在 Slack 中配置审核日志异常事件响应
在使用 Enterprise 套餐的组织中,你可以使用 Slack 审核日志监控组织内的使用情况。审核日志中包含异常事件,这些事件可作为识别用户和应用活动中潜在的不寻常或可疑行为的指标。
运作方式
- 通常,你应该考虑先调查审核日志中的异常事件,以了解相关活动的具体情况,然后再采取行动。不过,你可以选择在检测到异常事件时自动终止用户的会话,以阻止潜在的可疑活动。
- 如果用户的会话因异常事件而终止,可以立即使用常用登录凭证重新登录 Slack。
- 当用户会话终止时,组织主要拥有者和安全管理员会通过电子邮件或 Slack 安全机器人收到通知。Slack 安全机器人是 Slack 构建的一款应用,专门用于推送重要的安全相关通知。
小窍门:请阅读 Slack 博客,以详细了解如何在 Slack 中配置对异常事件的响应。
配置异常事件响应
如果你希望 Slack 在出现以下情况时自动终止用户在所有设备上的会话,可以配置异常事件响应:
- 从 Tor 出口节点访问 Slack*
- 数据抓取*
- 下载次数过多
- 过期或意外的会话 cookie
- 伪装的用户代理
- 意外的 API 调用量
- 意外的用户代理
*默认已启用
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择安全,然后单击安全设置。
- 在异常事件响应设置中,单击自动终止用户会话旁边的启用或编辑。
- 单击异常事件旁边的切换按钮以选中该事件。勾选排除特定人员或群组旁边的选项框,以防止在检测到该事件时终止特定用户的会话。
- 单击启用或保存。
注意:你配置的异常事件响应不适用于 Slack Connect 对话中的外部人员。
管理异常事件响应通知
当用户的活跃会话因响应异常事件而终止时,会收到来自 Slack 的电子邮件通知。你可以决定是否同时通知组织主要拥有者和安全管理员,通知方式可选择电子邮件,或通过 Slack 安全应用推送通知。
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择安全,然后单击安全设置。
- 在异常事件响应设置下,单击管理通知下的启用或编辑。
- 单击通知类型旁边的切换按钮,然后勾选或取消勾选复选框,以决定谁将接收通知。
- 单击启用或保存。
哪些人员可以使用此功能?
- 组织拥有者、组织管理员和安全管理员
- 在企业套餐中提供