placez les valeurs de texte et les variables entre guillemets simples ('Value' ou '$Variable'). Si une valeur de variable contient des guillemets simples, vous devez identifier (échappement) les guillemets simples pour développer la variable correctement. Par exemple, au lieu de '$User', utilisez '$($User -Replace "'","''")'. Ne placez pas entre guillemets les entiers ou les valeurs système (par exemple, utilisez 500, $true, $falseou $null à la place).

Vous pouvez chaîner plusieurs critères de recherche à l’aide de l’opérateur logique -and (par exemple, "Criteria1 -and Criteria2").

Pour plus d’informations sur les filtres OPATH dans Exchange, consultez Informations supplémentaires sur la syntaxe OPATH.

Les propriétés filtrables sont les suivantes :

Activité

• Activity.ClientIp
• Activity.CreationTime
• Activity.Item
• Activity.ItemType
• Activity.Operation
• Activity.ResultStatus
• Activity.Scope
• Activity.SiteUrl
• Activity.SourceFileExtension
• Activity.SourceFileName
• Activity.TargetUserOrGroupType
• Activity.UserAgent
• Activity.UserId
• Activity.UserType
• Activity.Workload

Programme malveillant

• Mail :AttachmentExtensions
• Mail :AttachmentNames
• Mail :CreationTime
• Mail :DeliveryStatus
• Mail :Direction
• Mail :From
• Mail :FromDomain
• Mail :InternetMessageId
• Mail :IsIntraOrgspoof
• Mail :IsMalware
• Mail :IsSpam
• Mail :IsThreat
• Mail :Language
• Mail :Recipient
• Mail :Scl
• Mail :SenderCountry
• Mail :SenderIpAddress
• Mail :Subject
• Mail :TenantId
• Mail :ThreatName

{{ Fill LogicalOperationName Description }}

Le paramètre Name spécifie le nom unique de la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Le paramètre NotificationCulture spécifie la langue ou les paramètres régionaux qui sont utilisés pour les notifications.

L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo de Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez Classe CultureInfo.

{{ Fill NotificationEnabled Description }}

Le paramètre NotifyUser spécifie l’adresse SMTP de l’utilisateur qui reçoit des messages de notification pour la stratégie d’alerte. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Le paramètre NotifyUserOnFilterMatch spécifie s’il faut déclencher une alerte pour un événement unique lorsque la stratégie d’alerte est configurée pour une activité agrégée. Les valeurs valides sont les suivantes :

• $true : même si l’alerte est configurée pour l’activité agrégée, une notification est déclenchée lors d’une correspondance pour l’activité (essentiellement, un avertissement précoce).
• $false : les alertes sont déclenchées en fonction du type d’agrégation spécifié. Il s’agit de la valeur par défaut.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Le paramètre NotifyUserSuppressionExpiryDate indique s’il faut suspendre temporairement les notifications de la stratégie d’alerte. Aucune notification n’est envoyée pour les activités détectées jusqu’à la date-heure spécifiée.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte MM/jj/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Le paramètre NotifyUserThrottleThreshold spécifie le nombre maximal de notifications pour la stratégie d’alerte pendant la période de temps spécifiée par le paramètre NotifyUserThrottleWindow. Une fois que le nombre maximal de notifications est atteint pendant la période de temps, aucune autre notification n’est envoyée pour l’alerte. Les valeurs valides sont les suivantes :

• Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
• Valeur $null. Il s’agit de la valeur par défaut (aucun nombre maximal de notifications pour une alerte).

Le paramètre NotifyUserThrottleWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre NotifyUserThrottleThreshold. Les valeurs valides sont les suivantes :

• Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
• Valeur $null. Il s’agit de la valeur par défaut (aucun intervalle pour la limitation de notifications).

Le paramètre Operation spécifie les activités supervisées par la stratégie d’alerte. Pour obtenir la liste des activités disponibles, consultez l’onglet Activités auditées dans Activités auditées.

Bien que ce paramètre soit techniquement capable d’accepter plusieurs valeurs séparées par des virgules, plusieurs valeurs ne fonctionnent pas.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre ThreatType est Activity.

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Le paramètre Severity spécifie la gravité de la détection. Les valeurs valides sont les suivantes :

• Faible (il s’agit de la valeur par défaut)
• Moyen
• Élevé

Le paramètre ThreatType spécifie le type d’activités supervisées par la stratégie d’alerte. Les valeurs valides sont les suivantes :

• Activité
• Programme malveillant

La valeur que vous sélectionnez pour ce paramètre détermine les valeurs que vous pouvez utiliser pour les paramètres AlertBy, Filter et Operation.

Vous ne pouvez pas modifier cette valeur après avoir créé la stratégie d’alerte.

Le paramètre Threshold spécifie le nombre de détections qui déclenchent la stratégie d’alerte au cours de la période spécifiée par le paramètre TimeWindow. Une valeur valide est un nombre entier qui est supérieur ou égal à 3.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Le paramètre TimeWindow spécifie l’intervalle de temps en minutes du nombre de détections spécifié par le paramètre Threshold. Une valeur valide est un nombre entier qui est supérieur à 60 (une heure).

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

{{ Fill UseCreatedDateTime Description }}

{{ Fill VolumeThreshold Description }}

Le commutateur WhatIf ne fonctionne pas dans le Centre de sécurité et de conformité PowerShell.