Set-ProtectionAlert

Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.

Utilisez l’applet de commande Set-ProtectionAlert pour modifier les stratégies d’alerte dans le portail de conformité Microsoft Purview.

Remarque : Vous ne pouvez pas utiliser cette applet de commande pour modifier les stratégies d’alerte par défaut. Vous pouvez uniquement modifier les alertes que vous avez créées à l’aide de l’applet de commande New-ProtectionAlert.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Set-ProtectionAlert
   [-Identity] <ComplianceRuleIdParameter>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Comment <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUser <MultiValuedProperty>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

Set-ProtectionAlert -Identity "Content search deleted" -Severity High

Cet exemple montre comment définir la gravité de la détection sur Élevée pour la stratégie d’alerte spécifiée.

Exemple 2

Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120

Cet exemple montre comment modifier une alerte de sorte que même si elle est configurée pour l’activité agrégée, une notification est déclenchée pendant une correspondance pour l’activité. Un seuil de 10 détections et un TimeWindow de deux heures sont également configurés dans la même commande.

Paramètres

-AggregationType

Le paramètre AggregationType spécifie la façon dont la stratégie d’alerte déclenche des alertes pour plusieurs occurrences de l’activité surveillée. Les valeurs valides sont les suivantes :

  • Aucun : des alertes sont déclenchées pour chaque occurrence de l’activité.
  • SimpleAggregation : les alertes sont déclenchées en fonction du volume d’activité dans une fenêtre de temps donnée (valeurs des paramètres Threshold et TimeWindow). Il s’agit de la valeur par défaut.
  • AnomalieAggregation : les alertes sont déclenchées lorsque le volume d’activité atteint des niveaux inhabituels (qui dépassent considérablement la base de référence normale établie pour l’activité). Notez que l’établissement de la base de référence peut prendre jusqu’à 7 jours. Pendant la période de calcul de la ligne de base, aucune alerte n’est générée pour l’activité.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

Le paramètre AlertBy spécifie l’étendue des stratégies d’alerte agrégées. Les valeurs valides sont déterminées par la valeur de paramètre ThreatType :

  • Activité : Les valeurs valides sont User ou $null (vide, qui est la valeur par défaut). Si vous n’utilisez pas la valeur User, l’étendue de la stratégie d’alerte est l’ensemble de l’organisation.
  • Programme malveillant : les valeurs valides sont Mail.Recipient ou Mail.ThreatName.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Ce paramètre est réservé à l’usage interne chez Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Le paramètre Category spécifie une catégorie pour la stratégie d’alerte. Les valeurs valides sont les suivantes :

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Autres
  • ConfidentialitéGérer
  • Surveillance
  • ThreatManagement

Lorsqu’une activité qui répond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie qui est spécifiée par ce paramètre. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie

Type:AlertRuleCategory
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Le paramètre Comment permet d’insérer un commentaire facultatif. Si la valeur que vous saisissez contient des espaces, placez-la entre guillemets ("). Par exemple : "Ceci est une note d’administration".

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Le paramètre Description spécifie un texte descriptif pour la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Le paramètre Disabled active ou désactive la stratégie d’alerte. Les valeurs valides sont les suivantes :

  • $true : la stratégie d’alerte est désactivée.
  • $false : la stratégie d’alerte est activée. Il s’agit de la valeur par défaut.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Le paramètre Filter utilise la syntaxe OPATH pour filtrer les résultats en fonction des propriétés et valeurs spécifiées. Les critères de recherche utilisent la syntaxe "Property -ComparisonOperator 'Value'".

  • Placez l’ensemble du filtre OPATH entre guillemets doubles « ». Si le filtre contient des valeurs système (par exemple, $true, $falseou $null), utilisez plutôt des guillemets simples « ». Bien que ce paramètre soit une chaîne (et non un bloc système), vous pouvez également utiliser des accolades { }, mais uniquement si le filtre ne contient pas de variables.
  • Property est une propriété filtrable.
  • ComparisonOperator est un opérateur de comparaison OPATH (par exemple -eq pour des valeurs égales et -like pour la comparaison de chaînes). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators.
  • Value est la valeur de propriété à rechercher. Placez les valeurs de texte et les variables entre guillemets simples ('Value' ou '$Variable'). Si une valeur de variable contient des guillemets simples, vous devez identifier (échappement) les guillemets simples pour développer la variable correctement. Par exemple, au lieu de '$User', utilisez '$($User -Replace "'","''")'. Ne placez pas entre guillemets les entiers ou les valeurs système (par exemple, utilisez 500, $true, $falseou $null à la place).

Vous pouvez chaîner plusieurs critères de recherche à l’aide de l’opérateur -and logique (par exemple, "Criteria1 -and Criteria2").

Pour plus d’informations sur les filtres OPATH dans Exchange, consultez Informations supplémentaires sur la syntaxe OPATH.

Les propriétés filtrables sont les suivantes :

Activité

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Programme malveillant

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgspoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Language
  • Mail:Recipient
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName

Mail:ThreatName

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Identity

Le paramètre Identity permet de définir la stratégie d’alerte à modifier. Vous pouvez utiliser n’importe quelle valeur qui permet d’identifier la stratégie d’alerte de manière unique. Par exemple :

  • Nom
  • Nom unique (DN)
  • GUID
Type:ComplianceRuleIdParameter
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

Le paramètre NotificationCulture spécifie la langue ou les paramètres régionaux qui sont utilisés pour les notifications.

L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo de Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez CultureInfo, classe.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Ce paramètre est réservé à l’usage interne chez Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

Le paramètre NotifyUserOnFilterMatch spécifie s’il faut déclencher une alerte pour un événement unique lorsque la stratégie d’alerte est configurée pour une activité agrégée. Les valeurs valides sont les suivantes :

  • $true : même si l’alerte est configurée pour l’activité agrégée, une notification est déclenchée lors d’une correspondance pour l’activité (essentiellement, un avertissement précoce).
  • $false : les alertes sont déclenchées en fonction du type d’agrégation spécifié. Il s’agit de la valeur par défaut.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

Le paramètre NotifyUserSuppressionExpiryDate indique s’il faut suspendre temporairement les notifications de la stratégie d’alerte. Aucune notification n’est envoyée pour les activités détectées jusqu’à la date-heure spécifiée.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

Le paramètre NotifyUserThrottleThreshold spécifie le nombre maximal de notifications pour la stratégie d’alerte pendant la période de temps spécifiée par le paramètre NotifyUserThrottleWindow. Une fois que le nombre maximal de notifications est atteint pendant la période de temps, aucune autre notification n’est envoyée pour l’alerte. Les valeurs valides sont les suivantes :

  • Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
  • Valeur $null. Il s’agit de la valeur par défaut (aucun nombre maximal de notifications pour une alerte).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

Le paramètre NotifyUserThrottleWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre NotifyUserThrottleThreshold. Les valeurs valides sont les suivantes :

  • Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
  • Valeur $null. Il s’agit de la valeur par défaut (aucun intervalle pour la limitation de notifications).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Le paramètre Operation spécifie les activités supervisées par la stratégie d’alerte. Pour obtenir la liste des activités disponibles, consultez l’onglet Activités auditées dans Activités auditées.

Bien que ce paramètre soit techniquement capable d’accepter plusieurs valeurs séparées par des virgules, plusieurs valeurs ne fonctionnent pas.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre ThreatType est Activity.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Le paramètre Severity spécifie la gravité de la détection. Les valeurs valides sont les suivantes :

  • Faible (il s’agit de la valeur par défaut)
  • Moyen
  • Élevé
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Le paramètre Threshold spécifie le nombre de détections qui déclenchent la stratégie d’alerte (dans la période spécifiée par le paramètre TimeWindow). Une valeur valide est un nombre entier qui est supérieur ou égal à 3.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Le paramètre TimeWindow spécifie l’intervalle de temps en minutes du nombre de détections spécifié par le paramètre Threshold. Une valeur valide est un nombre entier qui est supérieur à 60 (une heure).

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance