New-ActivityAlert

Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.

Utilisez l’applet de commande New-ActivityAlert pour créer des alertes d’activité dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview. Les alertes d’activité vous envoient des notifications par e-mail lorsque les utilisateurs effectuent des activités spécifiques dans Microsoft 365.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

L’exemple suivant crée une alerte d’activité nommée Alerte de partage externe qui contient les propriétés suivantes :

  • Opération : sharinginvitationcreated.
  • NotifyUser : chrisda@contoso.com et michelle@contoso.com.
  • UserId : laura@contoso.com et julia@contoso.com.
  • Description : notification pour les événements de partage externe par laura@contoso.com et julia@contoso.com.

Paramètres

-Category

Le paramètre Category spécifie une catégorie pour l’alerte d’activité. Les valeurs valides sont les suivantes :

  • None (il s’agit de la valeur par défaut)
  • DataLossPrevention
  • ThreatManagement
  • DataGovernance
  • AccessGovernance
  • Autres
Type:AlertRuleCategory
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Condition

Le paramètre Condition spécifie les conditions de filtre pour l’agrégation d’événements.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Le paramètre Description permet de fournir une description de l’alerte d’activité (facultatif). Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Le paramètre Disabled indique si l’alerte d’activité est activée ou désactivée. Les valeurs valides sont les suivantes :

  • $true : l’alerte d’activité est désactivée.
  • $false : l’alerte d’activité est activée. Il s’agit de la valeur par défaut.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-EmailCulture

Le paramètre EmailCulture spécifie la langue du message de notification.

L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez CultureInfo, classe.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Multiplier

Le paramètre Multiplier spécifie le nombre d’événements qui déclenchent une alerte d’activité. La valeur de ce paramètre indique un multiplicateur à partir d’une valeur de référence.

Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est AnomalousAggregation.

Type:Double
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Le paramètre Name spécifie le nom unique de l’alerte d’activité. La longueur maximale est de 64 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Le paramètre NotifyUser spécifie les adresses électroniques pour les messages de notification. Vous pouvez indiquer des adresses électroniques internes et externes.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Le paramètre Operation spécifie l’activité qui déclenche une alerte d’activité.

Une valeur valide pour ce paramètre est une activité disponible dans le journal d’audit Microsoft 365. Pour obtenir une description de ces activités, consultez Activités auditées.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Vous ne pouvez pas utiliser ce paramètre si la valeur du paramètre Type est ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordType

Le paramètre RecordType indique le nom du type d’enregistrement de l’alerte d’activité. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre Type est ElevationOfPrivilege.

Type:AuditRecordType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ScopeLevel

Le paramètre ScopeLevel spécifie l’étendue des alertes d’activité qui utilisent les valeurs de paramètre Type SimpleAggregation ou AnomalousAggregation. Les valeurs valides sont les suivantes :

  • SingleUser (il s’agit de la valeur par défaut)
  • AllUsers
Type:AlertScopeLevel
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Le paramètre Severity spécifie un niveau de gravité pour l’alerte d’activité. Les valeurs valides sont les suivantes :

  • Aucun
  • Faible (il s’agit de la valeur par défaut)
  • Moyen
  • Élevé
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Le paramètre Threshold spécifie le nombre d’événements qui déclenchent une alerte d’activité dans l’intervalle de temps spécifié par le paramètre TimeWindow. La valeur minimale de ce paramètre est 3.

Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Le paramètre TimeWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre Threshold.

Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Type

Le paramètre Type spécifie le type d’alerte. Les valeurs valides sont les suivantes :

  • Personnalisé : une alerte est créée pour les activités que vous spécifiez avec le paramètre Operation. En règle générale, vous n’avez pas besoin d’utiliser cette valeur (si vous n’utilisez pas le paramètre Type et que vous spécifiez les activités avec le paramètre Operations, la valeur Custom est automatiquement ajoutée à la propriété Type).
  • ElevationOfPrivilege : cette valeur est en cours de mise hors service.
  • SimpleAggregation : une alerte est créée en fonction des activités définies par les paramètres Operation et Condition, du nombre d’activités spécifiées par le paramètre Threshold et de la période spécifiée par le paramètre TimeWindow.
  • AnomalousAggregation : une alerte est créée en fonction des activités définies par les paramètres Operation et Condition, et du nombre d’activités spécifiées par le paramètre Multiplicateur.

Remarque : Vous ne pouvez pas modifier la valeur Type dans une alerte d’activité existante.

Type:AlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserId

Le paramètre UserId spécifie qui vous voulez analyser.

  • Si vous spécifiez l’adresse e-mail d’un utilisateur, vous recevrez une notification par courrier électronique lorsque l’utilisateur exécute l’activité spécifiée. Vous pouvez spécifier plusieurs adresses e-mail séparées par des virgules.
  • Si ce paramètre est vide ($null), vous recevrez une notification par courrier électronique lorsqu’un utilisateur de votre organisation effectue l’activité spécifiée.

Vous pouvez utiliser ce paramètre uniquement si les valeurs du paramètre Type sont Custom ou ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance