Как Defender for Cloud Apps помогает защитить среду Slack Enterprise

Slack — это облачная служба, которая помогает организациям работать и общаться в одном месте. Наряду с преимуществами эффективной совместной работы в облаке наиболее важные ресурсы вашей организации могут подвергаться угрозам. Доступные ресурсы включают сообщения, каналы и файлы с потенциально конфиденциальной информацией, сведениями о совместной работе и партнерстве, а также многое другое. Чтобы предотвратить раскрытие этих данных, требуется непрерывный мониторинг, чтобы предотвратить кражу конфиденциальной информации злоумышленниками или лицами, не осведомленными о безопасности.

Подключение Slack Enterprise к Defender for Cloud Apps позволяет получить более подробные сведения о действиях пользователей и обнаружить угрозы для аномального поведения.

Основные угрозы для среды Slack Enterprise

  • Скомпрометированные учетные записи и внутренние угрозы

  • Утечка данных

  • Недостаточная осведомленность о безопасности

  • Неуправляемое использование собственных устройств (BYOD)

Как Defender for Cloud Apps помогает защитить среду

Defender for Cloud Apps помогает защитить среду Slack Enterprise с помощью следующих рекомендаций:

Управление Slack с помощью политик

В следующей таблице перечислены типы политик, которые можно использовать для мониторинга и управления действиями Slack:

Тип Название
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Активность из необычной страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное уволенным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений)
Многократные неудачные попытки входа.
Необычные административные действия
Необычные действия от чужого имени
Политика действий Настроили настраиваемую политику на основе действий Slack Audit Log

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Slack для устранения обнаруженных угроз:

Тип Действие
Управление пользователями Уведомить пользователя об оповещении (через Microsoft Entra ID)
Требовать от пользователя повторного входа (через Microsoft Entra ID)
Приостановка пользователя (через Microsoft Entra ID)

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита Slack в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите гостей и совместной работе с ними , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Slack к Microsoft Defender for Cloud Apps

В следующих инструкциях объясняется, как подключить Microsoft Defender for Cloud Apps к существующему Slack с помощью API соединителя приложений. Это подключение позволяет отслеживать использование Slack в вашей организации и контролировать их.

Предварительные условия

  • Клиент Slack должен соответствовать следующим требованиям:
    • У клиента Slack должна быть лицензия Enterprise . Defender for Cloud Apps не поддерживает лицензии, не относящиеся к предприятиям.
    • В клиенте Slack должен быть включен API обнаружения . Чтобы включить API обнаружения для клиента Slack, обратитесь в службу поддержки Slack.
  • Владелец организации должен войти в свою организацию Slack в браузере перед установкой соединителя.

Подключение Slack к Defender for Cloud Apps

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений выберите +Подключить приложение, а затем — Slack.

  3. В следующем окне присвойте соединителю описательное имя и нажмите кнопку Далее.

    Снимок экрана, на котором показано, где ввести имя экземпляра в портале Defender.

  4. На странице Внешняя ссылка выберите Подключить Slack.

    Снимок экрана, на котором показано, где ввести внешнюю ссылку и подключиться к Slack.

  5. Вы будете перенаправлены на страницу Slack. Убедитесь, что владелец организации уже вошел в организацию Slack.

  6. На странице авторизации Slack убедитесь, что в раскрывающемся списке в правом верхнем углу выберите правильную организацию.

  7. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

    Примечание.

    • Первое подключение может занять до 4 часов, чтобы загрузить данные обо всех пользователях и их действиях за 7 дней до подключения.
    • После того как состояние соединителя будет отмечено как Подключено, соединитель работает и работает.
    • Полученные действия получены из API журнала аудита Slack. Их можно найти в документации Slack.
    • Действие отправки сообщений Slack — это действие, которое можно получить из элемента управления условным доступом приложения, а не из соединителя API Slack.

Дальнейшие действия