MdatpPwsh.dll-Help.xml
<?xml version="1.0" encoding="utf-8"?>
<helpItems schema="maml" xmlns="http://msh"> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Add-DatpMachineTag</command:name> <command:verb>Add</command:verb> <command:noun>DatpMachineTag</command:noun> <maml:description> <maml:para>Add a tag to a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Add a tag to a machine in Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Add-DatpMachineTag</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TagName</maml:name> <maml:description> <maml:para>The name of the tag to add.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TagName</maml:name> <maml:description> <maml:para>The name of the tag to add.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Add-DatpMachineTag -MachineId "comp-01.contoso.com" -TagName "TestTag-01"</dev:code> <dev:remarks> <maml:para>Add a tag to the machine 'comp-01.contoso.com' with the name 'TestTag-01'.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Connect-DatpGraph</command:name> <command:verb>Connect</command:verb> <command:noun>DatpGraph</command:noun> <maml:description> <maml:para>Connect to the Defender for Endpoint API.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Initiates the authentication process to connect to the Defender for Endpoint API.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Connect-DatpGraph</maml:name> </command:syntaxItem> </command:syntax> <command:parameters /> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples /> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpAlert</command:name> <command:verb>Get</command:verb> <command:noun>DatpAlert</command:noun> <maml:description> <maml:para>Get an alert or alerts from Defender for Endpoint.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get an alert or all alerts of a specific status from the Defender for Endpoint API.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpAlert</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AlertId</maml:name> <maml:description> <maml:para>The ID of an alert generated by Defender for Endpoint.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> <command:syntaxItem> <maml:name>Get-DatpAlert</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>AlertStatus</maml:name> <maml:description> <maml:para>The current status of the alerts to get.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">InProgress</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">New</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Resolved</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Unknown</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">AlertStatus</command:parameterValue> <dev:type> <maml:name>AlertStatus</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AlertId</maml:name> <maml:description> <maml:para>The ID of an alert generated by Defender for Endpoint.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>AlertStatus</maml:name> <maml:description> <maml:para>The current status of the alerts to get.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">AlertStatus</command:parameterValue> <dev:type> <maml:name>AlertStatus</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpAlert -AlertId "da123456789123456_1234567890"</dev:code> <dev:remarks> <maml:para>Get an alert by a specific AlertID.</maml:para> </dev:remarks> </command:example> <command:example> <maml:title>-------------------------- Example 2 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpAlert -AlertStatus "New"</dev:code> <dev:remarks> <maml:para>Get all alerts with the status of "New".</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpDomainRelated</command:name> <command:verb>Get</command:verb> <command:noun>DatpDomainRelated</command:noun> <maml:description> <maml:para>Get machines or alerts that have interacted with a web domain.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get machines or alerts that have interacted with a web domain.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpDomainRelated</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>DomainName</maml:name> <maml:description> <maml:para>The web domain name to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Type</maml:name> <maml:description> <maml:para>The type of objects to return.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">Alerts</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Machines</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>DomainName</maml:name> <maml:description> <maml:para>The web domain name to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Type</maml:name> <maml:description> <maml:para>The type of objects to return.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpDomainRelated -DomainName "www.reddit.com" -Type Machines</dev:code> <dev:remarks> <maml:para>Get all machines that have made contact with 'www.reddit.com'.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpDomainStats</command:name> <command:verb>Get</command:verb> <command:noun>DatpDomainStats</command:noun> <maml:description> <maml:para>Get the stats of a domain in Defender for Endpoint.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get the stats of a domain in Defender for Endpoint with how often it has been seen in your organization and worldwide.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpDomainStats</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>DomainName</maml:name> <maml:description> <maml:para>The domain name to get stats for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>DomainName</maml:name> <maml:description> <maml:para>The domain name to get stats for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.DomainStats</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpDomainStats -DomainName "www.reddit.com"</dev:code> <dev:remarks> <maml:para>Get the stats of how prevalent 'www.reddit.com' is.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpFile</command:name> <command:verb>Get</command:verb> <command:noun>DatpFile</command:noun> <maml:description> <maml:para>Get a file seen by Defender for Endpoint.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get information about a file that has been by Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpFile</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 or SHA256 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 or SHA256 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.FileProperties</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpFile -FileIdentifier "36A4CC191027E30EC32618FF454F33B87F5C46A765C6AC3F151165AD7508DCD2"</dev:code> <dev:remarks> <maml:para>Get information about a file with a SHA256 hash of '36A4CC191027E30EC32618FF454F33B87F5C46A765C6AC3F151165AD7508DCD2'.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpFileAlerts</command:name> <command:verb>Get</command:verb> <command:noun>DatpFileAlerts</command:noun> <maml:description> <maml:para>Get alerts related to a file identifier.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get alerts seen in your organization related to a file's SHA1 hash.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpFileAlerts</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para>SHA256 hashes are not supported in the 'FileIdentifier' parameter.</maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpFileAlerts -FileIdentifier "eec6ebcbd8f725cfbd38240197f6b8e03d9d6139"</dev:code> <dev:remarks> <maml:para>Getting alerts triggered by the SHA1 file hash of "eec6ebcbd8f725cfbd38240197f6b8e03d9d6139".</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpFileMachines</command:name> <command:verb>Get</command:verb> <command:noun>DatpFileMachines</command:noun> <maml:description> <maml:para>Get machines that have seen a file.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get machines that have been registered to have seen a file's SHA1 hash.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpFileMachines</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para>SHA256 hashes are not supported in the 'FileIdentifier' parameter.</maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpFileMachines -FileIdentifier "eec6ebcbd8f725cfbd38240197f6b8e03d9d6139"</dev:code> <dev:remarks> <maml:para>Get machines that have seen the file with the SHA1 file hash of "eec6ebcbd8f725cfbd38240197f6b8e03d9d6139".</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpFileStats</command:name> <command:verb>Get</command:verb> <command:noun>DatpFileStats</command:noun> <maml:description> <maml:para>Get the stats of a file.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get stats on a file with how much it has been seen in your organization and worldwide.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpFileStats</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>FileIdentifier</maml:name> <maml:description> <maml:para>The SHA1 hash of the file.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.FileStats</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para>SHA256 hashes are not supported in the 'FileIdentifier' parameter.</maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpFileStats -FileIdentifier "eec6ebcbd8f725cfbd38240197f6b8e03d9d6139"</dev:code> <dev:remarks> <maml:para>Get stats about a file with a SHA1 hash of 'eec6ebcbd8f725cfbd38240197f6b8e03d9d6139'.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpMachine</command:name> <command:verb>Get</command:verb> <command:noun>DatpMachine</command:noun> <maml:description> <maml:para>Get a machine from Defender for Endpoint.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get a machine or all machines that have been onboarded to Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpMachine</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AllMachines</maml:name> <maml:description> <maml:para>Get all machines.</maml:para> </maml:description> <dev:type> <maml:name>SwitchParameter</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>False</dev:defaultValue> </command:parameter> </command:syntaxItem> <command:syntaxItem> <maml:name>Get-DatpMachine</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AllMachines</maml:name> <maml:description> <maml:para>Get all machines.</maml:para> </maml:description> <command:parameterValue required="false" variableLength="false">SwitchParameter</command:parameterValue> <dev:type> <maml:name>SwitchParameter</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>False</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachine -MachineId "comp-01.contoso.com"</dev:code> <dev:remarks> <maml:para>Get a machine by using it's fully qualified domain name (FQDN).</maml:para> </dev:remarks> </command:example> <command:example> <maml:title>-------------------------- Example 2 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachine -AllMachines</dev:code> <dev:remarks> <maml:para>Get all machines onboarded to your environment.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpMachineAction</command:name> <command:verb>Get</command:verb> <command:noun>DatpMachineAction</command:noun> <maml:description> <maml:para>Get the status of an action performed on a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get the status and details about an action that was performed on a machine through Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpMachineAction</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>ActivityId</maml:name> <maml:description> <maml:para>The Activity ID for the action.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> <command:syntaxItem> <maml:name>Get-DatpMachineAction</maml:name> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AllActivities</maml:name> <maml:description> <maml:para>Get all activities created.</maml:para> </maml:description> <dev:type> <maml:name>SwitchParameter</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>False</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>ActivityId</maml:name> <maml:description> <maml:para>The Activity ID for the action.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>AllActivities</maml:name> <maml:description> <maml:para>Get all activities created.</maml:para> </maml:description> <command:parameterValue required="false" variableLength="false">SwitchParameter</command:parameterValue> <dev:type> <maml:name>SwitchParameter</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>False</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.ActivityResponse</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.ActivityResponse[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachineAction -ActivityId "460e2875-7f91-4c32-8add-4a7b78f13254"</dev:code> <dev:remarks> <maml:para>Get details of a specific action performed on a machine.</maml:para> </dev:remarks> </command:example> <command:example> <maml:title>-------------------------- Example 2 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachineAction -AllActivities</dev:code> <dev:remarks> <maml:para>Get all machine actions performed.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpMachineAlerts</command:name> <command:verb>Get</command:verb> <command:noun>DatpMachineAlerts</command:noun> <maml:description> <maml:para>Get alerts triggered by a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get alerts triggered by a machine.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpMachineAlerts</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachineAlerts -MachineId "comp-01.contoso.edu"</dev:code> <dev:remarks> <maml:para>Get alerts triggered on a specific machine.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpMachineUsers</command:name> <command:verb>Get</command:verb> <command:noun>DatpMachineUsers</command:noun> <maml:description> <maml:para>Get users that have logged onto a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get all of the user who have logged onto a machine interactively or through the network.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpMachineUsers</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.User</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.User[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpMachineUsers -MachineId "comp-01.contoso.com"</dev:code> <dev:remarks> <maml:para>Get all of the users for a specific machine.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpSessionClient</command:name> <command:verb>Get</command:verb> <command:noun>DatpSessionClient</command:noun> <maml:description> <maml:para>Get the raw client used for sending API calls.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get the client that has been stored in your session for sending API calls. This client can be used to send custom API calls and can also be used for troubleshooting issues with the cmdlets.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpSessionClient</maml:name> </command:syntaxItem> </command:syntax> <command:parameters /> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Session.DatpSessionClient</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples /> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpUserAlerts</command:name> <command:verb>Get</command:verb> <command:noun>DatpUserAlerts</command:noun> <maml:description> <maml:para>Get alerts triggered by a user.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get alerts triggered by a user.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpUserAlerts</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>UserName</maml:name> <maml:description> <maml:para>The username to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>UserName</maml:name> <maml:description> <maml:para>The username to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Alert[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpUserAlerts -UserName "contoso\jwinger01"</dev:code> <dev:remarks> <maml:para>Get all alerts that were triggered by a specific user.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Get-DatpUserMachines</command:name> <command:verb>Get</command:verb> <command:noun>DatpUserMachines</command:noun> <maml:description> <maml:para>Get machines a user has logged into.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Get machines a user has logged into.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Get-DatpUserMachines</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>UserName</maml:name> <maml:description> <maml:para>The username to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>UserName</maml:name> <maml:description> <maml:para>The username to search for.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Get-DatpUserMachines -UserName "jwinger01"</dev:code> <dev:remarks> <maml:para>Get all of the machines a specific user has logged into.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Out-DatpInvestigationPkg</command:name> <command:verb>Out</command:verb> <command:noun>DatpInvestigationPkg</command:noun> <maml:description> <maml:para>Save an investigation package.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Save an investigation package that has been collected through Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Out-DatpInvestigationPkg</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>ActivityId</maml:name> <maml:description> <maml:para>The Activity ID for the "Collect investigation package" action.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>FolderPath</maml:name> <maml:description> <maml:para>The folder path to save the package to.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">DirectoryInfo</command:parameterValue> <dev:type> <maml:name>DirectoryInfo</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>ActivityId</maml:name> <maml:description> <maml:para>The Activity ID for the "Collect investigation package" action.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>FolderPath</maml:name> <maml:description> <maml:para>The folder path to save the package to.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">DirectoryInfo</command:parameterValue> <dev:type> <maml:name>DirectoryInfo</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>System.IO.FileInfo</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> $pkgCollection = Start-DatpInvestigationPkgCollection -MachineId "comp-01.contoso.com" -Comment "Collecting investigation package." PS C:\> Out-DatpInvestigationPkg -ActivityId $pkgCollection.ActivityId -FolderPath ".\"</dev:code> <dev:remarks> <maml:para>Start a package collection on a machine and then save it to your local machine.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Remove-DatpMachineTag</command:name> <command:verb>Remove</command:verb> <command:noun>DatpMachineTag</command:noun> <maml:description> <maml:para>Remove a tag from a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Remove a tag from a machine.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Remove-DatpMachineTag</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TagName</maml:name> <maml:description> <maml:para>The name of the tag to remove.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TagName</maml:name> <maml:description> <maml:para>The name of the tag to remove.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Machine</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Remove-DatpMachineTag -MachineId "comp-01.contoso.com" -TagName "TestTag-01"</dev:code> <dev:remarks> <maml:para>Remove a tag from the machine 'comp-01.contoso.com' with the name 'TestTag-01'.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Set-DatpMachineIsolation</command:name> <command:verb>Set</command:verb> <command:noun>DatpMachineIsolation</command:noun> <maml:description> <maml:para>Set a machine to be isolated or to be released from isolation.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Set a machine to be isolated with a full or selective isolation or release a machine from isolation.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Set-DatpMachineIsolation</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>IsolationType</maml:name> <maml:description> <maml:para>The type of isolation to perform on the machine.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">Full Isolation</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Selective Isolation</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Release Isolation</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>IsolationType</maml:name> <maml:description> <maml:para>The type of isolation to perform on the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.ActivityResponse</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Set-DatpMachineIsolation -MachineId "comp-01.contoso.com" -IsolationType "Full Isolation" -Comment "Laterally moving malware was found on this machine."</dev:code> <dev:remarks> <maml:para>Set the machine 'comp-01.contoso.com' to be in a "Full Isolation" mode.</maml:para> </dev:remarks> </command:example> <command:example> <maml:title>-------------------------- Example 2 --------------------------</maml:title> <dev:code>PS C:\> Set-DatpMachineIsolation -MachineId "employee-comp-00.contoso.com" -IsolationType "Release Isolation" -Comment "Machine has been fully investigated. No malicious indicators were found."</dev:code> <dev:remarks> <maml:para>Set the machine 'employee-comp-00.contoso.com' to be released from isolation.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Set-DatpModuleConfig</command:name> <command:verb>Set</command:verb> <command:noun>DatpModuleConfig</command:noun> <maml:description> <maml:para>Set the configuration for the module to use for authentication.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Set the configuration for the module to use for authentication. This will require information related to your Azure AD tenant.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Set-DatpModuleConfig</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>PublicClientAppId</maml:name> <maml:description> <maml:para>The ClientID for the registered Azure AD app in your tenant.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TenantId</maml:name> <maml:description> <maml:para>The ID for your Azure AD tenant.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="0" aliases="none"> <maml:name>PublicClientAppId</maml:name> <maml:description> <maml:para>The ClientID for the registered Azure AD app in your tenant.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>TenantId</maml:name> <maml:description> <maml:para>The ID for your Azure AD tenant.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.Core.DatpModuleConfig</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Set-DatpModuleConfig -PublicClientAppID "02f0f9c2-73a5-4952-895b-86e518c14dbf" -TenantId "e51020fe-9fbc-4a4b-9e8d-16dac9fcd6b4"</dev:code> <dev:remarks> <maml:para>Set the module config to use the specified app and tenant ID for Azure AD.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Start-DatpInvestigationPkgCollection</command:name> <command:verb>Start</command:verb> <command:noun>DatpInvestigationPkgCollection</command:noun> <maml:description> <maml:para>Start the investigation package collection process on a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Start the investigation package collection process on a machine.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Start-DatpInvestigationPkgCollection</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.ActivityResponse</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Start-DatpInvestigationPkgCollection -MachineId "comp-01.contoso.com" -Comment "Collecting investigation package."</dev:code> <dev:remarks> <maml:para>Start a package collection on a machine.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Start-DatpMachineScan</command:name> <command:verb>Start</command:verb> <command:noun>DatpMachineScan</command:noun> <maml:description> <maml:para>Start a scan on a machine.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Start a quick or full scan on a machine.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Start-DatpMachineScan</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>ScanType</maml:name> <maml:description> <maml:para>The type of scan to perform.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">Quick</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Full</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message explaining why the action must be done.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>MachineId</maml:name> <maml:description> <maml:para>The ID or the FQDN of the machine.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String[]</command:parameterValue> <dev:type> <maml:name>String[]</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="false" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>ScanType</maml:name> <maml:description> <maml:para>The type of scan to perform.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>System.String[]</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>MdatpPwsh.Models.ActivityResponse</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> Start-DatpMachineScan -MachineId "comp-01.constoso.com" -ScanType Quick -Comment "Running quick scan on machine"</dev:code> <dev:remarks> <maml:para>Start a quick scan on a machine.</maml:para> </dev:remarks> </command:example> <command:example> <maml:title>-------------------------- Example 2 --------------------------</maml:title> <dev:code>PS C:\> $scanAction = Start-DatpMachineScan -MachineId "comp-01.constoso.com" -ScanType Full -Comment "Running a full scan on machine" PS C:\> $scanAction | Get-DatpMachineAction</dev:code> <dev:remarks> <maml:para>Start a full scan on a machine and save the action object to a variable. Then use that action object as a pipeline input to 'Get-DatpMachineAction' to monitor the progress of the scan.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> <command:command xmlns:maml="http://schemas.microsoft.com/maml/2004/10" xmlns:command="http://schemas.microsoft.com/maml/dev/command/2004/10" xmlns:dev="http://schemas.microsoft.com/maml/dev/2004/10" xmlns:MSHelp="http://msdn.microsoft.com/mshelp"> <command:details> <command:name>Update-DatpAlert</command:name> <command:verb>Update</command:verb> <command:noun>DatpAlert</command:noun> <maml:description> <maml:para>Update an alert.</maml:para> </maml:description> </command:details> <maml:description> <maml:para>Update an alert with details in Defender for Endpoint.</maml:para> </maml:description> <command:syntax> <command:syntaxItem> <maml:name>Update-DatpAlert</maml:name> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>AlertId</maml:name> <maml:description> <maml:para>The ID of the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Status</maml:name> <maml:description> <maml:para>The status of the alert.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">InProgress</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">New</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Resolved</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Unknown</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">AlertStatus</command:parameterValue> <dev:type> <maml:name>AlertStatus</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>AssignedTo</maml:name> <maml:description> <maml:para>The UserPrincipalName (UPN) of the security personnel assigned to the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="3" aliases="none"> <maml:name>Classification</maml:name> <maml:description> <maml:para>The classification of the alert.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">Unknown</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">FalsePositive</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">TruePositive</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">AlertClassification</command:parameterValue> <dev:type> <maml:name>AlertClassification</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="4" aliases="none"> <maml:name>Determination</maml:name> <maml:description> <maml:para>The determination reason for why an alert was updated.</maml:para> </maml:description> <command:parameterValueGroup> <command:parameterValue required="false" command:variableLength="false">NotAvailable</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Apt</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Malware</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">SecurityPersonnel</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">SecurityTesting</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">UnwantedSoftware</command:parameterValue> <command:parameterValue required="false" command:variableLength="false">Other</command:parameterValue> </command:parameterValueGroup> <command:parameterValue required="true" variableLength="false">AlertDetermination</command:parameterValue> <dev:type> <maml:name>AlertDetermination</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="5" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message describing why the alert was updated.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:syntaxItem> </command:syntax> <command:parameters> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="True (ByPropertyName)" position="0" aliases="none"> <maml:name>AlertId</maml:name> <maml:description> <maml:para>The ID of the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="2" aliases="none"> <maml:name>AssignedTo</maml:name> <maml:description> <maml:para>The UserPrincipalName (UPN) of the security personnel assigned to the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="3" aliases="none"> <maml:name>Classification</maml:name> <maml:description> <maml:para>The classification of the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">AlertClassification</command:parameterValue> <dev:type> <maml:name>AlertClassification</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="5" aliases="none"> <maml:name>Comment</maml:name> <maml:description> <maml:para>A message describing why the alert was updated.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">String</command:parameterValue> <dev:type> <maml:name>String</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="4" aliases="none"> <maml:name>Determination</maml:name> <maml:description> <maml:para>The determination reason for why an alert was updated.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">AlertDetermination</command:parameterValue> <dev:type> <maml:name>AlertDetermination</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> <command:parameter required="true" variableLength="true" globbing="false" pipelineInput="False" position="1" aliases="none"> <maml:name>Status</maml:name> <maml:description> <maml:para>The status of the alert.</maml:para> </maml:description> <command:parameterValue required="true" variableLength="false">AlertStatus</command:parameterValue> <dev:type> <maml:name>AlertStatus</maml:name> <maml:uri /> </dev:type> <dev:defaultValue>None</dev:defaultValue> </command:parameter> </command:parameters> <command:inputTypes> <command:inputType> <dev:type> <maml:name>None</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:inputType> </command:inputTypes> <command:returnValues> <command:returnValue> <dev:type> <maml:name>System.Object</maml:name> </dev:type> <maml:description> <maml:para></maml:para> </maml:description> </command:returnValue> </command:returnValues> <maml:alertSet> <maml:alert> <maml:para></maml:para> </maml:alert> </maml:alertSet> <command:examples> <command:example> <maml:title>-------------------------- Example 1 --------------------------</maml:title> <dev:code>PS C:\> $alert = Get-DatpAlert -AlertId "da123456789123456_1234567890" PS C:\> $alert | Update-DatpAlert -Status Resolved -AssignedTo "bperry@contoso.com" -Classification FalsePositive -Determination Other -Comment "Blaming A Bridge Collapse On A School Is Like Me Blaming Owls For How Much I Suck At Analogies."</dev:code> <dev:remarks> <maml:para>Get an alert and pipe it into 'Update-DatpAlert' to set the status to resolved, assign it to 'bperry@contoso.com', classify it as a false positive, set the determination to other, and add a comment to the alert.</maml:para> </dev:remarks> </command:example> </command:examples> <command:relatedLinks /> </command:command> </helpItems> |