在 Slack 中設定稽核記錄異常事件回應
在 Enterprise Grid 方案中,你可以使用 Slack 稽核記錄來監控組織中的使用情況。稽核記錄中包括異常事件資訊,這些資訊可作為潛在異常或可疑使用者和應用程式活動的指標。如果你希望 Slack 在偵測到以下情況時,自動結束所有裝置上的使用者作業階段,可以設定異常事件回應:
- 從 Tor 出口節點存取 Slack*
- 存在資料抓取行為*
- 下載內容過多
- 過期或非預期的作業階段 Cookie
- 非預期的 API 呼叫量
- 非預期的使用者代理
* 預設啟用
注意:此功能將逐步推出。感謝你耐心等待。我們將在未來幾週向 Enterprise Grid 客戶發布。
設定異常事件回應
一般來說,你應該考慮調查稽核記錄中的異常事件,來了解活動的情況,然後再採取行動。不過,你可以選擇在偵測到異常事件時自動結束使用者作業階段,以阻止潛在的可疑活動。因異常事件而終止作業階段的使用者可立即使用其通常的登入憑證來重新登入 Slack。
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「 安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「啟用」或「編輯」。
- 勾選或取消勾選「回應異常事件自動結束使用者工作階段」旁邊的方塊,然後選擇異常事件應。
- 按一下「啟用」或「儲存」。
注意:你設定的異常事件回應將不適用於 Slack Connect 對話中的外部人員。
管理異常事件回應通知
因異常事件而結束使用者正在使用的作業階段時,他們會收到 Slack 的電子郵件通知。你可以決定是否也應通知組織主要擁有者和安全性管理員,以及他們是否要收到電子郵件或 Slack 通知。
- 在桌面上,按一下側欄中的組織名稱。
- 將游標放在「工具與設定」上,然後按一下「組織設定」。
- 從左側欄選取「 安全性」,然後按一下「安全性設定」。
- 在「異常事件回應設定」下,按一下「啟用」或「編輯」。
- 勾選「回應異常事件自動結束使用者工作階段」旁邊的方塊,然後選擇哪些異常事件應自動結束使用者工作階段。
- 在「傳送通知」下,選取應通知的人員,然後選取「他們將收到通知類型」旁邊的方塊。
- 按一下「啟用」或「儲存」。
誰可以使用此功能?
- 組織擁有者、組織管理員和擔任安全性管理員系統角色的成員
- 適用於 Enterprise Grid 方案