Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Dans une organisation Enterprise, vous pouvez utiliser les journaux d’audit Slack pour surveiller les changements et l’utilisation au sein de votre organisation. Les journaux d’audit incluent les événements anormaux, qui indiquent des activités potentiellement suspectes de la part d’utilisateurs et d’applications. Vous pouvez configurer une réponse à ce type d’événements si vous souhaitez que Slack mette automatiquement fin à la session d’un utilisateur sur tous les appareils, dans les situations suivantes :
Accéder à Slack depuis un nœud de sortie Tor*
Récupération de données*
Nombre de téléchargements excessif
Cookies de session périmés ou inattendus
Agents utilisateurs falsifiés
Volume d’appel d’API inattendu
Agents utilisateurs inattendus
* Activé par défaut
Configurer les réponses aux événements d’anomalie
En général, il est recommandé d’analyser les événements anormaux dans les journaux d’audit pour comprendre les circonstances de l’activité en question avant de prendre des mesures. Néanmoins, vous pouvez choisir de mettre automatiquement fin aux sessions d’un utilisateur lorsqu’un événement anormal est détecté, afin de mettre fin à l’activité potentiellement suspecte. Un utilisateur dont les sessions ont été terminées en réponse à un événement anormal peut immédiatement se reconnecter à Slack à l’aide de ses identifiants habituels.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Dans Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier à côté de l’option Terminer automatiquement les sessions des utilisateurs.
Cliquez sur le bouton situé à côté d’un événement anormal pour le sélectionner. Cochez la case à côté d’Exclure des personnes ou des groupes pour empêcher certaines sessions d’utilisateur de se terminer lorsque l’événement est détecté.
Cliquez sur Activer ou Enregistrer.
Remarque : les réponses aux événements d’anomalie que vous configurez ne s’appliqueront pas à des personnes externes dans des conversations Slack Connect.
Gérer les notifications de réponse à un événement d’anomalie
Si les sessions actives d’un utilisateur sont terminées en réponse à un événement anormal, celui-ci recevra une notification par e-mail de Slack. Vous pouvez choisir de notifier également le propriétaire principal de l’organisation et les membres avec le rôle système Administrateur de la sécurité, par e-mail ou par notification Slack.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Dans Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier à côté de Gérer les notifications.
Cliquez sur le bouton situé à côté d’un type de notification, puis cochez ou décochez la case afin de choisir quelles personnes recevront des notifications.
Cliquez sur Activer ou Enregistrer.
Qui peut utiliser cette fonctionnalité ?
Les propriétaires et administrateurs de l’organisation, ainsi que les membres disposant du rôle système d’administrateur de la sécurité
