Configurar respuestas ante eventos de anomalías en los registros de auditoría en Slack
Configurar respuestas ante eventos de anomalías en los registros de auditoría en Slack
En una organización Enterprise, puedes utilizar los registros de auditoría de Slack para supervisar el uso en tu organización. Los registros de auditoría incluyen eventos anómalos, que sirven como indicadores de actividad potencialmente inusual o sospechosa de usuarios y aplicaciones. Puedes configurar una respuesta ante anomalías si quieres que Slack finalice automáticamente las sesiones de un usuario en todos los dispositivos para lo siguiente:
Acceso a Slack desde un nodo de salida Tor*
Extracción de datos*
Demasiadas descargas
Cookies de sesión obsoletas o inesperadas
Agentes de usuario manipulados
Volumen de llamadas API inesperado
Agentes de usuario inesperados
* Activado de forma predeterminada
Configurar respuestas ante eventos de anomalías
En general, debes plantearte investigar los eventos de anomalías en tus registros de auditoría para comprender las circunstancias de la actividad antes de llevar a cabo acciones. Sin embargo, puedes elegir finalizar automáticamente las sesiones de un usuario cuando se detecte un evento anómalo para detener la actividad potencialmente sospechosa. Un usuario cuyas sesiones hayan finalizado en respuesta a un evento anómalo puede volver a iniciar sesión inmediatamente en Slack utilizando sus credenciales de inicio de sesión habituales.
Desde la aplicación para ordenador, haz clic en el nombre de la organización en la barra lateral.
Pasa el cursor sobre Herramientas y ajustes y haz clic en Ajustes de la organización.
En la barra lateral izquierda, selecciona Seguridad y, a continuación, haz clic en Ajustes de seguridad.
En Configuración de la respuesta ante anomalías, haz clic en Activar o Editar junto a Finalizar sesiones de los usuarios automáticamente.
Haz clic en el botón junto a cualquier anomalía para seleccionarla. Marca la casilla junto a Excluir personas o grupos específicos para evitar que se cierre la sesión de algunos usuarios cuando se detecte la anomalía.
Haz clic en Activar o Guardar.
Nota: Las respuestas ante eventos de anomalías que configures no se aplicarán a personas externas en las conversaciones de Slack Connect.
Gestionar las notificaciones de respuestas ante eventos de anomalías
Si finalizamos las sesiones activas de una persona en respuesta a un evento de anomalía, también le enviaremos una notificación de correo electrónico para avisarle. Puedes decidir si también debería enviarse una notificación al propietario principal de la organización y a los miembros con el rol de sistema de Administrador de seguridad, y si deberían recibir un correo electrónico o una notificación de Slack.
Desde la aplicación para ordenador, haz clic en el nombre de la organización en la barra lateral.
Pasa el cursor sobre Herramientas y ajustes y haz clic en Ajustes de la organización.
En la barra lateral izquierda, selecciona Seguridad y, a continuación, haz clic en Ajustes de seguridad.
En Configuración de la respuesta ante anomalías, haz clic en Activar o Editar junto a Gestionar notificaciones.
Haz clic en el botón junto a un tipo de notificación y, después, marca o desmarca la casilla para determinar quién recibirá notificaciones.
Haz clic en Activar o Guardar.
¿Quién puede usar esta función?
Los propietarios de la organización, administradores de la organización y miembros con el rol de sistema de administrador de seguridad.
