Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Avec le forfait Enterprise Grid, vous pouvez utiliser les journaux d’audit Slack pour surveiller les changements et l’utilisation au sein de votre organisation. Les journaux d’audit incluent les événements d’anomalie, qui indiquent des activités potentiellement suspectes de la part d’utilisateurs et d’applications. Vous pouvez configurer une réponse à ce type d’événements si vous souhaitez que Slack mette automatiquement fin à la session d’un utilisateur sur tous les appareils, dans les situations suivantes :
Accéder à Slack depuis un nœud de sortie Tor*
Récupération de données*
Nombre de téléchargements excessif
Cookies de session périmés ou inattendus
Volume d’appel d’API inattendu
Agents utilisateurs inattendus
* Fonctionnalités activées par défaut
Configurer les réponses aux événements d’anomalie
En général, il est recommandé d’analyser les événements d’anomalie dans les journaux d’audit pour comprendre les circonstances de l’activité en question avant de prendre des mesures. Néanmoins, vous pouvez choisir de mettre automatiquement fin aux sessions d’un utilisateur lorsqu’un événement d’anomalie est détecté, afin de mettre fin à l’activité potentiellement suspecte. Un utilisateur dont les sessions ont été terminées en réponse à un événement d’anomalie peut immédiatement se reconnecter à Slack à l’aide de ses identifiants habituels.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Sous Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier.
Cochez ou désélectionnez la case en regard de Mettre automatiquement fin aux sessions des utilisateurs en réponse à des événements d’anomalie, puis sélectionnez les événements d’anomalie.
Cliquez sur Activer ou Enregistrer.
Remarque : les réponses aux événements d’anomalie que vous configurez ne s’appliqueront pas à des personnes externes dans des conversations Slack Connect.
Gérer les notifications de réponse à un événement d’anomalie
Si les sessions actives d’un utilisateur sont terminées en réponse à un événement d’anomalie, celui-ci recevra une notification par e-mail de Slack. Vous pouvez choisir de notifier également le propriétaire principal de l’organisation et les membres avec le rôle système Administrateur de la sécurité, par e-mail ou notification Slack.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Sous Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier.
Cochez la case en regard de Mettre automatiquement fin aux sessions des utilisateurs en réponse à des événements d’anomalie, puis sélectionnez les événements qui doivent automatiquement mettre fin aux sessions.
Sous Envoyer des notifications :, sélectionnez qui recevra une notification, et cochez la case en regard du type de notification à envoyer.
Cliquez sur Activer ou Enregistrer.
Qui peut utiliser cette fonctionnalité ?
Les propriétaires et administrateurs de l’organisation, et les membres disposant du rôle système d’administrateur de la sécurité
