在 Slack 中配置审核日志异常事件响应
在 Enterprise Grid 套餐中,你可以使用 Slack 审计日志监控组织内的使用情况。审计日志中包含异常事件,这些事件可作为识别用户和应用活动中潜在的不寻常或可疑行为的指标。如果你希望 Slack 在出现以下情况时自动终止用户在所有设备上的会话,可以配置异常事件响应:
- 从 Tor 出口节点访问 Slack*
- 数据抓取*
- 下载次数过多
- 过期或意外的会话 cookie
- 意外的 API 调用量
- 意外的用户代理
*默认启用
配置异常事件响应
通常,你应该考虑先调查审计日志中的异常事件,以了解相关活动的具体情况,然后再采取行动。不过,你可以选择在检测到异常事件时自动终止用户的会话,以阻止潜在的可疑活动。因异常事件而被终止会话的用户可以立即使用他们常用的登录凭证重新登录 Slack。
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择 安全,然后单击安全设置。
- 在异常事件响应设置中,单击启用或编辑。
- 选中或取消选中自动终止用户会话以响应异常事件旁边的框,然后选择应该自动终止用户会话的异常事件。
- 单击启用或保存。
注意:你配置的异常事件响应不适用于 Slack Connect 对话中的外部人员。
管理异常事件响应通知
如果用户的活跃会话因响应异常事件而被终止,相应用户会在 Slack 中收到一则电子邮件通知。你可以决定组织主要拥有者和安全管理员是否也应收到通知,以及是通过电子邮件还是 Slack 通知的方式接收通知。
- 在桌面版中,单击侧栏中的组织名称。
- 将鼠标悬停在工具和设置处,然后单击组织设置。
- 从左侧栏中选择 安全,然后单击安全设置。
- 在异常事件响应设置中,单击启用或编辑。
- 选中自动终止用户会话以响应异常事件旁边的框,然后选择应该自动终止用户会话的异常事件。
- 在发送通知给下,选择应收到通知的人员,并选中他们将接收的通知类型旁边的框。
- 单击启用或保存。
哪些人员可以使用此功能?
- 组织拥有者、组织管理员和拥有安全管理员系统角色的成员
- 在 Enterprise Grid 套餐中可用