Defender for Cloud Appsが Slack Enterprise の保護にどのように役立つか

[アーティクル]
11/28/2024

Slack は、組織が 1 か所で共同作業やコミュニケーションを行うのに役立つクラウドサービスです。クラウドでの効果的なコラボレーションの利点と共に、organizationの最も重要な資産が脅威にさらされる可能性があります。公開される資産には、潜在的に機密情報、コラボレーション、パートナーシップの詳細などを含むメッセージ、チャネル、ファイルが含まれます。このデータの漏えいを防ぐには、悪意のあるアクターやセキュリティに気付いていないインサイダーが機密情報を流出させるのを防ぐために、継続的な監視が必要です。

Slack Enterprise をDefender for Cloud Appsに接続すると、ユーザーのアクティビティに関する分析情報が向上し、異常な動作に対する脅威検出が提供されます。

主な脅威

侵害されたアカウントとインサイダーの脅威
データ漏洩
セキュリティに対する認識が不十分
アンマネージド Bring Your Own Device (BYOD)

Defender for Cloud Appsが環境を保護するのにどのように役立つか

ポリシーを使用して Slack を制御する

型	名前
組み込みの異常検出ポリシー	匿名 IP アドレスからのアクティビティ頻度の低い国からのアクティビティ疑わしい IP アドレスからのアクティビティ不可能な移動終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要) 複数回のログイン試行の失敗通常とは異なる管理アクティビティ通常とは異なる偽装アクティビティ
アクティビティポリシー	Slack 監査ログアクティビティによってカスタマイズされたポリシーを構築しました

型

名前

組み込みの異常検出ポリシー

匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
疑わしい IP アドレスからのアクティビティ
不可能な移動
終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要)
複数回のログイン試行の失敗
通常とは異なる管理アクティビティ
通常とは異なる偽装アクティビティ

アクティビティポリシー

Slack 監査ログアクティビティによってカスタマイズされたポリシーを構築しました

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威の監視に加えて、次の Slack ガバナンスアクションを適用して自動化して、検出された脅威を修復できます。

型	操作
ユーザーガバナンス	ユーザーにアラートを通知する (Microsoft Entra ID経由) ユーザーに再度サインインを要求する (Microsoft Entra ID経由) ユーザーの一時停止 (Microsoft Entra ID経由)

アプリからの脅威の修復の詳細については、「接続されたアプリの管理」を参照してください。

Slack をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し、機密データのダウンロードをアンマネージドデバイスまたは危険なデバイスにブロックして保護するためのベストプラクティスを確認します。

Slack をMicrosoft Defender for Cloud Appsに接続する

このセクションでは、App Connector API を使用して既存の Slack にMicrosoft Defender for Cloud Appsを接続する手順について説明します。この接続により、organizationの Slack の使用を可視化して制御できます。

前提条件:

Slack テナントは、次の要件を満たす必要があります。
- Slack テナントには Enterprise ライセンスが必要です。 Defender for Cloud Appsは、非エンタープライズライセンスをサポートしていません。
- Slack テナントで Discovery API が有効になっている必要があります。 Slack テナントに対して Discovery API を有効にするには、Slack サポートにお問い合わせください。
組織の所有者は、コネクタをインストールする前に、ブラウザー内で Slack organizationにログインする必要があります。

Slack をDefender for Cloud Appsに接続するには:

Microsoft Defender ポータルで、[設定] を選択します。次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリコネクタ] を選択します。
[ アプリコネクタ ] ページで、[ +アプリの接続] を選択し、[Slack] を選択 します。
次のウィンドウで、コネクタにわかりやすい名前を付け、[ 次へ] を選択します。
[ 外部リンク ] ページで、[ Slack の接続] を選択します。
Slack ページにリダイレクトされます。組織の所有者が Slack organizationに既にログインしていることを確認します。
[Slack 承認] ページで、右上隅のドロップダウンから正しいorganizationを選択してください。
Microsoft Defender ポータルで、[設定] を選択します。次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリコネクタ] を選択します。接続されている App Connector の状態が [接続済み] になっていることを確認します。
注:
- 最初の接続には、接続の 7 日前にすべてのユーザーとそのアクティビティを取得するまでに最大 4 時間かかることがあります。
- コネクタの [状態] が [接続済み] としてマークされると、コネクタはライブ状態になり、動作します。
- 受信したアクティビティは、Slack 監査ログ API からのアクティビティです。 Slack のドキュメントで確認できます。
- Slack メッセージの送信 アクティビティは、Slack API コネクタからではなく、条件付きアクセスアプリ制御から受信できるアクティビティです。

次の手順

ポリシーを使用したクラウドアプリの制御

問題が発生した場合は、ここにお問い合わせください。製品の問題に関するサポートまたはサポートを受けるためには、サポートチケットを開いてください。

次の方法で共有