Set-ActivityAlert
Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.
Usare il cmdlet Set-ActivityAlert per modificare gli avvisi attività nel portale di Microsoft 365 Defender o nel Portale di conformità di Microsoft Purview.
Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.
Sintassi
Set-ActivityAlert
[-Identity] <ComplianceRuleIdParameter>
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-Multiplier <Double>]
[-NotifyUser <MultiValuedProperty>]
[-Operation <MultiValuedProperty>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>]
Descrizione
Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft 365 Defender o Autorizzazioni nel Portale di conformità di Microsoft Purview.
Esempio
Esempio 1
$NU = Get-ActivityAlert "Contoso Elevation of Privilege"
$NU.NotifyUser.Add("chris@fabrikam.com")
Set-ActivityAlert "Contoso Elevation of Privilege" -NotifyUser $NU.NotifyUser
Questo esempio aggiunge l'utente esterno all'elenco chris@fabrikam.com di destinatari a cui vengono inviate notifiche tramite posta elettronica per l'avviso di attività denominato Elevazione dei privilegi di Contoso.
Nota: per rimuovere un indirizzo di posta elettronica esistente dall'elenco dei destinatari, modificare il valore NotifyUser.Add in NotifyUser.Remove.
Esempio 2
Set-ActivityAlert -Identity "External Sharing Alert" -Disabled $true
In questo esempio viene disattivato l'avviso attività esistente denominato Avviso condivisione esterna.
Parametri
-Category
Il parametro Category consente di specificare una categoria per l'avviso attività. I valori validi sono:
- Nessuno (questo è il valore predefinito)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Altri
Type: | AlertRuleCategory |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Condition
Il parametro Condition consente di specificare le condizioni di filtro per l'aggregazione di eventi.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Confirm
L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.
- I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi:
-Confirm:$false
. - La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Description
Il parametro Description consente di specificare una descrizione facoltativa per l'avviso attività. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Disabled
Il parametro Disabled consente di specificare se l'avviso attività è abilitato o disabilitato. I valori validi sono:
- $true: l'avviso attività è disabilitato.
- $false: l'avviso attività è abilitato. Questo è il valore predefinito.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-EmailCulture
Il parametro EmailCulture consente di specificare la lingua del messaggio di posta elettronica di notifica.
L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Identity
Il parametro Identity consente di specificare l'avviso attività che si desidera modificare. È possibile utilizzare qualsiasi valore che identifichi l'avviso attività in modo univoco. Esempio:
- Nome
- Nome distinto (DN)
- GUID
Type: | ComplianceRuleIdParameter |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Multiplier
Il parametro Multiplier consente di specificare il numero di eventi che attivano un avviso di attività. Il valore di questo parametro indica un moltiplicatore da un valore di baseline.
È possibile usare questo parametro solo negli avvisi di attività con il valore della proprietà Type AnomalousAggregation.
Type: | Double |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUser
Il parametro NotifyUser consente di specificare l'indirizzo di posta elettronica dei destinatari che riceveranno le e-mail di notifica. È possibile specificare indirizzi di posta elettronica interni ed esterni.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN"
.
Per modificare l'elenco di destinatari esistente, vedere la sezione Esempi.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Operation
Il parametro Operation consente di specificare le attività che attivano gli avvisi di attività.
Un valore valido per questo parametro è un'attività disponibile nel log di controllo di Microsoft 365. Per una descrizione di queste attività, vedere Attività controllate.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN"
.
Per la sintassi che si utilizza per modificare un elenco esistente di valori Operations, vedere la sezione Esempi.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-RecordType
Il parametro RecordType consente di specificare un'etichetta del tipo di record per l'avviso attività. Per informazioni dettagliate sui valori disponibili, vedere AuditLogRecordType.
Non è possibile utilizzare questo parametro se il valore del parametro Type è ElevationOfPrivilege.
Type: | AuditRecordType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-ScopeLevel
Il parametro ScopeLevel specifica l'ambito per gli avvisi di attività che usano i valori del parametro Type SimpleAggregation o AnomalousAggregation. I valori validi sono:
- SingleUser (valore predefinito)
- Allusers
Type: | AlertScopeLevel |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Severity
Il parametro Severity consente di specificare un livello di gravità per l'avviso attività. I valori validi sono:
- Nessuno
- Basso (questo è il valore predefinito)
- Medio
- Alto
Type: | RuleSeverity |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Threshold
Il parametro Threshold consente di specificare il numero che attivano un avviso attività nell'intervallo di tempo specificato dal parametro TimeWindow. Il valore minimo per questo parametro è 3.
È possibile usare questo parametro solo negli avvisi di attività con il valore della proprietà Type SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-TimeWindow
Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti utilizzato dal parametro Threshold.
È possibile usare questo parametro solo negli avvisi di attività con il valore della proprietà Type SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-UserId
Il parametro UserId consente di specificare l'utente che si desidera monitorare.
- Se si specifica un indirizzo di posta elettronica di un utente, si riceverà una notifica tramite e-mail quando l'utente esegue l'attività specificata. È possibile indicare più indirizzi di posta elettronica separati da virgole.
- Se questo parametro è vuoto ($null), si riceverà una notifica tramite e-mail quando un utente dell'organizzazione esegue l'attività specificata.
È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN"
.
È possibile utilizzare questo parametro solo sugli avvisi di attività con il valore Custom o ElevationOfPrivilege della proprietà Type.
Per la sintassi che si utilizza per modificare un elenco esistente di valori UserId, vedere la sezione Esempi.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-WhatIf
L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |