« ServiceNow Snort 集成 »
Elastic 文档 Elastic 集成

Slack 集成

编辑

Slack 集成

编辑

版本

1.24.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

Slack 被许多组织用作其主要的聊天和协作工具。

Slack 集成使用 Slack 的 API 来检索审计事件并将它们摄取到 Elasticsearch 中。这允许您通过 Elasticsearch 搜索、观察和可视化 Slack 日志事件。

运行此集成的 Elastic Agent 使用其 API 与 Slack 的基础架构进行交互,以检索工作区或企业的 审计日志

请注意,审计日志 API 仅适用于 Enterprise Grid 计划上的 Slack 工作区。这些 API 方法不适用于免费、标准或 Business+ 计划上的工作区。

配置

编辑

在 Elastic 中启用集成

编辑
  1. 在 Kibana 中,转到 管理 > 集成
  2. 在“搜索集成”搜索栏中键入 Slack
  3. 从搜索结果中单击“Slack”集成。
  4. 单击 添加 Slack 按钮以添加 Slack 集成。

配置 Slack 审计日志数据流

编辑

输入值“OAuth API 令牌”。

  1. 当创建 Slack 应用程序时,将生成 OAuth API 令牌
使用 API 令牌配置
编辑

为了使 Slack 集成能够成功获取日志,必须将以下“用户令牌范围”授予 Slack 应用程序

  • auditlogs:read

日志

编辑

审计

编辑

审计日志总结了 Slack 企业内所做的更改历史记录。

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的映像 ID。

关键字

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

Filebeat 输入的类型。

关键字

log.flags

日志文件的标志。

关键字

log.offset

日志文件中条目的偏移量。

长整型

slack.audit.actor.type

执行操作的实体的类型。

关键字

slack.audit.actor.user.team

如果行为者是用户,则为行为者的团队。

关键字

slack.audit.context.domain

工作区或企业的域

关键字

slack.audit.context.id

工作区或企业的 ID

关键字

slack.audit.context.name

工作区或企业的名称

关键字

slack.audit.context.session_id

每个已验证会话唯一的标识符。

关键字

slack.audit.context.type

帐户类型。为 工作区企业

关键字

slack.audit.details.location

当 event.action 为异常时,活动发生的地点

关键字

slack.audit.details.md5

file_malicious_content_detected 事件关联的文件的 md5 哈希值。

关键字

slack.audit.details.previous_ip_address

当 event.action 为异常时,事件中实体的先前观察到的 IP 地址

ip

slack.audit.details.previous_user_agent

当 event.action 为异常时,事件中实体的先前观察到的 User-Agent 字符串

关键字

slack.audit.details.reason

当 event.action 为异常时触发以生成事件的异常规则:asn、excessive_downloads、ip_address、session_fingerprint、tor、user_agent

关键字

slack.audit.details.url_private

与操作关联的 URL。

关键字

slack.audit.entity.barriered_from_usergroup

当 entity_type 为障碍时,用户组障碍

关键字

slack.audit.entity.channel

当 entity_type 为消息时,实体所在的频道

关键字

slack.audit.entity.domain

当 entity_type 为工作区或企业时,实体的域

关键字

slack.audit.entity.email

当 entity_type 为用户时,实体的电子邮件地址

关键字

slack.audit.entity.entity_type

实体的类型:工作区、企业、用户、文件、频道、应用程序、工作流、用户、用户组、障碍、消息、角色、帐户类型角色。

关键字

slack.audit.entity.filetype

当 entity_type 为文件时,实体的文件类型

关键字

slack.audit.entity.id

实体的 ID

关键字

slack.audit.entity.is_directory_approved

当 entity_type 为应用程序时,应用程序是否已批准

布尔值

slack.audit.entity.is_distributed

当 entity_type 为应用程序时,应用程序是否已分发

布尔值

slack.audit.entity.is_org_shared

当 entity_type 为频道时,频道是否已共享

布尔值

slack.audit.entity.is_shared

当 entity_type 为频道时,频道是否已共享

布尔值

slack.audit.entity.is_workflow_app

当 entity_type 为应用程序时,应用程序是否为工作流

布尔值

slack.audit.entity.name

实体的名称

关键字

slack.audit.entity.primary_usergroup

当 entity_type 为障碍时,主要用户组

关键字

slack.audit.entity.privacy

当 entity_type 为频道时,实体的隐私状态

关键字

slack.audit.entity.scopes

当 entity_type 为应用程序时,OAuth 范围

关键字

slack.audit.entity.team

当 entity_type 为用户或消息时,实体所在的团队

关键字

slack.audit.entity.teams_shared_with

当 entity_type 为频道时,频道共享的组织列表

关键字

slack.audit.entity.timestamp

当 entity_type 为消息时,实体的时间戳

关键字

slack.audit.entity.title

当 entity_type 为文件时,实体的标题

关键字

slack.audit.entity.type

当 entity_type 为角色时,实体的类型

关键字
示例

用于 audit 的示例事件如下

{
    "@timestamp": "2023-01-13T17:40:21.862Z",
    "agent": {
        "ephemeral_id": "b9bee162-6839-48bf-a046-8e4a02f2fb67",
        "id": "a92f13a9-12c9-43a1-9997-166906490b28",
        "name": "elastic-agent-31844",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "slack.audit",
        "namespace": "55128",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "a92f13a9-12c9-43a1-9997-166906490b28",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "anomaly",
        "agent_id_status": "verified",
        "created": "2024-10-17T03:44:21.387Z",
        "dataset": "slack.audit",
        "id": "2125fb41-c67c-4cf5-a5c4-d90cb58dd5f9",
        "ingested": "2024-10-17T03:44:22Z",
        "kind": "event",
        "original": "{\"action\":\"anomaly\",\"actor\":{\"type\":\"user\",\"user\":{\"email\":\"[email protected]\",\"id\":\"e65b0f5c\",\"name\":\"roy\"}},\"context\":{\"ip_address\":\"81.2.69.143\",\"location\":{\"domain\":\"Docker\",\"id\":\"e65b11aa\",\"name\":\"Docker\",\"type\":\"workspace\"},\"ua\":\"Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:23.0) Gecko/20131011 Firefox/23.0\"},\"date_create\":1683836273,\"details\":{\"action_timestamp\":1673631621862,\"location\":\"England, GB\",\"previous_ip_address\":\"175.16.199.64\",\"previous_ua\":\"\",\"reason\":[\"asn\",\"ip_address\"]},\"entity\":{\"type\":\"user\",\"user\":{\"email\":\"[email protected]\",\"id\":\"asdfasdf\",\"name\":\"Joe Bob\",\"team\":\"T234SAH2\"}},\"id\":\"2125fb41-c67c-4cf5-a5c4-d90cb58dd5f9\"}",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "related": {
        "ip": [
            "81.2.69.143"
        ],
        "user": [
            "e65b0f5c",
            "[email protected]"
        ]
    },
    "slack": {
        "audit": {
            "actor": {
                "type": "user"
            },
            "context": {
                "domain": "Docker",
                "id": "e65b11aa",
                "name": "Docker",
                "type": "workspace"
            },
            "details": {
                "location": "England, GB",
                "previous_ip_address": "175.16.199.64",
                "reason": [
                    "asn",
                    "ip_address"
                ]
            },
            "entity": {
                "email": "[email protected]",
                "entity_type": "user",
                "id": "asdfasdf",
                "name": "Joe Bob",
                "team": "T234SAH2"
            }
        }
    },
    "source": {
        "address": "81.2.69.143",
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.143"
    },
    "tags": [
        "forwarded",
        "slack-audit",
        "preserve_original_event"
    ],
    "user": {
        "email": "[email protected]",
        "full_name": "roy",
        "id": "e65b0f5c"
    },
    "user_agent": {
        "device": {
            "name": "Other"
        },
        "name": "Firefox",
        "original": "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:23.0) Gecko/20131011 Firefox/23.0",
        "os": {
            "full": "Windows 7",
            "name": "Windows",
            "version": "7"
        },
        "version": "23.0."
    }
}

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.24.0

增强功能 (查看拉取请求)
请勿在主摄取管道中删除 event.original

8.13.0 或更高版本

1.23.0

增强功能 (查看拉取请求)
将“preserve_original_event”标签添加到 event.kind 设置为“pipeline_error”的文档中。

8.13.0 或更高版本

1.22.0

增强功能 (查看拉取请求)
映射 details.url_privateactor 字段。

增强功能 (查看拉取请求)
提高管道效率。

8.13.0 或更高版本

1.21.2

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三花括号 Mustache 模板。

8.13.0 或更高版本

1.21.1

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三花括号 Mustache 模板。

8.13.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义以删除 ecs@mappings 组件模板使其变得冗余的 ECS 字段。

8.13.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
改进对空响应的处理。

8.12.0 或更高版本

1.19.0

增强功能 (查看拉取请求)
映射文件的 md5 哈希详细信息。

8.12.0 或更高版本

1.18.0

增强功能 (查看拉取请求)
将敏感值设置为机密。

8.12.0 或更高版本

1.17.1

增强功能 (查看拉取请求)
更改了所有者

8.10.1 或更高版本

1.17.0

增强功能 (查看拉取请求)
将请求跟踪器日志计数限制为五。

8.10.1 或更高版本

1.16.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.10.1 或更高版本

1.15.1

错误修复 (查看拉取请求)
oldest 参数选择正确的值。

8.10.1 或更高版本

1.15.0

增强功能 (查看拉取请求)
改进 event.original 检查以避免在设置时出错。

8.7.1 或更高版本

1.14.1

错误修复 (查看拉取请求)
在分页响应时保留 oldest 参数。

8.7.1 或更高版本

1.14.0

增强功能 (查看拉取请求)
设置 community 所有者类型。

8.7.1 或更高版本

1.13.0

增强功能 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.7.1 或更高版本

1.12.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.10.0 并对齐 ECS 分类字段。

8.7.1 或更高版本

1.11.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.7.1 或更高版本

1.10.1

错误修复 (查看拉取请求)
修复 API 查询参数 oldest 的处理。

8.7.1 或更高版本

1.10.0

增强 (查看拉取请求)
将 package-spec 更新至 2.9.0。

8.7.1 或更高版本

1.9.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.7.1 或更高版本

1.8.0

增强 (查看拉取请求)
记录持续时间单位。

8.7.1 或更高版本

1.7.1

错误修复 (查看拉取请求)
将 action_timestamp 值解析为自 Unix 纪元以来的微秒数。

8.7.1 或更高版本

1.7.0

增强 (查看拉取请求)
记录有效的持续时间单位。

8.7.1 或更高版本

1.6.0

增强 (查看拉取请求)
确保为管道错误正确设置 error.message。

8.7.1 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

8.7.1 或更高版本

1.4.0

增强 (查看拉取请求)
添加异常详细信息字段。

错误修复 (查看拉取请求)
修复 oldest API 查询参数的格式。

8.7.1 或更高版本

1.3.0

增强 (查看拉取请求)
添加 slack.audit.context.session_id 字段。

8.7.1 或更高版本

1.2.0

增强 (查看拉取请求)
添加一个新标志以启用请求跟踪

8.7.1 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

8.1.0 或更高版本

1.0.0

增强 (查看拉取请求)
正式发布 Slack。

8.1.0 或更高版本

0.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

0.2.1

错误修复 (查看拉取请求)
删除重复字段。

0.2.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

0.1.2

错误修复 (查看拉取请求)
删除重复字段。

0.1.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

0.1.0

增强 (查看拉取请求)
软件包的初始草案

« ServiceNow Snort 集成 »