在 Slack 中設定稽核記錄異常事件回應
在 Enterprise 組織中,你可以使用 Slack 稽核記錄來監視組織中的使用情況。稽核記錄中包括異常事件資訊,這些資訊可作為潛在異常或可疑使用者和應用程式活動的指標。
運作方法
- 一般來說,你應該考慮調查稽核記錄中的異常事件,來瞭解活動的情況,然後再採取行動。不過,你可以選擇在偵測到異常事件時自動結束使用者作業階段,以阻止潛在的可疑活動。
- 因異常事件而遭終止作業階段的使用者,可立即使用其原本的登入憑證重新登入 Slack。
- 使用者的作業階段終止後,組織主要擁有者和安全性管理員可透過電子郵件或從 Slack 安全性機器人接收通知。Slack 安全性機器人為 Slack 內建的應用程式,專門設計用來傳送重要的安全性通知。
提示:如欲瞭解在 Slack 設定異常事件回應的詳細資訊,請查閱 Slack 部落格。
設定異常事件回應
如果你希望 Slack 自動結束某位使用者在所有裝置上的作業階段,可以設定異常事件回應:
- 從 Tor 出口節點存取 Slack*
- 存在資料抓取行為*
- 下載內容過多
- 過期或非預期的作業階段 Cookie
- 偽造的使用者代理
- 非預期的 API 呼叫量
- 非預期的使用者代理
*預設啟用
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「自動結束使用者作業階段」旁邊的「啟用」或「編輯」。
- 按一下異常事件旁邊的切換按鈕即可選取異常事件。勾選「排除特定人員或群組」旁邊的方塊,以防止在偵測到事件時結束某些使用者的作業階段。
- 按一下「啟用」或「儲存」。
注意:你設定的異常事件回應將不適用於 Slack Connect 對話中的外部人員。
管理異常事件回應通知
使用者進行中的作業階段因異常事件而終止時,他們會收到 Slack 發出的電子郵件通知。你可以決定是否組織主要擁有者和安全性管理員也要收到通知,並且可透過電子郵件或 Slack 安全性應用程式來通知。
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「管理通知」旁邊的「啟用」或「編輯」。
- 按一下通知類型旁邊的切換按鈕,然後勾選或取消勾選該方塊,以決定誰應該收到通知。
- 按一下「啟用」或「儲存」。
誰可以使用此功能?
- 組織擁有者、組織管理員和安全性管理員
- 可在 Enterprise 方案使用