Configurar respostas a eventos anormais no log de auditoria do Slack
Configurar respostas a eventos anormais no log de auditoria do Slack
Em uma organização Enterprise, você pode usar logs de auditoria do Slack para monitorar o uso na organização. Os eventos anormais estão incluídos nos logs de auditoria e funcionam como indicadores de atividades potencialmente incomuns ou suspeitas de usuários e apps.
Como funciona
Em geral, você deve considerar a investigação de eventos anormais nos seus logs de auditoria para entender as circunstâncias da atividade antes de tomar providências. No entanto, é possível optar por encerrar automaticamente as sessões de um usuário quando um evento anormal é detectado para interromper a atividade potencialmente suspeita.
Um usuário cujas sessões foram encerradas em resposta a um evento anormal pode entrar novamente no Slack usando as credenciais de login habituais.
Quando a sessão de um usuário é encerrada, os proprietários principais da organização e os administradores de segurança podem receber notificações por e-mail ou pelo bot de segurança do Slack. Esse bot é um app desenvolvido pelo Slack para enviar notificações importantes de segurança.
Dica: confira o blog do Slack para obter mais informações sobre como configurar respostas a eventos anormais no Slack.
Configurar respostas a eventos anormais
Você poderá configurar uma resposta a eventos anormais se quiser que o Slack encerre automaticamente as sessões de um usuário em todos os dispositivos nos seguintes casos:
Acesso ao Slack de um nó de saída Tor*
Raspagem de dados*
Quantidade excessiva de downloads
Cookies de sessão obsoletos ou inesperados
Agentes do usuário falsificados
Volume inesperado de chamadas da API
Agentes do usuário inesperados
*Ativados por padrão
No computador, clique no nome da organização na barra lateral.
Passe o mouse sobre Ferramentas e configurações e clique em Configurações da organização.
Na barra lateral esquerda, selecione Segurança. Depois, clique em Configurações de segurança.
Em Configurações de resposta a eventos anormais, clique em Ativar ou Editar ao lado de Encerrar sessões de usuário automaticamente.
Clique no botão ao lado do evento anormal para selecioná-lo. Marque a caixa ao lado de Excluir pessoas ou grupos específicos para impedir que as sessões de determinados usuários sejam encerradas quando o evento for detectado.
Clique em Ativar ou Salvar.
Observação: a resposta ao evento anormal que você configurar não se aplicará a pessoas externas em conversas do Slack Connect.
Gerenciar notificações de resposta a eventos anormais
Quando as sessões ativas de um usuário forem encerradas em resposta a um evento anormal, ele receberá uma notificação por e-mail do Slack. Você pode decidir se o proprietário principal da organização e os administradores de segurança também devem receber notificações, seja por e-mail ou pelo app de Segurança do Slack.
No computador, clique no nome da organização na barra lateral.
Passe o mouse sobre Ferramentas e configurações e clique em Configurações da organização.
Na barra lateral esquerda, selecione Segurança. Depois, clique em Configurações de segurança.
Em Configurações de resposta a eventos anormais, clique em Ativar ou Editar ao lado de Gerenciar notificações.
Clique no botão ao lado do tipo de notificação, depois marque ou desmarque a caixa para decidir quem deve receber notificações.
