Defender for Cloud Apps が Slack Enterprise を保護するしくみ

[アーティクル]
02/07/2024

Slack は、組織が 1 か所で共同作業やコミュニケーションを行うのを支援するクラウドサービスです。クラウドでの効果的なコラボレーションのメリットが得られると同時に、組織の最も重要な資産が脅威にさらされる可能性があります。脅威にさらされる資産には、機密情報、共同作業、パートナーシップの詳細などを含む可能性のあるメッセージ、チャネル、ファイルがあります。このようなデータがさらされるのを防ぐには、悪意のあるアクターやセキュリティを認識していない内部関係者が機密情報を引き出してしまうのを防ぐために、継続的に監視する必要があります。

Slack Enterprise を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関してより詳細な分析情報が得られ、異常な動作に関する脅威を検出できます。

主な脅威

侵害されたアカウントと内部関係者による脅威
データ漏えい
セキュリティに対する認識不足
管理されていない個人のデバイスの持ち込み (BYOD)

環境を保護する場合の Defender for Cloud Apps の利点

ポリシーを使用して Slack を制御する

Type	名前
組み込みの異常検出ポリシー	匿名 IP アドレスからのアクティビティ頻度の低い国からのアクティビティ不審な IP アドレスからのアクティビティあり得ない移動終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要) 複数回失敗したログイン試行異常な管理アクティビティ異常な偽装されたアクティビティ
アクティビティポリシー	Slack 監査ログアクティビティからカスタマイズしたポリシーを作成する

Type

名前

組み込みの異常検出ポリシー

匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
不審な IP アドレスからのアクティビティ
あり得ない移動
終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要)
複数回失敗したログイン試行
異常な管理アクティビティ
異常な偽装されたアクティビティ

アクティビティポリシー

Slack 監査ログアクティビティからカスタマイズしたポリシーを作成する

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威を監視することに加えて、以下の Slack ガバナンスアクションを適用および自動化して、検出された脅威を修復することができます。

Type	操作
ユーザーガバナンス	アラートをユーザーに通知する (Microsoft Entra ID 経由) ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由) ユーザーを一時停止する (Microsoft Entra ID 経由)

アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。

Slack をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し、管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベストプラクティスを参照してください。

Slack を Microsoft Defender for Cloud Apps に接続する

このセクションでは、アプリコネクタ API を使用して Microsoft Defender for Cloud Apps を既存の Slack に接続する方法を説明します。この接続により、お客様の組織の Slack の使用を可視化し、制御できます。

前提条件:

Slackテナントは次の要件をすべて満たす必要があります。
- Slackテナントには Enterprise ライセンスが必要です。 Defender for Cloud Apps では、エンタープライズ以外のライセンスはサポートしていません。
- Slack テナントでは Discovery API が有効になっている必要があります。 Slack テナントの Discovery API を有効にするには、Slack サポートにお問い合わせください。
組織の所有者は、コネクタをインストールする前に、ブラウザ内で Slack 組織にログインする必要があります。

Slack を Defender for Cloud Apps に接続するには:

Microsoft Defender ポータルで、[設定] を選択します。次に、[クラウドアプリ] を選択します。 [接続アプリ] で、[アプリコネクタ] を選択します。
[アプリコネクタ] ページで、[+アプリを接続]、[Slack] の順に選択します。
次のウィンドウで、コネクタにわかりやすい名前を付け、[次へ] を選択します。
[外部リンク] ページで、[Slack の接続] を選択します。
Slack ページにリダイレクトされます。組織の所有者がすでに Slack 組織にログインしていることを確認してください。
Slack 認証ページで、右上隅のドロップダウンから正しい組織を選択していることを確認してください。
Microsoft Defender ポータルで、[設定] を選択します。次に、[クラウドアプリ] を選択します。 [接続アプリ] で、[アプリコネクタ] を選択します。接続されているアプリコネクタの状態が [接続済み] になっていることを確認します。
Note
- 最初の接続では、すべてのユーザーと接続前の 7 日間のアクティビティを取得するまでに最大 4 時間かかることがあります。
- コネクタの [状態] が [接続済み] になったら、コネクタは有効であり、動作しています。
- 受信したアクティビティは、Slack Audit Log API からのものです。これらはSlack ドキュメントで見つけることができます。
- Slack メッセージを送信 アクティビティは、Slack API コネクタからではなく、条件付きアクセスアプリコントロールから受信できるアクティビティです。

次のステップ

ポリシーによるクラウドアプリの制御

問題が発生した場合は、ここにお問い合わせください。お使いの製品の問題について支援やサポートを受けるには、サポートチケットを作成してください。