Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Configurer les réponses aux événements d’anomalie du journal d’audit dans Slack
Dans une organisation Enterprise, vous pouvez utiliser les journaux d’audit Slack pour surveiller les changements et l’utilisation au sein de votre organisation. Les journaux d’audit incluent les événements anormaux, qui indiquent des activités potentiellement suspectes de la part d’utilisateurs et d’applications.
Fonctionnement
En général, il est recommandé d’analyser les événements anormaux dans les journaux d’audit pour comprendre les circonstances de l’activité en question avant de prendre des mesures. Néanmoins, vous pouvez choisir de mettre automatiquement fin aux sessions d’un utilisateur lorsqu’un événement anormal est détecté, afin de mettre fin à l’activité potentiellement suspecte.
Si les sessions d’un utilisateur prennent fin en réponse à un événement anormal, celui-ci peut immédiatement se reconnecter à Slack à l’aide de ses informations d’identification habituelles.
Lorsqu’une session utilisateur est terminée, les propriétaires principaux de l’organisation et les administrateurs de sécurité peuvent recevoir des notifications, soit par e-mail, soit par le bot de sécurité de Slack. Le bot de sécurité de Slack est une application développée par Slack et conçue pour envoyer des notifications de sécurité importantes.
Conseil : Consultez le blog de Slack pour en savoir plus sur la configuration des réponses aux événements anormaux dans Slack.
Configurer les réponses aux événements d’anomalie
Vous pouvez configurer une réponse à ce type d’événements si vous souhaitez que Slack mette automatiquement fin à la session d’un utilisateur sur tous les appareils, dans les situations suivantes :
Accéder à Slack depuis un nœud de sortie Tor*
Récupération de données*
Nombre de téléchargements excessif
Cookies de session périmés ou inattendus
Agents utilisateurs falsifiés
Volume d’appel d’API inattendu
Agents utilisateurs inattendus
* Activé par défaut
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Dans Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier à côté de l’option Terminer automatiquement les sessions des utilisateurs.
Cliquez sur le bouton situé à côté d’un événement anormal pour le sélectionner. Cochez la case à côté d’Exclure des personnes ou des groupes pour empêcher certaines sessions d’utilisateur de se terminer lorsque l’événement est détecté.
Cliquez sur Activer ou Enregistrer.
Remarque : les réponses aux événements d’anomalie que vous configurez ne s’appliqueront pas à des personnes externes dans des conversations Slack Connect.
Gérer les notifications de réponse à un événement d’anomalie
Lorsque les sessions actives d’un utilisateur prennent fin en réponse à un événement anormal, celui-ci reçoit une notification de Slack par e-mail. Vous pouvez décider si le propriétaire principal de l’organisation et les administrateurs de sécurité doivent également être informés, soit par e-mail, soit par une notification de l’application de sécurité de Slack.
Sur votre ordinateur, cliquez sur le nom de votre organisation dans la barre latérale.
Passez votre souris sur Outils et paramètres, puis cliquez sur Paramètres de l’organisation.
Dans la barre latérale gauche, sélectionnez Sécurité, puis cliquez sur Paramètres de sécurité.
Dans Paramètres de réponse à un événement anormal, cliquez sur Activer ou Modifier à côté de Gérer les notifications.
Cliquez sur le bouton situé à côté d’un type de notification, puis cochez ou décochez la case afin de choisir quelles personnes recevront des notifications.
