{"id":52724,"date":"2025-05-20T05:00:00","date_gmt":"2025-05-20T13:00:00","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/sichern-sie-ihre-slack-umgebung-mit-sumo-logic-cloud-siem"},"modified":"2026-02-25T04:27:46","modified_gmt":"2026-02-25T12:27:46","slug":"monitor-slack-audit-logs-cloud-siem","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/monitor-slack-audit-logs-cloud-siem","title":{"rendered":"Sichern Sie Ihre Slack-Umgebung mit Sumo Logic Cloud SIEM"},"content":{"rendered":"\n
\n
\n
\n
\n
\"Sichern<\/figure>\n<\/div>\n\n\n

<\/p>\n\n\n\n

Slack ist aus vielen Unternehmen nicht mehr wegzudenken und unterst\u00fctzt alles \u2013 von der internen und externen Kommunikation bis hin zu Projekt-Workflows. Doch mit der zunehmenden Nutzung steigt auch das Risiko. Hacker nehmen Slack immer h\u00e4ufiger ins Visier, da die Plattform oft geistiges Eigentum, Zugangsdaten und wertvolle Informationen f\u00fcr die Aussp\u00e4hung enth\u00e4lt. <\/p>\n\n\n\n

Sumo Logic Cloud SIEM sch\u00fctzt jetzt Ihre Slack-Nutzung<\/a>\u00a0vor Bedrohungen durch Insider und Dritte, indem es\u00a0Audit-Protokolle<\/a>\u00a0auf verd\u00e4chtige Aktivit\u00e4ten \u00fcberwacht, um Ihr Unternehmen und seine Daten zu sch\u00fctzen.<\/p>\n\n\n\n

Warum die Audit-Protokolle von Slack der Schl\u00fcssel f\u00fcr mehr Sicherheit sind<\/h2>\n\n\n\n

Da Slack ein so attraktives Ziel ist, sollte Ihre Slack-Umgebung kontinuierlich auf b\u00f6sartiges Verhalten \u00fcberwacht werden.<\/p>\n\n\n\n

Eine M\u00f6glichkeit, mit der \u00dcberwachung zu beginnen, sind Protokolle.\u00a0Slack bietet mehrere verschiedene Arten von Protokollen<\/a>, von Audit-Protokollen bis hin zu Zugriffsprotokollen und mehr. In diesem Blog konzentrieren wir uns auf\u00a0Audit-Protokolle<\/a>, die Slack erstellt, \u201eum eine kontinuierliche Compliance zu gew\u00e4hrleisten, sich vor unangemessenen Systemzugriffen zu sch\u00fctzen und Ihnen zu erm\u00f6glichen, verd\u00e4chtiges Verhalten innerhalb Ihres Unternehmens zu \u00fcberpr\u00fcfen.\u201c<\/p>\n\n\n\n

Diese Audit-Protokolle und die M\u00f6glichkeit, \u00fcber eine API auf sie zuzugreifen, sind f\u00fcr eine\u00a0SIEM-L\u00f6sung wie Sumo Logic<\/a>\u00a0zur Sicherheits\u00fcberwachung und Integration essentiell.\u00a0<\/p>\n\n\n\n

Verwenden Sie Audit-Protokolle von Slack, um Bedrohungen zu erkennen<\/h3>\n\n\n\n

Eine wertvolle Funktion der\u00a0Audit-Protokolle von Slack<\/a>\u00a0sind Anomalie-Ereignisse, die automatisch erzeugt werden, wenn Slack anomale Aktionen oder Verhaltensweisen entdeckt. Nicht alle Anomalie-Ereignisse erfordern eine Aktion, und verschiedene Anomalie-Ereignisse haben unterschiedliche Vertrauensstufen. Wenn ein Anomalie-Ereignis ausgel\u00f6st wird, m\u00fcssen Sie es wahrscheinlich weiter untersuchen, um es zu qualifizieren und zu entscheiden, ob Sie darauf reagieren m\u00fcssen.<\/p>\n\n\n\n

Auch wenn Slack bei anomalen Ereignissen keine Konfidenzniveaus angibt, hat das Unternehmen deutlich gemacht, dass manche Ereignisse als hochgradig zuverl\u00e4ssige Indikatoren f\u00fcr eine Kompromittierung gelten.\u00a0<\/p>\n\n\n\n

Die\u00a0Anomalie-Ereignis-Reaktionsfunktion<\/a>\u00a0liefert zudem einen Hinweis darauf, welche Anomalie-Ereignisse von Slack als hochgradig vertrauensw\u00fcrdig eingestuft werden. Die Funktion beendet automatisch Benutzersitzungen, wenn ihnen bestimmte Anomalie-Ereignisse zugeordnet werden. Die beiden standardm\u00e4\u00dfig ausgew\u00e4hlten Ereignisse sind der Zugriff auf Slack \u00fcber einen Tor-Exit-Node sowie Data Scraping. Dies deutet darauf hin, dass das Slack-Engineering diese beiden Erkennungen als High-Confidence-Signale betrachtet.<\/p>\n\n\n\n

Slack-Anomalie-Ereignisse sind f\u00fcr Sicherheitsteams besonders n\u00fctzlich, da sie in einem SIEM aufgenommen und analysiert werden k\u00f6nnen. Sumo Logic Cloud SIEM unterst\u00fctzt anomale Slack-Ereignisse vollst\u00e4ndig. Diese Ereignisse werden\u00a0als Bedrohungswarnungen normalisiert<\/a>\u00a0und l\u00f6sen eine Regel namens \u201eNormalized Security Signal\u201c (MATCH-S00402) aus. Das bedeutet, dass anomale Ereignisse jetzt zum\u00a0Aktivit\u00e4tsscore<\/a> einer Entit\u00e4t beitragen k\u00f6nnen und Analysten helfen, Benutzer oder Systeme, die verd\u00e4chtiges Verhalten zeigen, schnell zu identifizieren.<\/p>\n\n\n\n

\"blog<\/p>\n\n\n\n

Anomalie-Ereignisse bei Slack werden als Sumo Cloud-SIEM-Signale weitergeleitet<\/em><\/p>\n\n\n\n

<\/p>\n\n\n\n

\"blog<\/p>\n\n\n\n

Standardeinstellungen f\u00fcr die Reaktion auf Slack-Anomalie-Ereignisse<\/em><\/p>\n\n\n\n

Wie man Slack-Audit-Protokolle mit Sumo Logic erfasst und einliest<\/h2>\n\n\n\n

Das Erfassen von Slack-Audit-Protokollen mit Sumo Logic ist eine unkomplizierte Aufgabe. Diese\u00a0ausf\u00fchrliche Anleitung<\/a>\u00a0zeigt, wie man Protokolle von Slack erfasst, aber hier geben wir Ihnen einen kurzen \u00dcberblick \u00fcber die Schritte:<\/p>\n\n\n\n

    \n
  1. Best\u00e4tigen Sie, dass Sie ein Slack Enterprise Grid-Konto haben. Ohne ein Enterprise Grid-Konto k\u00f6nnen Sie keine Audit-Protokolle von Slack erfassen.<\/li>\n\n\n\n
  2. Erstellen Sie eine Slack-Anwendung, die die Berechtigung\u00a0auditlogs:read<\/code>\u00a0hat.<\/li>\n\n\n\n
  3. Installieren Sie die Anwendung auf dem Enterprise Grid.<\/li>\n\n\n\n
  4. Installieren und konfigurieren Sie den Sumo Logic Slack Cloud-to-Cloud Connector.<\/li>\n\n\n\n
  5. WICHTIGER HINWEIS: Stellen Sie sicher, dass die Slack-Protokollquelle so konfiguriert ist, dass sie Protokolle an das SIEM weiterleitet, indem Sie das Kontrollk\u00e4stchen \u201eForward to SIEM\u201c aktivieren.\u00a0\u00a0<\/li>\n<\/ol>\n\n\n\n

    \"blog<\/p>\n\n\n\n

    Wie Sicherheitsanalysten Slack-Protokolle f\u00fcr Threat Detetion, Investigation and Response nutzen k\u00f6nnen\u00a0<\/h2>\n\n\n\n

    Slack bietet seinen Kunden einen wertvollen Service, indem es anomales Verhalten erkennt und Anomalie-Ereignisse generiert, da es in einer einzigartigen Position ist, um zu verstehen, welche Arten von Verhalten auf seiner Plattform als anomal betrachtet werden sollten.<\/p>\n\n\n\n

    Slack Engineering gibt jedoch nicht \u00f6ffentlich bekannt, welche Erkennungskriterien sie zur Generierung von Anomalie-Ereignissen verwenden. Der Grund liegt auf der Hand \u2013 wenn die Kriterien \u00f6ffentlich bekannt w\u00e4ren, h\u00e4tten es Angreifer leichter, Techniken zur Umgehung der Verteidigung zu entwickeln.<\/p>\n\n\n\n

    F\u00fcr Sicherheitsanalysten kann dies jedoch die Arbeit erschweren. Ohne genau zu wissen, warum ein Alarm ausgel\u00f6st wurde, verbringen Sie wahrscheinlich mehr Zeit damit, Abfragen zu formulieren, um genau die Audit-Protokolle abzurufen, die das Anomalie-Ereignis verursacht haben. Auch die Feinabstimmung der Analysen und die Bewertung auf falsch-negative Ergebnisse ist aus \u00e4hnlichen Gr\u00fcnden schwieriger und erfordert unter Umst\u00e4nden Spekulationen.<\/p>\n\n\n\n

    Einige Gr\u00fcnde f\u00fcr Anomalien bieten mehr Klarheit \u00fcber den Ausl\u00f6ser des Ereignisses als andere. Andere, wie z. B. \u201eexcessive_downloads\u201c, sind undurchsichtiger und erfordern, dass Sie nach Download-Aktivit\u00e4ten vor dem Ereignis suchen, entweder \u00fcberpr\u00fcfen, was heruntergeladen wurde, oder beurteilen, ob das Download-Volumen im Vergleich zu fr\u00fcheren Zeitr\u00e4umen \u201enormal\u201c f\u00fcr den Benutzer ist.\u00a0<\/p>\n\n\n\n

    Nun wollen wir uns ansehen, wie Sie einige dieser Anomalien in der Praxis untersuchen k\u00f6nnen.\u00a0<\/p>\n\n\n\n

    Slack Sitzungs-IDs verstehen<\/h3>\n\n\n\n

    Jedes Mal, wenn sich ein Benutzer bei Slack anmeldet, wird eine Sitzungs-ID generiert. Diese Sitzung bleibt als Cookie auf dem Ger\u00e4t gespeichert. Wir gehen davon aus, dass jede Sitzungs-ID genau einem Ger\u00e4t zugeordnet sein sollte. Wenn ein Cookie gestohlen und auf einem anderen Ger\u00e4t verwendet wird, lassen sich wahrscheinlich Abweichungen in Artefakten feststellen, wie zum Beispiel:<\/p>\n\n\n\n