Comment Defender for Cloud Apps contribue à la protection de votre Slack Enterprise

Article
01/23/2024

Slack est un service cloud qui aide les organisations à collaborer et à communiquer en un seul endroit. Outre les avantages de la collaboration efficace dans le cloud, les ressources les plus critiques de votre organisation peuvent être exposées aux menaces. Les ressources exposées incluent des messages, des canaux et des fichiers avec des informations potentiellement sensibles, des informations de collaboration et des détails de partenariat, etc. La prévention de l’exposition de ces données nécessite une surveillance continue pour empêcher les acteurs malveillants ou les insiders sans sécurité d’exfiltrer les informations sensibles.

La connexion de Slack Enterprise à Defender for Cloud Apps vous donne des insights améliorés sur les activités de vos utilisateurs et fournit une détection des menaces en cas de comportement anormal.

Menaces principales

Comptes compromis et menaces internes
Fuite de données
Sensibilisation insuffisante à la sécurité
Appareil BYOD (apportez votre propre appareil) non géré

Comment Defender for Cloud Apps contribue à la protection de votre environnement

Contrôler Slack avec des stratégies

Type	Nom
Stratégie de détection d’anomalie prédéfinie	Activité depuis des adresses IP anonymes Activité à partir de pays peu fréquents Activité à partir d’adresses IP suspectes Voyage impossible Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité) Plusieurs tentatives de connexion infructueuses Activités administratives inhabituelles Activités inhabituelles d’usurpation d’identité
Stratégie d’activité	Création d’une stratégie personnalisée à l’aide des activités du journal d’audit

Type

Nom

Stratégie de détection d’anomalie prédéfinie

Activité depuis des adresses IP anonymes
Activité à partir de pays peu fréquents
Activité à partir d’adresses IP suspectes
Voyage impossible
Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité)
Plusieurs tentatives de connexion infructueuses
Activités administratives inhabituelles
Activités inhabituelles d’usurpation d’identité

Stratégie d’activité

Création d’une stratégie personnalisée à l’aide des activités du journal d’audit

Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.

Automatiser les contrôles de gouvernance

Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance Slack suivantes pour corriger les menaces détectées :

Type	Action
Gouvernance des utilisateurs	Avertir l’utilisateur en cas d’alerte (via Microsoft Entra ID) Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID) Suspendre l’utilisateur (via Microsoft Entra ID)

Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.

Protéger Slack en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.

Connecter Stack à Microsoft Defender for Cloud Apps

Cette section fournit des instructions pour connecter Microsoft Defender pour le cloud Apps à votre Slack existant à l’aide des API d’Connecter or d’application. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle sur l’utilisation du Slack de votre organisation.

Configuration requise :

Votre client Slack doit présenter la configuration suivante :
- Votre client Slack doit disposer d’une licence Entreprise. Defender for Cloud Apps ne prend pas en charge les licences non-entreprise.
- Votre client Slack doit avoir activé l’API de découverte. Pour activer l’API de découverte pour votre client Slack, contactez le support Slack.
Le propriétaire de l’organisation doit être connecté à son organisation Slack dans son navigateur avant d’installer le connecteur.

Pour connecter Slack à Defender pour le cloud Apps :

Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.
Dans la page Connecteurs d’application, sélectionnez +Connecter une application, puis sur Slack.
Dans la fenêtre suivante, donnez au connecteur un nom descriptif, puis sélectionnez Suivant.
Dans la page Lien externe, sélectionnez Connecter Slack.
Vous êtes redirigé vers la page Slack. Vérifiez que le propriétaire de l’organisation est déjà connecté à l’organisation Slack.
Dans la page Autorisation Slack, veillez à choisir l’organisation appropriée dans la liste déroulante en haut à droite.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.
Remarque
- La première connexion peut prendre jusqu’à 4 heures pour obtenir tous les utilisateurs et leurs activités dans les 7 jours avant la connexion.
- Une fois que le statut du connecteur est marqué comme Connecté, le connecteur est actif et fonctionne.
- Les activités reçues proviennent de l’API du journal d’audit Slack. Vous pouvez les trouver dans la documentation Slack.
- Envoyer un message Slack est une activité qui peut être reçue à partir du contrôle d’application par accès conditionnel, et non à partir du connecteur d’API Slack.

Étapes suivantes

Contrôler les applications cloud avec des stratégies

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.