

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de la source pour le journal d'audit de Slack
<a name="slack-auditlog-source-setup"></a>

## Intégration à Slack Audit Log
<a name="slack-auditlog-integration"></a>

Slack est une plateforme de collaboration et de messagerie basée sur le cloud qui permet aux équipes de communiquer par le biais de canaux, de messages directs, de partage de fichiers et d'intégrations avec des applications externes. CloudWatch les pipelines utilisent les API Slack (telles que l'API des événements et l'API des journaux d'audit) pour récupérer des informations sur les activités des utilisateurs, les messages, les événements des chaînes, les interactions avec les applications et les actions administratives dans votre espace de travail Slack. Ces API fournissent des points de terminaison REST qui permettent d'accéder aux données des événements, ce qui permet de collecter des journaux de communication et d'audit à partir de votre environnement Slack à des fins de surveillance et d'analyse.

## Authentification avec Slack
<a name="slack-auditlog-authentication"></a>

Pour lire les journaux d'audit de Slack, le pipeline doit s'authentifier auprès de votre espace de travail Slack. Le plugin prend en charge l'authentification par jeton d'API OAuth. Suivez ces instructions pour commencer à utiliser les API Slack :

1. Avant de créer une application, inscrivez-vous au programme pour développeurs Slack en vous rendant sur :`https://api.slack.com/developer-program`.

1. Connectez-vous au portail de l'API Slack et accédez à « Vos applications » puis à « Créer une nouvelle application ». Choisissez « À partir de zéro » et indiquez le nom de l'application et l'espace de travail. Après la création, notez l'ID client et le secret du client dans la section « Informations de base ».

1. Configurez les étendues OAuth sous « OAuth et autorisations ». Ajoutez les étendues requises telles que`auditlogs:read`,, `channels:read` `groups:read``users:read`, et `channels:history` en fonction de votre cas d'utilisation. Installez l'application dans votre espace de travail en cliquant sur le bouton d'installation dans le portail de l'API Slack. Après l'installation, copiez le jeton OAuth de l'utilisateur (commence `xoxp-` par). Le `auditlogs:read` champ d'application nécessite un jeton OAuth utilisateur.

1. Dans AWS Secrets Manager, créez un secret qui contiendra le jeton Slack obtenu à l'étape 3. La valeur du secret doit être un objet JSON avec une clé qui stocke le jeton. Choisissez le nom de secret et le nom de clé que vous préférez, mais souvenez-vous des deux : la configuration du pipeline les référence ensemble en utilisant la syntaxe`${{aws_secrets:<secret-name>:<key-name>}}`.

## Configuration du CloudWatch pipeline
<a name="slack-auditlog-pipeline-config"></a>

Lorsque vous configurez le pipeline pour lire les journaux, choisissez Slack comme source de données. Spécifiez le format de durée de la plage (par exemple, PT21H pour les 21 dernières heures) afin de contrôler la fenêtre temporelle des journaux récupérés. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

## Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
<a name="slack-auditlog-ocsf-events"></a>

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements liés à l'activité des ressources Web (6001), à l'authentification (3002), à la gestion des entités (3004), au changement de compte (3001), à la gestion des accès utilisateurs (3005), à l'activité d'hébergement de fichiers (6006) et aux résultats de détection (2004). Ces événements proviennent de l'API Slack. AuditLogs Les événements qui ne sont pas répertoriés ne sont pas mappés à l'OCSF et seront transmis au récepteur sous forme de journaux bruts.

**Web Resources Activity (6001)** contient les types d'événements suivants :
+ chaîne\_privée créée
+ archive\_de\_canal privé
+ canal privé converti en public
+ chaîne\_privé\_supprimée
+ private\_channel\_unarchive
+ archive\_de\_chaîne publique
+ canal public converti en canal privé
+ canal public créé
+ public\_channel\_supprimé
+ public\_channel\_preview
+ public\_channel\_unarchive
+ file\_public\_link\_created
+ file\_public\_link\_révoqué
+ huddle\_screenshare\_on
+ huddle\_ended
+ huddle\_knock\_accepted
+ huddle\_participant\_dropped
+ huddle\_participant\_joined
+ huddle\_participant\_left
+ huddle\_started
+ huddle\_screenshare\_off
+ huddle\_transcription\_annulé
+ huddle\_transcription\_paused
+ huddle\_transcription\_resumed
+ huddle\_transcription\_started
+ huddle\_transcription\_start\_notification
+ slack\_ai\_huddle\_notes\_generated
+ liste\_linksharing\_enabled
+ Canvas\_linksharing\_enabled
+ liste\_linksharing\_disabled
+ canvas\_linksharing\_disabled

**Entity Management (3004)** contient les types d'événements suivants :
+ channel\_shared\_externel\_invite\_accepted
+ external\_shared\_channel\_invite\_approved
+ external\_shared\_channel\_invite\_auto\_revoked
+ channel\_shared\_externel\_invite\_created
+ access\_channel\_shared\_external\_upgradé
+ external\_shared\_channel\_disconnect\_and\_archivé
+ channel\_shared\_external\_disconnected
+ external\_shared\_channel\_invite\_denied
+ external\_shared\_channel\_invite\_expired
+ external\_shared\_channel\_invite\_révoqué
+ channels\_export\_completed
+ channels\_export\_deleted
+ channels\_export\_downloaded
+ channels\_export\_started
+ exportation\_planifiée terminée
+ export\_programmé\_supprimé
+ scheduled\_export\_downloaded
+ Scheduled\_export\_started
+ exportation\_manuelle terminée
+ manuel\_export\_supprimé
+ manuel\_export\_téléchargé
+ manuel\_export\_started
+ manuel\_utilisateur\_export\_téléchargé
+ manuel\_utilisateur\_export\_terminé
+ manuel\_utilisateur\_export\_supprimé
+ manuel\_utilisateur\_export\_démarré
+ channel\_shared\_external\_connected

**Account Change (3001)** contient les types d'événements suivants :
+ changement de rôle en propriétaire
+ changement de rôle en administrateur
+ changement de rôle en invité
+ changement de rôle en utilisateur
+ role\_supprimé
+ rôle\_assigné
+ créé par un invité
+ guest\_deactivated
+ guest\_reactivated
+ créé par l'utilisateur
+ utilisateur\_désactivé
+ utilisateur\_réactivé
+ mail\_utilisateur\_mis à jour
+ profil\_utilisateur mis à jour
+ profil\_utilisateur supprimé
+ guest\_expiration\_cleared
+ guest\_expiration\_set
+ guest\_expiré
+ user\_force\_upgrade\_non\_compliant\_mobile\_app\_version
+ propriétaire\_transféré
+ propriétaire\_de\_service transféré
+ réinitialisation du mot de passe utilisateur demandée
+ réinitialisation\_mot de passe\_utilisateur\_slack\_security
+ custom\_tos\_accepted
+ paramètres\_de\_session utilisateur\_modifiés
+ rôle ajouté au groupe d'utilisateurs
+ role\_removed\_from\_usergroup

**L'authentification (3002)** contient les types d'événements suivants :
+ Bulk\_session\_reset\_by\_admin
+ réinitialisation de la session utilisateur par l'administrateur
+ utilisateur\_logout\_non\_compliant\_mobile\_app\_version
+ déconnexion de l'utilisateur
+ déconnexion de l'utilisateur compromise
+ identifiant\_utilisateur
+ échec de la connexion de l'utilisateur
+ cli\_login
+ user\_sessions\_reset\_by\_anomaly\_event\_response
+ utilisateur\_session\_invalidée

**La gestion de l'accès utilisateur (3005)** contient les types d'événements suivants :
+ autorisations attribuées
+ user\_channel\_join
+ guest\_channel\_join
+ utilisateur ajouté au groupe d'utilisateurs
+ workflow\_trigger\_permission\_added
+ workflow\_trigger\_permission\_set
+ app\_resources\_granted
+ app\_resources\_added
+ app\_scopes\_expanded
+ permissions\_supprimées
+ user\_channel\_leave
+ guest\_channel\_leave
+ utilisateur\_supprimé\_de\_groupe d'utilisateurs
+ workflow\_trigger\_permission\_removed
+ role\_modified\_on\_usergroup

**L'activité d'hébergement de fichiers (6006)** contient les types d'événements suivants :
+ fichier\_supprimé
+ téléchargement\_de\_fichier\_bloqué
+ fichier\_téléchargé
+ fichier\_partagé
+ fichier\_téléchargé

**Detection Finding (2004)** contient les types d'événements suivants :
+ fichier\_contenu\_malicieux\_détecté
+ Anomalie