New-ActivityAlert
Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.
Usare il cmdlet New-ActivityAlert per creare avvisi attività nel portale di Microsoft 365 Defender o nel Portale di conformità di Microsoft Purview. Gli avvisi attività inviano notifiche tramite posta elettronica quando gli utenti eseguono attività specifiche in Microsoft 365.
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
New-ActivityAlert
-Multiplier <Double>
-Name <String>
-NotifyUser <MultiValuedProperty>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Threshold <Int32>
-TimeWindow <Int32>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Operation <MultiValuedProperty>
[-Type <AlertType>]
[-Category <AlertRuleCategory>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Descrizione
Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft 365 Defender o Autorizzazioni nel Portale di conformità di Microsoft Purview.
Esempio
Esempio 1
New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"In questo esempio viene creato un nuovo avviso attività denominato Avviso condivisione esterna con le proprietà seguenti:
- Operazione: sharinginvitationcreated.
- NotifyUser: chrisda@contoso.com e michelle@contoso.com.
- UserId: laura@contoso.com e julia@contoso.com.
- Descrizione: notifica per gli eventi di condivisione esterna da laura@contoso.com e julia@contoso.com.
Parametri
-Category
Il parametro Category consente di specificare una categoria per l'avviso attività. I valori validi sono:
- Nessuno (questo è il valore predefinito)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Altri
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Il parametro Condition consente di specificare le condizioni di filtro per l'aggregazione di eventi.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.
- I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi:
-Confirm:$false. - La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Il parametro Description consente di specificare una descrizione facoltativa per l'avviso attività. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Il parametro Disabled consente di specificare se l'avviso attività è abilitato o disabilitato. I valori validi sono:
- $true: l'avviso attività è disabilitato.
- $false: l'avviso attività è abilitato. Questo è il valore predefinito.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Il parametro EmailCulture consente di specificare la lingua del messaggio di posta elettronica di notifica.
L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Il parametro Multiplier consente di specificare il numero di eventi che attivano un avviso di attività. Il valore di questo parametro indica un moltiplicatore da un valore di baseline.
È possibile utilizzare questo parametro solo quando il valore del parametro Type è AnomalousAggregation.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Il parametro Name consente di specificare il nome univoco dell'avviso attività. La lunghezza massima è 64 caratteri. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Il parametro NotifyUser consente di specificare gli indirizzi di posta elettronica dei destinatari delle e-mail di notifica. È possibile specificare indirizzi di posta elettronica interni ed esterni.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Il parametro Operation consente di specificare l'attività che attiva un avviso di attività.
Un valore valido per questo parametro è un'attività disponibile nel log di controllo di Microsoft 365. Per una descrizione di queste attività, vedere Attività controllate.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".
Non è possibile utilizzare questo parametro se il valore del parametro Type è ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Il parametro RecordType consente di specificare un'etichetta del tipo di record per l'avviso attività. Per informazioni dettagliate sui valori disponibili, vedere AuditLogRecordType.
Non è possibile utilizzare questo parametro se il valore del parametro Type è ElevationOfPrivilege.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Il parametro ScopeLevel specifica l'ambito per gli avvisi di attività che usano i valori del parametro Type SimpleAggregation o AnomalousAggregation. I valori validi sono:
- SingleUser (valore predefinito)
- Allusers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Il parametro Severity consente di specificare un livello di gravità per l'avviso attività. I valori validi sono:
- Nessuno
- Basso (questo è il valore predefinito)
- Medio
- Alto
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Il parametro Threshold consente di specificare il numero che attivano un avviso attività nell'intervallo di tempo specificato dal parametro TimeWindow. Il valore minimo per questo parametro è 3.
È possibile utilizzare questo parametro solo quando il valore del parametro Type è SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti utilizzato dal parametro Threshold.
È possibile utilizzare questo parametro solo quando il valore del parametro Type è SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Type
Il parametro Type consente di specificare il tipo di avviso. I valori validi sono:
- Personalizzato: viene creato un avviso per le attività specificate con il parametro Operation. In genere, non è necessario utilizzare questo valore (se non si usa il parametro Type e si specificano le attività con il parametro Operations, il valore Custom verrà aggiunto automaticamente alla proprietà Type).
- ElevationOfPrivilege: questo valore viene ritirato.
- SimpleAggregation: viene creato un avviso in base alle attività definite dai parametri Operation e Condition, al numero di attività specificate dal parametro Threshold e al periodo di tempo specificato dal parametro TimeWindow.
- AnomalousAggregation: viene creato un avviso in base alle attività definite dai parametri Operation e Condition e al numero di attività specificate dal parametro Multiplier.
Nota: non è possibile modificare il valore Type in un avviso attività esistente.
| Type: | AlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Il parametro UserId consente di specificare l'utente che si desidera monitorare.
- Se si specifica un indirizzo di posta elettronica di un utente, si riceverà una notifica tramite e-mail quando l'utente esegue l'attività specificata. È possibile indicare più indirizzi di posta elettronica separati da virgole.
- Se questo parametro è vuoto ($null), si riceverà una notifica tramite e-mail quando un utente dell'organizzazione esegue l'attività specificata.
È possibile utilizzare questo parametro solo quando i valori del parametro Type sono Custom o ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |