Reaktionen auf Audit-Log-Anomalieereignisse in Slack konfigurieren
Reaktionen auf Audit-Log-Anomalieereignisse in Slack konfigurieren
In einer Enterprise-Organisation kannst du Slack Audit-Logs verwenden, um die Nutzung in deiner Organisation zu überwachen. Audit-Logs enthalten Anomalieereignisse, die auf mögliche ungewöhnliche oder verdächtige Benutzer:innen- und App-Aktivitäten hindeuten.
So funktioniert es
Grundsätzlich solltest du Anomalieereignissen in deinen Audit-Logs nachgehen, um die Umstände der Aktivität zu verstehen, bevor du Maßnahmen ergreifst. Du kannst aber die Sitzungen von Benutzer:innen automatisch beenden, wenn ein Anomalieereignis erkannt wird, um die potenziell verdächtige Aktivität zu stoppen.
Wenn eine Benutzersitzung als Reaktion auf ein Anomalieereignis beendet wurde, kann diese Person sofort wieder mit ihren üblichen Anmeldedaten bei Slack anmelden.
Wenn Benutzersitzungen beendet werden, können Primäre Organisationsinhaber:innen und Sicherheits-Administrator:innen Benachrichtigungen per E-Mail oder über den Slack-Sicherheits-Bot erhalten. Der Slack-Sicherheits-Bot ist eine von Slack erstellte App, die wichtige Sicherheitsbenachrichtigungen sendet.
Tipp: Im Slack-Blog findest du weitere Informationen zum Konfigurieren der Reaktionen auf Anomalieereignisse in Slack.
Reaktionen auf Anomalieereignisse konfigurieren
Du kannst eine Reaktion auf Anomalieereignisse konfigurieren, wenn Slack in folgenden Fällen die Benutzersitzungen automatisch auf allen Geräten beenden soll:
Zugriff auf Slack von einem Tor-Ausgangsknoten* aus
Daten-Scraping*
Übermäßig viele Downloads
Veraltete oder unerwartete Sitzungscookies
Gefälschte Benutzer-Agenten
Unerwartetes API-Aufrufvolumen
Unerwartete Benutzer-Agenten
*Standardmäßig aktiviert
Klicke auf dem Desktop in der Seitenleiste auf deinen Organisationsnamen.
Bewege den Mauszeiger über Tools und Einstellungen und klicke dann auf Organisationseinstellungen.
Wähle in der linken Seitenleiste die Option Sicherheit aus und klicke dann auf Sicherheitseinstellungen.
Klicke in den Einstellungen für Reaktion auf Anomalieereignisse auf Aktivieren oder Bearbeiten nebenBenutzersitzungen automatisch beenden.
Klicke auf den Schalter neben einem Anomalieereignis, um es auszuwählen. Aktiviere das Kästchen neben Bestimmte Personen oder Gruppen ausschließen, um zu vermeiden, dass die Sitzungen bestimmter Benutzer:innen beendet werden, wenn das Ereignis festgestellt wird.
Klicke auf Aktivieren oder Speichern.
Hinweis: Die von dir konfigurierten Reaktionen auf Anomalieereignisse gelten nicht für externe Personen in Slack Connect-Unterhaltungen.
Benachrichtigungen für Reaktionen auf Anomalieereignisse verwalten
Wenn die aktiven Sitzungen von Benutzer:innen als Reaktion auf eine Anomalieereignis beendet werden, erhalten die entsprechenden Personen eine E-Mail-Benachrichtigung von Slack. Du kannst entscheiden, ob der:die Primäre Organisationsinhaber:in sowie Sicherheits-Administrator:innen ebenfalls per E-Mail oder über eine Benachrichtigung der Slack-Sicherheits-App benachrichtigt werden sollen.
Klicke auf dem Desktop in der Seitenleiste auf deinen Organisationsnamen.
Bewege den Mauszeiger über Tools und Einstellungen und klicke dann auf Organisationseinstellungen.
Wähle in der linken Seitenleiste die Option Sicherheit aus und klicke dann auf Sicherheitseinstellungen.
Klicke in den Einstellungen für Reaktion auf Anomalieereignisse, auf Aktivieren oder Bearbeiten neben Benachrichtigungen verwalten.
Klicke auf den Schalter neben einer Benachrichtigungsart und aktiviere oder deaktiviere anschließend das Kästchen, um zu entscheiden, wer Benachrichtigungen erhalten soll.
