View a markdown version of this page

Konfigurasi sumber untuk Slack Audit Log - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk Slack Audit Log

Integrasi dengan Slack Audit Log

Slack adalah platform kolaborasi dan pesan berbasis cloud yang memungkinkan komunikasi tim melalui saluran, pesan langsung, berbagi file, dan integrasi dengan aplikasi eksternal. CloudWatch pipeline menggunakan Slack API (seperti Events API dan Audit Logs API) untuk mengambil informasi tentang aktivitas pengguna, pesan, peristiwa saluran, interaksi aplikasi, dan tindakan administratif di seluruh ruang kerja Slack Anda. API ini menyediakan titik akhir REST yang memungkinkan akses ke data peristiwa, memungkinkan pengumpulan log komunikasi dan audit dari lingkungan Slack Anda untuk pemantauan dan analisis.

Autentikasi dengan Slack

Untuk membaca log audit Slack, pipeline perlu diautentikasi dengan ruang kerja Slack Anda. Plugin ini mendukung otentikasi token API OAuth. Ikuti petunjuk berikut untuk memulai dengan Slack API:

  1. Sebelum membuat aplikasi, daftar untuk Program Pengembang Slack dengan mengunjungi:https://api.slack.com/developer-program.

  2. Masuk ke portal Slack API dan navigasikan ke “Aplikasi Anda” lalu “Buat Aplikasi Baru.” Pilih “Dari awal” dan berikan nama aplikasi dan ruang kerja. Setelah pembuatan, catat ID Klien dan Rahasia Klien dari bagian “Informasi Dasar”.

  3. Konfigurasikan cakupan OAuth di bawah “OAuth & Izin.” Tambahkan cakupan yang diperlukan sepertiauditlogs:read,channels:read,, groups:readusers:read, dan channels:history tergantung pada kasus penggunaan Anda. Instal aplikasi ke ruang kerja Anda dengan memilih tombol instal di portal Slack API. Setelah instalasi, salin Token OAuth Pengguna (dimulai denganxoxp-). Ruang auditlogs:read lingkup membutuhkan token OAuth pengguna.

  4. Di AWS Secrets Manager, buat rahasia yang akan menyimpan token Slack yang diperoleh pada langkah 3. Nilai rahasia harus berupa objek JSON dengan kunci yang menyimpan token. Pilih nama rahasia dan nama kunci apa pun yang Anda inginkan, tetapi ingat keduanya — konfigurasi pipeline mereferensikannya bersama-sama menggunakan sintaks${{aws_secrets:<secret-name>:<key-name>}}.

Mengkonfigurasi Pipeline CloudWatch

Saat mengonfigurasi pipeline untuk membaca log, pilih Slack sebagai sumber data. Tentukan format durasi rentang (misalnya, PT21H selama 21 jam terakhir) untuk mengontrol jendela waktu log yang diambil. Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa yang dipetakan ke Aktivitas Sumber Daya Web (6001), Otentikasi (3002), Manajemen Entitas (3004), Perubahan Akun (3001), Manajemen Akses Pengguna (3005), Aktivitas Hosting File (6006), dan Penemuan Deteksi (2004), dan peristiwa ini bersumber dari Slack API. AuditLogs Peristiwa yang tidak terdaftar tidak dipetakan ke OCSF dan akan diteruskan ke wastafel sebagai log mentah.

Aktivitas Sumber Daya Web (6001) berisi jenis acara berikut:

  • private_channel_created

  • private_channel_archive

  • private_channel_converted_to_public

  • private_channel_deleted

  • private_channel_unarchive

  • public_channel_archive

  • public_channel_converted_to_private

  • public_channel_created

  • public_channel_deleted

  • public_channel_preview

  • public_channel_unarchive

  • file_public_link_created

  • file_public_link_dicabut

  • huddle_screenshare_on

  • huddle_ended

  • huddle_knock_accepted

  • huddle_particiant_drop

  • huddle_particiant_joined

  • huddle_particiant_left

  • huddle_started

  • huddle_screenshare_off

  • huddle_transcription_cancelled

  • huddle_transcription_pause

  • huddle_transcription_dilanjutkan

  • huddle_transcription_started

  • huddle_transcription_start_notification

  • slack_ai_huddle_notes_generated

  • list_linksharing_enabled

  • canvas_linksharing_enabled

  • list_linksharing_disabled

  • canvas_linksharing_disabled

Manajemen Entitas (3004) berisi jenis acara berikut:

  • external_shared_channel_invite_accepted

  • external_shared_channel_invite_approved

  • external_shared_channel_invite_auto_revoked

  • external_shared_channel_invite_created

  • external_shared_channel_access_upgraded

  • external_shared_channel_disconnect_and_diarsipkan

  • external_shared_channel_disconnected

  • external_shared_channel_invite_declined

  • external_shared_channel_invite_expired

  • external_shared_channel_invite_dicabut

  • channels_export_completed

  • channels_export_deleted

  • channels_export_download

  • channels_export_started

  • scheduled_export_completed

  • scheduled_export_deleted

  • scheduled_export_download

  • scheduled_export_started

  • manual_export_completed

  • manual_export_deleted

  • manual_export_download

  • manual_export_started

  • manual_user_export_download

  • manual_user_export_completed

  • manual_user_export_deleted

  • manual_user_export_started

  • external_shared_channel_connected

Perubahan Akun (3001) berisi jenis acara berikut:

  • role_change_to_owner

  • peran_change_to_admin

  • role_change_to_guest

  • role_change_to_user

  • role_removed

  • role_assigned

  • guest_created

  • guest_deactivated

  • guest_reactivated

  • user_created

  • user_deactivated

  • user_diaktifkan kembali

  • user_email_updated

  • user_profile_updated

  • user_profile_deleted

  • guest_expiration_cleared

  • guest_expiration_set

  • tamu_kedaluwarsa

  • user_force_upgrade_non_compliant_mobile_app_version

  • owner_transfer/

  • service_owner_transfered

  • user_password_reset_requested

  • user_password_reset_slack_security

  • custom_tos_accepted

  • user_session_settings_changed

  • role_added_to_usergroup

  • role_removed_from_usergroup

Otentikasi (3002) berisi jenis acara berikut:

  • bulk_session_reset_by_admin

  • user_session_reset_by_admin

  • user_logout_non_compliant_mobile_app_version

  • user_logout

  • user_logout_compromised

  • user_login

  • user_login_failed

  • cli_login

  • user_sessions_reset_by_anomaly_event_response

  • user_session_invalidated

User Access Management (3005) berisi jenis acara berikut:

  • permissions_assigned

  • user_channel_join

  • guest_channel_join

  • user_added_to_usergroup

  • workflow_trigger_permission_added

  • workflow_trigger_permission_set

  • app_resources_granted

  • app_resources_added

  • app_scopes_extended

  • permissions_removed

  • user_channel_leave

  • guest_channel_leave

  • user_removed_from_usergroup

  • workflow_trigger_permission_removed

  • role_modified_on_usergroup

Aktivitas File Hosting (6006) berisi jenis acara berikut:

  • file_deleted

  • file_download_diblokir

  • file_download

  • file_shared

  • file_upload

Detection Finding (2004) berisi jenis acara berikut:

  • file_malicious_content_detected

  • Anomali