Slack审计日志是什么？

与许多软件即服务(SaaS)产品类似，Slack为企业网格客户提供审计日志，记录实体在平台上的操作行为。例如用户登录、更新个人资料、应用下载文件等操作。审计日志捕获的操作列表非常广泛，值得定期查看是否有新增内容。文档中还提供了审计日志示例并详细讨论了各字段含义。

审计日志获取方式

Slack审计日志可通过以下方式获取：

• 组织管理员、所有者和具有审计日志管理员角色的用户可通过审计日志仪表板访问（工具和设置 → 管理审计日志）
• 通过API接口获取，许多供应商提供连接器将审计日志集成到其平台中，例如：
  • Splunk
  • AWS AppFabric
  • DataDog

审计日志API支持按属性过滤，包括日志生成时间、操作（最多可指定30个操作）、执行者和实体等。

异常事件

什么是异常？

审计日志流中包含异常事件（动作为"anomaly"的事件）。这些事件与其他审计日志事件不同，它们不是记录实体在平台上执行的操作，而是表明Slack的分析管道检测到实体执行了异常操作（或一组操作），或者实体执行操作的环境存在异常。

如何使用异常？

与组织引入的任何新事件源一样，Slack异常需要检测和响应团队进行调查、实验和分析后才能投入运营使用。

通常，组织不会直接将异常作为事件上报。异常表明发生了意外情况，可能需要进一步调查。异常的重要性因组织的政策和允许的活动而异。

允许列表CIDR范围和ASN

如果组织知道某些IP地址或网络范围与合法活动相关联，Slack提供了允许列表这些源的方法。这些API端点允许添加受信任的CIDR范围和ASN，为微调异常检测和减少异常数量提供了灵活选项。

关联异常

关联多个异常可以为潜在安全问题提供有价值的洞察。例如，当user_agent异常与excessive_downloads异常同时出现时，可能表明正在使用爬取工具。

聚合异常

我们可以聚合某些异常来发现感兴趣的场景。例如，组织可能观察到多个用户每天生成excessive_downloads异常，但这些异常可能不代表恶意活动。

审计日志事件的上下文

异常日志的数量远低于审计日志，通常至少少两个数量级。如果组织希望关注异常日志但无法处理完整的审计日志量，可以使用前面概述的方法仅过滤异常。

审计日志UI示例

要通过Slack界面查看审计日志，可通过工具和设置 → 管理审计日志访问。界面提供完整的日志详情查看功能，包括安全检测标签页中的异常信息。

终止用户活动会话

如果发现与用户账户相关的可疑活动并希望立即采取措施，可以直接从审计日志仪表板终止用户的活动会话。此操作会立即使用户的所有活动会话失效，迫使用户重新认证。

其他检测思路

即使没有为用户的活动生成ip_address异常，分析师也应检查异常中包含的IP地址。同样，如果用户在异常发生时间附近生成了session_fingerprint异常，可能表明用户的会话cookie已被窃取。

与异常（如excessive_downloads、user_agent和ip_address）关联的用户代理可能是发生爬取或其他不良活动的良好信号。我们可以通过展示具有意外用户代理的异常来操作这一洞察。