Les journaux d’audit enregistrent les modifications apportées ainsi que les données d’utilisation. Ils vous permettent de préserver la sécurité de votre organisation Slack Enterprise et d’empêcher toute utilisation abusive. Vous pouvez afficher les journaux d’audit directement dans Slack, les exporter en CSV et utiliser l’API des journaux d’audit pour créer des outils de surveillance personnalisés.
Voir les journaux d’audit
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Journaux d’audit.
Cliquez sur Filtrer en haut de la liste pour filtrer les entrées en fonction de Plage de dates, Utilisateur, Affecte (utilisateur, espace de travail ou organisation), ou encore Événements.
Pour exporter les journaux d’audit, cliquez sur Exporter en haut à droite de la page, et sélectionnez Exporter le CSV ou Exporter le JSON.
Remarque : si Slackbot a effectué une action au nom d’un utilisateur (comme la création ou la modification d’un canevas), vous pourrez voir acting_agent: Slackbot dans l’entrée détaillée du journal d’audit ou la sortie de l’API des journaux d’audit.
Exporter les requêtes de recherche
Le propriétaire principal de l’organisation et les administrateurs de rôles peuvent créer et attribuer un rôle personnalisé (qui doit inclure les autorisations Accéder aux requêtes de recherche et Lire les journaux d’audit), qui pourra exporter une liste de requêtes de recherche. Lorsque vous exportez des requêtes de recherche, vous pouvez trier la liste de recherches effectuées par membre, terme à rechercher ou plage de dates.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Journaux d’audit.
Cliquez sur Exporter en haut à droite, puis sélectionnez Exporter les requêtes de recherche.
Personnalisez l’export des requêtes de recherche, puis cliquez sur Exporter.
Remarque : les exports de journaux des requêtes de recherche contiennent des résultats datant d'au maximum 90 jours.
Surveiller les événements d’anomalie
Les événements d’anomalie peuvent révéler des activités potentiellement suspectes de la part d’utilisateurs ou d’applications dans votre organisation. Utilisez les journaux d’audit ou l’API des journaux d’audit pour surveiller les événements d’anomalie et déterminer s’il s’agit d’une activité attendue ou non.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Sélectionnez Outils et paramètres dans le menu, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Journaux d’audit.
Cliquez sur l’onglet Détections de sécurité.
Conseil : Vous pouvez déconnecter des membres manuellement en cliquant sur l’icône à trois points en regard de l’entrée du journal correspondant à l’événement d’anomalie, et en sélectionnant Déconnecter le membre de Slack. Si vous le souhaitez, vous pouvez également configurer une réponse automatique à l’événement d’anomalie.
Utiliser l’API des journaux d’audit
Les organisations Enterprise peuvent utiliser l’API des journaux d’audit pour programmer le suivi des événements d’audit dans Slack. Vous pouvez utiliser l’API des journaux d’audit pour :
Envoyez les données vers un outil SIEM (informations de sécurité et gestion des événements).
Recherchez d’éventuels problèmes de sécurité ou des tentatives d’intrusion dans votre organisation.
Développez des applications personnalisées pour mieux comprendre comment votre entreprise utilise Slack.
Remarque : L’accessibilité aux données des journaux d’audit préalables au passage au forfait Enterprise dépend de votre précédent forfait. Pour en savoir plus sur les journaux d’audit, contactez notre équipe d’assistance.
