Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi sumber untuk Slack Audit Log
Integrasi dengan Slack Audit Log
Slack adalah platform kolaborasi dan pesan berbasis cloud yang memungkinkan komunikasi tim melalui saluran, pesan langsung, berbagi file, dan integrasi dengan aplikasi eksternal. CloudWatch pipeline menggunakan Slack API (seperti Events API dan Audit Logs API) untuk mengambil informasi tentang aktivitas pengguna, pesan, peristiwa saluran, interaksi aplikasi, dan tindakan administratif di seluruh ruang kerja Slack Anda. API ini menyediakan titik akhir REST yang memungkinkan akses ke data peristiwa, memungkinkan pengumpulan log komunikasi dan audit dari lingkungan Slack Anda untuk pemantauan dan analisis.
Autentikasi dengan Slack
Untuk membaca log audit Slack, pipeline perlu diautentikasi dengan ruang kerja Slack Anda. Plugin ini mendukung otentikasi token API OAuth. Ikuti petunjuk berikut untuk memulai dengan Slack API:
-
Sebelum membuat aplikasi, daftar untuk Program Pengembang Slack dengan mengunjungi:
https://api.slack.com/developer-program. -
Masuk ke portal Slack API dan navigasikan ke “Aplikasi Anda” lalu “Buat Aplikasi Baru.” Pilih “Dari awal” dan berikan nama aplikasi dan ruang kerja. Setelah pembuatan, catat ID Klien dan Rahasia Klien dari bagian “Informasi Dasar”.
-
Konfigurasikan cakupan OAuth di bawah “OAuth & Izin.” Tambahkan cakupan yang diperlukan seperti
auditlogs:read,channels:read,,groups:readusers:read, danchannels:historytergantung pada kasus penggunaan Anda. Instal aplikasi ke ruang kerja Anda dengan memilih tombol instal di portal Slack API. Setelah instalasi, salin Token OAuth Pengguna (dimulai denganxoxp-). Ruangauditlogs:readlingkup membutuhkan token OAuth pengguna. -
Di AWS Secrets Manager, buat rahasia yang akan menyimpan token Slack yang diperoleh pada langkah 3. Nilai rahasia harus berupa objek JSON dengan kunci yang menyimpan token. Pilih nama rahasia dan nama kunci apa pun yang Anda inginkan, tetapi ingat keduanya — konfigurasi pipeline mereferensikannya bersama-sama menggunakan sintaks
${{aws_secrets:<secret-name>:<key-name>}}.
Mengkonfigurasi Pipeline CloudWatch
Saat mengonfigurasi pipeline untuk membaca log, pilih Slack sebagai sumber data. Tentukan format durasi rentang (misalnya, PT21H selama 21 jam terakhir) untuk mengontrol jendela waktu log yang diambil. Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.
Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa yang dipetakan ke Aktivitas Sumber Daya Web (6001), Otentikasi (3002), Manajemen Entitas (3004), Perubahan Akun (3001), Manajemen Akses Pengguna (3005), Aktivitas Hosting File (6006), dan Penemuan Deteksi (2004), dan peristiwa ini bersumber dari Slack API. AuditLogs Peristiwa yang tidak terdaftar tidak dipetakan ke OCSF dan akan diteruskan ke wastafel sebagai log mentah.
Aktivitas Sumber Daya Web (6001) berisi jenis acara berikut:
private_channel_created
private_channel_archive
private_channel_converted_to_public
private_channel_deleted
private_channel_unarchive
public_channel_archive
public_channel_converted_to_private
public_channel_created
public_channel_deleted
public_channel_preview
public_channel_unarchive
file_public_link_created
file_public_link_dicabut
huddle_screenshare_on
huddle_ended
huddle_knock_accepted
huddle_particiant_drop
huddle_particiant_joined
huddle_particiant_left
huddle_started
huddle_screenshare_off
huddle_transcription_cancelled
huddle_transcription_pause
huddle_transcription_dilanjutkan
huddle_transcription_started
huddle_transcription_start_notification
slack_ai_huddle_notes_generated
list_linksharing_enabled
canvas_linksharing_enabled
list_linksharing_disabled
canvas_linksharing_disabled
Manajemen Entitas (3004) berisi jenis acara berikut:
external_shared_channel_invite_accepted
external_shared_channel_invite_approved
external_shared_channel_invite_auto_revoked
external_shared_channel_invite_created
external_shared_channel_access_upgraded
external_shared_channel_disconnect_and_diarsipkan
external_shared_channel_disconnected
external_shared_channel_invite_declined
external_shared_channel_invite_expired
external_shared_channel_invite_dicabut
channels_export_completed
channels_export_deleted
channels_export_download
channels_export_started
scheduled_export_completed
scheduled_export_deleted
scheduled_export_download
scheduled_export_started
manual_export_completed
manual_export_deleted
manual_export_download
manual_export_started
manual_user_export_download
manual_user_export_completed
manual_user_export_deleted
manual_user_export_started
external_shared_channel_connected
Perubahan Akun (3001) berisi jenis acara berikut:
role_change_to_owner
peran_change_to_admin
role_change_to_guest
role_change_to_user
role_removed
role_assigned
guest_created
guest_deactivated
guest_reactivated
user_created
user_deactivated
user_diaktifkan kembali
user_email_updated
user_profile_updated
user_profile_deleted
guest_expiration_cleared
guest_expiration_set
tamu_kedaluwarsa
user_force_upgrade_non_compliant_mobile_app_version
owner_transfer/
service_owner_transfered
user_password_reset_requested
user_password_reset_slack_security
custom_tos_accepted
user_session_settings_changed
role_added_to_usergroup
role_removed_from_usergroup
Otentikasi (3002) berisi jenis acara berikut:
bulk_session_reset_by_admin
user_session_reset_by_admin
user_logout_non_compliant_mobile_app_version
user_logout
user_logout_compromised
user_login
user_login_failed
cli_login
user_sessions_reset_by_anomaly_event_response
user_session_invalidated
User Access Management (3005) berisi jenis acara berikut:
permissions_assigned
user_channel_join
guest_channel_join
user_added_to_usergroup
workflow_trigger_permission_added
workflow_trigger_permission_set
app_resources_granted
app_resources_added
app_scopes_extended
permissions_removed
user_channel_leave
guest_channel_leave
user_removed_from_usergroup
workflow_trigger_permission_removed
role_modified_on_usergroup
Aktivitas File Hosting (6006) berisi jenis acara berikut:
file_deleted
file_download_diblokir
file_download
file_shared
file_upload
Detection Finding (2004) berisi jenis acara berikut:
file_malicious_content_detected
Anomali