在 Slack 中設定稽核記錄異常事件回應
在 Enterprise 組織中,你可以使用 Slack 稽核記錄來監控組織中的使用情況。稽核記錄中包括異常事件資訊,這些資訊可作為潛在異常或可疑使用者和應用程式活動的指標。如果你希望 Slack 在偵測到以下情況時,自動結束所有裝置上的使用者作業階段,可以設定異常事件回應:
- 從 Tor 出口節點存取 Slack*
- 存在資料抓取行為*
- 下載內容過多
- 過期或非預期的作業階段 Cookie
- 偽造的使用者代理
- 非預期的 API 呼叫量
- 非預期的使用者代理
*預設啟用
設定異常事件回應
一般來說,你應該考慮調查稽核記錄中的異常事件,來瞭解活動的情況,然後再採取行動。不過,你可以選擇在偵測到異常事件時自動結束使用者作業階段,以阻止潛在的可疑活動。因異常事件而終止作業階段的使用者可立即使用其通常登入的憑證重新登入 Slack。
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「 安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「自動結束使用者作業階段」旁邊的「啟用」或「編輯」。
- 按一下異常事件旁邊的切換按鈕即可選取異常事件。勾選「排除特定人員或群組」旁邊的方塊,以防止在偵測到事件時結束某些使用者的作業階段。
- 按一下「啟用」或「儲存」。
注意:你設定的異常事件回應將不適用於 Slack Connect 對話中的外部人員。
管理異常事件回應通知
因異常事件而結束使用者正在使用的作業階段時,他們會收到 Slack 的電子郵件通知。你可以決定是否也應通知組織主要擁有者和安全性管理員,透過電子郵件或 Slack 通知均可。
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「 安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「管理通知」旁邊的「啟用」或「編輯」。
- 按一下通知類型旁邊的切換按鈕,然後勾選或取消勾選該方塊,以決定誰應該收到通知。
- 按一下「啟用」或「儲存」。
誰可以使用此功能?
- 組織擁有者、組織管理員,以及擁有安全性管理員系統角色的成員
- 可在 Enterprise 方案使用