Defender for Cloud Apps如何帮助保护 Slack Enterprise

Slack 是一种云服务,可帮助组织在一个位置进行协作和通信。 除了在云中有效协作的好处外,组织最关键的资产还可能面临威胁。 公开的资产包括消息、频道和文件,其中包含潜在的敏感信息、协作和合作关系详细信息等。 防止泄露此数据需要持续监视,以防止任何恶意参与者或未意识到安全性的预览体验成员泄露敏感信息。

将 Slack Enterprise 连接到 Defender for Cloud Apps 可以改进用户活动的见解,并为异常行为提供威胁检测。

主要威胁

  • 泄露的帐户和内部威胁

  • 数据泄漏

  • 安全意识不足

  • 非托管自带设备 (BYOD)

Defender for Cloud Apps如何帮助保护环境

使用策略控制 Slack

类型 名称
内置异常情况检测策略 来自匿名 IP 地址的活动
来自不常见国家/地区的活动
来自可疑 IP 地址的活动
不可能旅行
终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID
多个失败登录尝试
异常管理活动
异常模拟活动
活动策略 通过 Slack 审核日志 活动生成自定义策略

有关创建策略的详细信息,请参阅 创建策略

自动化治理控制

除了监视潜在威胁外,还可以应用并自动执行以下 Slack 治理操作来修正检测到的威胁:

类型 操作
用户治理 通过Microsoft Entra ID) 在警报 (通知用户
要求用户通过Microsoft Entra ID) 再次登录 (
通过Microsoft Entra ID) 挂起用户 (

有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用

实时保护 Slack

查看我们的最佳做法, 了解如何保护与外部用户协作以及阻止和保护将敏感数据下载到非托管或有风险的设备

将 Slack 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Slack 的说明。 通过此连接,你可以了解和控制组织的 Slack 使用。

先决条件

  • Slack 租户必须满足以下要求:

    • Slack 租户必须具有 企业 许可证。 Defender for Cloud Apps不支持非企业许可证。
    • Slack 租户应已启用 发现 API 。 若要为 Slack 租户启用 发现 API ,请联系 Slack 支持部门。
  • 在安装连接器之前,组织所有者需要在浏览器中登录到其 Slack 组织。

若要将 Slack 连接到Defender for Cloud Apps

  1. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。

  2. “应用连接器 ”页中,选择“ +连接应用”,然后选择 “Slack”。

  3. 在下一个窗口中,为连接器提供描述性名称,然后选择“ 下一步”。

    为连接器命名。

  4. “外部链接” 页中,选择“ 连接 Slack”。

    连接 Slack。

  5. 你将重定向到 Slack 页面。 确保组织所有者已登录到 Slack 组织。

  6. 在“Slack 授权”页中,确保从右上角的下拉列表中选择正确的组织。

  7. 在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。

    注意

    • 第一个连接最多可能需要 4 小时才能在连接前 7 天内获取所有用户及其活动。
    • 连接器 的状态 标记为 “已连接”后,连接器将处于活动状态并正常工作。
    • 收到的活动来自 Slack 审核日志 API。 可以在 Slack 文档中找到它们。
    • 发送 Slack 消息 活动是从 条件访问应用控件接收的活动,而不是从 Slack API 连接器接收。

后续步骤

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证