Set-ActivityAlert
Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.
Utilisez l’applet de commande Set-ActivityAlert pour modifier les alertes d’activité dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
Set-ActivityAlert
[-Identity] <ComplianceRuleIdParameter>
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-Multiplier <Double>]
[-NotifyUser <MultiValuedProperty>]
[-Operation <MultiValuedProperty>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Description
Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.
Exemples
Exemple 1
$NU = Get-ActivityAlert "Contoso Elevation of Privilege"
$NU.NotifyUser.Add("chris@fabrikam.com")
Set-ActivityAlert "Contoso Elevation of Privilege" -NotifyUser $NU.NotifyUserCet exemple ajoute l’utilisateur chris@fabrikam.com externe à la liste des destinataires auxquels les notifications par e-mail sont envoyées pour l’alerte d’activité nommée Contoso Elevation of Privilege.
Remarque : Pour supprimer une adresse e-mail existante de la liste des destinataires, remplacez la valeur NotifyUser.Add par NotifyUser.Remove.
Exemple 2
Set-ActivityAlert -Identity "External Sharing Alert" -Disabled $trueCet exemple montre comment désactiver l’alerte d’activité existante nommée Alerte de partage externe.
Paramètres
-Category
Le paramètre Category spécifie une catégorie pour l’alerte d’activité. Les valeurs valides sont les suivantes :
- None (il s’agit de la valeur par défaut)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Autres
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Le paramètre Condition spécifie les conditions de filtre pour l’agrégation d’événements.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.
- Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte :
-Confirm:$false. - La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Le paramètre Description permet de fournir une description de l’alerte d’activité (facultatif). Si la valeur contient des espaces, placez-la entre guillemets (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Le paramètre Disabled indique si l’alerte d’activité est activée ou désactivée. Les valeurs valides sont les suivantes :
- $true : l’alerte d’activité est désactivée.
- $false : l’alerte d’activité est activée. Il s’agit de la valeur par défaut.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Le paramètre EmailCulture spécifie la langue du message de notification.
L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez CultureInfo, classe.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Identity
Le paramètre Identity spécifie l’alerte d’activité à modifier. Vous pouvez utiliser n’importe quelle valeur qui identifie de manière unique l’alerte d’activité. Par exemple :
- Nom
- Nom unique (DN)
- GUID
| Type: | ComplianceRuleIdParameter |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Le paramètre Multiplier spécifie le nombre d’événements qui déclenchent une alerte d’activité. La valeur de ce paramètre indique un multiplicateur à partir d’une valeur de référence.
Vous pouvez utiliser ce paramètre uniquement sur les alertes d’activité qui ont la valeur de propriété Type AnomalousAggregation.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Le paramètre NotifyUser spécifie l’adresse e-mail des destinataires qui recevront les messages de notification. Vous pouvez indiquer des adresses électroniques internes et externes.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
Pour modifier la liste existante des destinataires, consultez la section Exemples.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Le paramètre Operation spécifie les activités qui déclenchent des alertes d’activité.
Une valeur valide pour ce paramètre est une activité disponible dans le journal d’audit Microsoft 365. Pour obtenir une description de ces activités, consultez Activités auditées.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
Pour connaître la syntaxe à utiliser pour modifier une liste existante de valeurs Operations, consultez la section Exemples.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Le paramètre RecordType indique le nom du type d’enregistrement de l’alerte d’activité. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.
Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre Type est ElevationOfPrivilege.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Le paramètre ScopeLevel spécifie l’étendue des alertes d’activité qui utilisent les valeurs de paramètre Type SimpleAggregation ou AnomalousAggregation. Les valeurs valides sont les suivantes :
- SingleUser (il s’agit de la valeur par défaut)
- AllUsers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Le paramètre Severity spécifie un niveau de gravité pour l’alerte d’activité. Les valeurs valides sont les suivantes :
- Aucun
- Faible (il s’agit de la valeur par défaut)
- Moyen
- Élevé
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Le paramètre Threshold spécifie le nombre d’événements qui déclenchent une alerte d’activité dans l’intervalle de temps spécifié par le paramètre TimeWindow. La valeur minimale de ce paramètre est 3.
Vous ne pouvez utiliser ce paramètre que sur les alertes d’activité qui ont la valeur de propriété Type SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Le paramètre TimeWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre Threshold.
Vous ne pouvez utiliser ce paramètre que sur les alertes d’activité qui ont la valeur de propriété Type SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Le paramètre UserId spécifie qui vous voulez analyser.
- Si vous spécifiez l’adresse e-mail d’un utilisateur, vous recevrez une notification par courrier électronique lorsque l’utilisateur exécute l’activité spécifiée. Vous pouvez spécifier plusieurs adresses e-mail séparées par des virgules.
- Si ce paramètre est vide ($null), vous recevrez une notification par courrier électronique lorsqu’un utilisateur de votre organisation effectue l’activité spécifiée.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
Vous pouvez utiliser ce paramètre uniquement sur des alertes d’activité ayant les valeur de propriété TypeCustom ou ElevationOfPrivilege.
Pour connaître la syntaxe à utiliser pour modifier une liste existante de valeurs UserId, consultez la section Exemples.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |