在 Slack 中配置审核日志异常事件响应
在 Enterprise 套餐的组织中,你可以使用 Slack 审核日志监控组织内的使用情况。审核日志中包含异常事件,这些事件可作为识别用户和应用活动中潜在的不寻常或可疑行为的指标。如果你希望 Slack 在出现以下情况时自动终止用户在所有设备上的会话,可以配置异常事件响应:
- 从 Tor 出口节点访问 Slack*
- 数据抓取*
- 下载次数过多
- 过期或意外的会话 cookie
- 伪装的用户代理
- 意外的 API 调用量
- 意外的用户代理
*默认已启用
配置异常事件响应
通常,你应该考虑先调查审计日志中的异常事件,以了解相关活动的具体情况,然后再采取行动。不过,你可以选择在检测到异常事件时自动终止用户的会话,以阻止潜在的可疑活动。因异常事件而被终止会话的用户可以立即使用他们常用的登录凭证重新登录 Slack。
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择 安全,然后单击安全设置。
- 在异常事件响应设置中,单击自动终止用户会话旁边的启用或编辑。
- 单击异常事件旁边的切换按钮以选中该事件。勾选排除特定人员或群组旁边的选项框,以防止在检测到该事件时终止特定用户的会话。
- 单击启用或保存。
注意:你配置的异常事件响应不适用于 Slack Connect 对话中的外部人员。
管理异常事件响应通知
如果某位用户的活跃会话因异常事件而被终止,Slack 会向该用户发送电子邮件通知。你可以决定是否同时通过电子邮件或 Slack 通知的方式,通知组织主要拥有者和安全管理员。
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择 安全,然后单击安全设置。
- 在异常事件响应设置下,单击管理通知下的启用或编辑。
- 单击通知类型旁边的切换按钮,然后勾选或取消勾选复选框,以决定谁将接收通知。
- 单击启用或保存。
哪些人员可以使用此功能?
- 组织拥有者、组织管理员和拥有安全管理员系统角色的成员
- 在企业套餐中提供