跳到主要内容

添加安全和合规集成

添加安全性和合规性集成

在本文中

了解如何在工作区添加安全性和合规性集成 🔐

内容

  • 添加安全性和合规性集成的先决条件

  • DLP 合作伙伴集成

  • 支持的 DLP 合作伙伴

  • 按合作伙伴断开连接

  • SIEM 合作伙伴集成

  • 支持的 SIEM 合作伙伴

  • 合作伙伴设置提示

  • 可用的 SIEM 事件

  • 事件类型

  • 页面受众

  • SIEM 事件术语表

只有企业工作区所有者才能安装工作区范围内的安全性和合规性集成。要添加安全性和合规性集成,请

  • 转到 "设置和成员"→"连接"。

  • 打开 "工作区 "选项卡。

添加安全性和合规性集成的先决条件

  • 您的工作区必须是企业计划。

  • 只有工作区所有者才能为 Notion 工作区配置安全性和合规性集成。

  • 您必须拥有合作伙伴工具的管理员权限。

DLP 合作伙伴集成

与 DLP 解决方案集成将有助于检测工作区中敏感数据的使用情况,并通过向工作区所有者发出警报、编辑内容或限制页面访问等方式,自动采取措施快速补救数据泄露。

支持的 DLP 合作伙伴

夜幕人工智能

  • 在 Notion 中,进入 "设置和成员"→"连接"→打开 "工作区 "选项卡。

  • 在 "Nightfall "磁贴上选择 "连接"→"连接到 Nightfall"。

  • 使用 Nightfall 凭据进行身份验证。

  • 您可以在 此处 找到更多说明,并在 此处 了解有关集成的更多信息。

合作伙伴断开连接

夜幕降临人工智能

  • 在 Notion 中,进入 "设置与成员"→"连接"→打开 "工作区 "选项卡。

  • 选择 "Nightfall "集成旁的"----"→"断开连接"。

  • Nightfall 应用程序中,在 "我的集成 "中选择 "Notion",并从 "工作区 "列表中删除相关 Notion 工作区。

SIEM 合作伙伴集成

与 SIEM 解决方案集成后,您的 Notion 审计日志信息将与 SaaS 应用程序的其他日志一起进入共享平台,以便:

  • 在第三方审计日志中提供 Notion 用户和工作区活动的可见性,以便进行更好的分析、搜索和关联。

  • 实时配置异常用户活动的现成警报。

  • 提供支持事件调查的报告和仪表板。

注意: 在 Notion 端,我们不支持连接到任何 SIEM 合作伙伴,直到合作伙伴的实例准备好处理事件。

支持的 SIEM 合作伙伴

数据狗

  • 在 Notion 中,转到 "设置和成员"→"连接"→打开 "工作区 "选项卡。

  • 在 "Datadog "磁贴上选择 "连接"→"连接到 Datadog"。

  • 注意:** 目前,一个 Datadog 实例最多只能连接到一个工作区。

  • 选择您的组织,使用 Datadog 凭据进行身份验证。

  • 您可以在 此处 找到更多说明。

黑豹

  • 登录黑豹控制台。

  • 在 Panther 控制台左侧导航中,选择 "配置"→"日志源"→"创建新"。

  • 搜索 "Notion",然后选择 "概念 "磁贴。

  • 在滑出面板中,右上角的 "传输机制 "下拉菜单将预填 HTTP 选项。选择 "设置"。

  • 按照 [Panther 配置 HTTP 源的说明](https://dev.notion.so/~/changes/Dd8nx2iqd1Pp2OzWJaWk/data-onboarding/data-transports/http)进行操作。

  • 注意:您需要使用 HMAC 身份验证

  • 与您的 "密钥值 "相关联的 "头文件名称 "将被锁定为 "x-notion-signature "值。

  • 请务必安全复制您的 "保密密钥值 "并将其保存在安全位置。您需要用它在 Notion 中配置连接。

  • 您可在 此处 找到更多说明。

Splunk

  • 注:** 根据您的 Splunk 实例类型,"Webhook URL "和 "保密代码 "可能有所不同。目前,我们支持 Splunk 云或企业许可证(不支持 On-Prem)。

  • 检索 Webhook URL (HEC URL)。

  • 登录您的 Splunk 实例。

  • 导航至 "搜索和报告 "应用程序并选择 "设置"。

  • 在 "数据 "部分下,单击 "HTTP 事件收集器"。

  • 找到所需的 HEC 配置并选择其名称,或创建一个新配置。

  • 在配置页面上,您可以找到 HEC URL。通常,它以 https:// 开头,随后是 Splunk 提供的主机名或端点,最后是 HEC 标记。例如:https://<your-splunk-instance>.splunkcloud.com:8088/services/collector/event

  • 读取 "秘码"(HEC 令牌)并重复上述步骤。

  • 在配置页面上,您会在 "令牌 "字段下找到 HEC 令牌,这是一个长字母数字字符串。

  • 您可以在 此处 找到更多说明。

苏莫逻辑

  • 登录您的 Sumo Logic 实例。

  • 选择 Manage DataCollection

  • 导航至 "设置向导 "并选择 "开始"。

  • 显示 "数据类型 "时,选择 "您的自定义应用程序"→"HTTPS 源"。

  • HTTP 源 URL 复制到 Notion 设置中。

  • 您可在 此处 找到更多说明。

合作伙伴的设置提示

要设置大部分集成,您需要手动提供网络钩子 URL 或令牌。

  • Datadog:Webhook URL "和 "令牌 "不是必需的。

  • Panther:在 "Webhook URL "字段中输入 HTTP 源 URL,在 "Token "字段中输入 HMAC 身份验证密钥值。

  • Splunk:在 "Webhook URL "字段中输入 HTTP 事件收集器 (HEC) URL,在 "令牌 "字段中输入 HTTP 事件收集器 (HEC) 令牌。

  • Sumo Logic:在 "Webhook URL "字段中输入 HTTP 事件收集器 (HEC) URL。需要令牌。

可用 SIEM 事件

以下是建立 Notion SIEM 连接后,SIEM 平台中可用的 Webhook 事件的完整列表。SIEM 平台中的所有可用事件都将与审计日志事件相对应。词汇表将帮助您了解正在跟踪的特定事件,以及这些事件与企业安全状况的关系。利用这些信息对仪表板、警报和事件管理流程进行微调。

###事件类型

事件分为五大类:

  • 页面事件**:包括用户在单个 Notion 页面上发生的事件。

  • 团队空间事件**:包括用户在一个或多个团队空间中发生的事件。

  • 工作区事件**:包括用户在整个 Notion 工作区发生的事件。

  • 用户事件**:包括工作区中用户账户的相关事件。

  • 集成事件**:包括与工作区相关的内部集成事件。

页面受众

对于页面事件,页面受众描述了目标页面的可见性级别。捕获的受众将是以下其中之一:

  • 私人**:页面不与其他用户共享。

  • 内部**:该页面只与工作区的其他成员共享。

  • 外部**:页面与工作区以外的一个或多个访客共享,以及/或与集成机器人共享。

  • 公开**:页面共享到网络。

SIEM 事件术语表

工作区

  • workspace.audit/_log_exported:工作区所有者导出了工作区的审计日志。

  • workspace.content_analytics_exported:工作区所有者导出了工作区内容分析。

  • workspace.content_exported:工作区用户导出了某个页面或整个工作区的工作区内容。

  • workspace.content_search_exported:工作区所有者导出了工作区的内容搜索结果。

  • workspace.content_search_queried:工作区所有者使用 admin content search 功能查找工作区内容。内容搜索可以检索公共和私有页面的内容。

  • workspace.domain_management.transfer_request_status_updated:由已验证域的用户创建的工作区的传输请求已更新。(更多信息请参见本文)。

  • workspace.external_account_connected:一个公共/外部集成已连接到工作区。

  • workspace.external_account_disconnected:公共/外部集成与工作区断开连接,或者工作区所有者删除了工作区所有用户对公共集成的访问权限。

  • workspace.group.permissions.member/added:工作区所有者或成员管理员向一个组添加了新成员。组是工作区成员的定义集合。

  • workspace.group.permissions.member_removed:工作区所有者或成员管理员从一个组中删除了一个成员。

  • workspace.integration_added:工作区首次添加了一个集成。(该事件只会在集成首次添加到工作区时发生)。

  • workspace.integration_removed:特定公共集成的所有机器人都被移除。

  • workspace.members_exported:已导出工作区成员列表。

  • workspace.membership_request_resolved:工作空间成员提出的添加新成员的申请已解决,即工作空间所有者批准或拒绝了该申请。

  • workspace.permissions.guest_removed:工作区所有者或会员管理员从工作区删除了一名访客。

  • workspace.permissions.member_added:一个用户接受了加入新工作区的邀请,并已被添加到会员列表中。

  • workspace.permissions.member_invited:用户被工作区所有者或会员管理员邀请加入工作区。

  • workspace.permissions.member_removed:工作区所有者或会员管理员从工作区删除了一名会员。

  • workspace.permissions.member_role_updated:成员在工作区中的角色已更新。角色包括成员、会员管理员、工作区所有者。

  • workspace.private_content_transferred:已取消供应的工作区成员的私人内容已转移到新位置。企业工作区所有者可以 transfer content从已取消授权的用户处转移内容。

  • workspace.saml_sso_idp_metadata_url_added:工作区所有者已添加 IdP(身份提供者)元数据 URL。

  • workspace.saml_sso_idp_metadata_url_updated:工作空间所有者更新了身份供应商元数据URL。

  • workspace.saml_sso_idp_metadata_xml_added:身份供应商元数据 XML(可扩展标记语言)由工作区所有者添加。

  • workspace.saml_sso_idp_metadata_xml_removed:IdP(身份提供者)元数据 XML(可扩展标记语言)已被工作区所有者删除。

  • workspace.saml_sso_idp_metadata_xml_updated:身份提供者(IdP)元数据 XML(可扩展标记语言)已被工作区所有者更新。

团队空间

  • teamspace.archived:团队空间已归档。

  • teamspace.created:创建了一个团队空间。

  • teamspace.permissions.custom\group\role_added:团队空间所有者为添加到团队空间的组添加了自定义权限。

  • teamspace.permissions.custom_group_role_removed:团队空间所有者删除了添加到团队空间的组的自定义权限。

  • teamspace.permissions.custom_group_role_updated:团队空间所有者更新了添加到团队空间的组的自定义权限。

  • teamspace.permissions.custom_member_role_added:团队空间所有者为特定团队空间成员添加了自定义页面权限。

  • teamspace.permissions.custom_member_role_removed:团队空间所有者删除了特定团队空间成员的自定义页面权限。

  • teamspace.permissions.custom_member_role_updated:团队空间所有者更新了特定团队空间成员的自定义页面权限。

  • teamspace.permissions.default_member_role_updated:应用于团队空间成员的默认团队空间页面权限已更新。

  • teamspace.permissions.default_workspace_role_added:团队空间所有者给封闭团队空间中的工作区用户授予了页面权限。

  • teamspace.permissions.default_workspace_role_removed:团队空间所有者在一个关闭的团队空间中删除了工作区用户的页面权限。

  • teamspace.permissions.default_workspace_role_updated:团队空间所有者更新了团队空间中所有工作区用户的默认页面权限。

  • teamspace.permissions.group_added:团队空间中添加了一个组。组是定义的用户集合。

  • teamspace.permissions.group_removed:团队空间所有者从团队空间中删除了一个组。

  • teamspace.permissions.member_added:一个用户被添加到了团队空间。该用户要么加入了一个开放的团队空间,要么是由其他成员添加的。如果用户是以团队空间所有者权限添加的,事件有效载荷将指定 "作为团队空间所有者"。

  • teamspace.permissions.member_removed:团队空间成员被从团队空间中移除。成员离开或被团队空间所有者移除都会触发移除。

  • teamspace.permissions.member_role_updated:团队空间成员的角色已更新。角色包括团队空间成员和团队空间所有者。

  • teamspace.restored:恢复了以前存档的团队空间。

  • teamspace.settings.allow\content_export_setting_updated:允许导出团队空间内容的设置已启用或禁用。

  • teamspace.settings.allow_guests_setting_updated:团队空间所有者启用或禁用了向特定团队空间添加访客(非会员)的功能。

  • teamspace.settings.allow\public\page\sharing_setting_updated:工作区所有者启用或禁用了允许公开共享团队空间页面的设置。

  • teamspace.settings.allow/sidebar/editing/setting/_updated**:决定谁可以编辑侧边栏的设置已更新。该设置将显示是否任何团队空间成员都可以编辑侧边栏,或者是否只有团队空间所有者可以编辑。

  • teamspace.settings.default_setting_updated:团队空间的默认权限设置已更新。

  • teamspace.settings.description_updated:团队空间描述已更新。

  • teamspace.settings.icon_updated:团队空间图标已更新。

页面

  • page.button_automation_created:在页面上创建了一个重复的 button 自动化。

  • page.button_automation_updated:在页面上更新了一个重复的 button 自动操作。

  • page.content_edited:用户编辑了现有页面的内容。页面内容也称为 block。在编辑过程中,内容编辑事件每分钟合并为一个事件。

  • page.created:用户创建了一个嵌套在父页面下的新页面。

  • page.deleted:用户删除了一个页面。被删除的页面将来可能会被恢复。

  • page.discussion.comment.created:用户创建了页面上的评论。

  • page.discussion.comment.deleted:用户删除了页面上的一条评论。

  • page.discussion.comment.updated:用户编辑了页面上的一条评论。在编辑过程中,评论编辑事件每分钟合并为一个事件。

  • page.exported:用户将页面导出为 PDF、HTML 或 Markdown 文件。

  • page.file_deleted:用户从页面中删除了一个文件。

  • page.file_downloaded:用户下载或打开了页面中的文件。

  • page.file_uploaded:用户向页面上传了一个文件。

  • page.moved:用户重新定位了一个页面,即更新了该页面的父页面。

  • page.permissions.group_role_added:添加了一个工作区组的页面权限,允许他们访问该页面。

  • page.permissions.group_role_removed:删除了某个组的页面权限,这将限制他们访问该页面。

  • page.permissions.group_role_updated:工作区组的页面权限已更新,改变了其访问类型。

  • page.permissions.guest_role_added:添加了访客的页面权限,允许他们访问该页面。

  • page.permissions.guest_role_removed:删除了访客的页面权限,这将限制他们访问该页面。

  • page.permissions.guest_role_updated:客人的页面权限已更新,改变了他们的访问类型。

  • page.permissions.integration_role_added:用户向页面添加了一个 集成。任何类型的集成--内部或公共/外部--都会触发此事件。

  • page.permissions.integration_role_removed:用户删除了集成(或 "连接")的页面权限,这将限制集成访问该页面。任何类型的集成--内部或公共/外部--都会触发此事件。

  • page.permissions.integration/role/_updated:用户更新了集成(或 "连接")的页面权限。任何类型的集成(内部或公共/外部)都会触发此事件。

  • page.permissions.member_role_added:成员的页面权限已添加,这将允许他们访问该页面。

  • page.permissions.member_role_removed:删除了会员的页面权限,这将限制他们访问该页面。

  • page.permissions.member_role_updated:成员的页面权限已更新,改变了其访问类型。

用户和账户

  • user.deleted:一个用户账户被删除。该事件将发送到与该账户相关联的任何工作区。

  • user.login:用户登录账户。

  • user.logout:退出账户的用户。

  • user.settings.analytics_tracking_setting_updated:用户更改了跟踪其工作区或页面活动是否被记录在工作区分析中的设置。

  • user.settings.email_updated:用户更新了账户设置中的电子邮件。

  • user.settings.login_method.mfa_backup_code_updated:用户更新了 MFA(多因素身份验证)备份代码设置。

  • user.settings.login_method.mfa_sms_updated:用户更新了其 MFA(多因素身份验证)SMS(短信服务)设置。

  • user.settings.login_method.mfa_totp_updated:用户更新了其 MFA(多因素身份验证)TOTP(基于时间的一次性密码)设置。

  • user.settings.login_method.password_added:用户为其账户添加了登录密码。

  • user.settings.login_method.password_removed:用户从其账户中删除了一个密码。

  • user.settings.login_method.password_updated:用户更新了密码。

  • user.settings.preferred_name_updated:用户更新了账户设置中的首选名称。

  • user.settings.profile_photo_updated:用户在账户设置中更新了个人照片。

  • user.settings.support_access_granted:Notion 的支持团队被授予临时访问用户账户的权限。

  • user.settings.support_access_revoked:用户账户的支持访问权限已被撤销。

整合

  • integration.created:开发人员创建了一个内部集成,并将其与工作区关联。

  • integration.deleted:与工作区关联的内部集成已删除。删除可以在 "我的集成 "控制面板中进行,管理员也可以删除所有用户对内部集成的访问权限。

  • integration.secret_reset:内部集成的身份验证秘密已重置(或 "刷新")。

常见问题

我刚更新了一个页面,但没有收到 Slack 通知。

为了防止这些通知过于嘈杂,我们设置了五分钟的延迟时间!如果您仍然没有收到通知,请告诉我们!我们会提供帮助。

我正在尝试启用 Slack 应用目录中的集成,但它只会把我带到 Notion 的主页。

很抱歉造成您的困惑 🙈 您无法从 Slack 启用集成。您需要根据本页面的说明在 Notion 内部启用。

启用 Slack 集成后,会授予哪些权限?

Notion与Slack的集成按页面进行操作。在Notion工作区为特定页面启用Slack集成时,您将授予Notion向您选择的Slack频道发布更新的权限。

我能否为链接预览集成添加多个登录名?

可以!您可以通过 "设置与成员"→"我连接的应用程序 "进行添加。对于所需的集成,选择 "连接另一个账户"。

注意*:某些应用程序不支持在浏览器中使用多账户登录(例如 GitHub),因此您可能需要注销当前在浏览器中登录的账户,然后系统会提示您使用其他账户登录。

我们将确定使用哪个账户来预览给定的资源,如果都不成功,则会显示错误。

我在链接预览中收到 "无法加载预览 "的错误提示。

请按以下步骤尝试解决。

1.确认您已使用资源的正确帐户进行身份验证。

2.确认您的组织没有访问限制。

3.通过我连接的应用程序设置在 Notion 中删除集成。您可能还需要在相应平台上撤销集成:GitHub,Jira, Slack, Asana, Trello.

4.尝试再次展开。

5.最后,如果还是失败,请联系技术支持!遗憾的是,我们无法帮助解决与拒绝访问未找到内容相关的错误:

  • 您尝试使用的集成

  • 错误信息和代码

  • 您尝试预览的 URL(如有可能)

我在链接预览中收到 "拒绝访问 "或 "未找到内容 "的错误信息。

有两种可能的原因:

1.您可能没有使用有访问权限的账户进行身份验证。您可以通过 "设置和成员"→"我连接的应用程序 "或错误下拉菜单连接多个账户。

2.您的组织可能通过第三方集成或 IP 地址对内容的访问受限。请与您的工作区或组织管理员确认,并要求批准 Notion 的集成。以下是具体集成的说明:GitHub, Jira,Slack, Asana, Trello.

在我的工作区中,连接可以访问哪些内容?

  • SIEM 集成将被授权接收所有工作区活动的事件日志。

  • DLP 集成将获得授权:

  • 接收所有工作区活动的事件日志。

  • 在***页面中查看内容、查看注释、编辑内容、编辑注释和创建注释。

  • 查看所有工作区成员和访客的基本信息,包括姓名、个人资料图片和电子邮件地址。

即使连接后,我也看不到 SIEM 事件。我该怎么办?

  • 有时,事件可能会以不同的标签出现,或者出现在与您预期不同的位置。我们建议触发一个新的页面事件,并在 SIEM 查询语言中查询 type:"page.created" 或 `email:由您触发的所有事件的"[您的电子邮件地址]"。

  • 创建新的 Panther 实例后,可能需要 10 分钟才能完全准备好接收事件。

如果 SIEM 提供商发生故障,我的 SIEM 事件会怎样?

如果发生故障,您应联系 SIEM 提供商了解更多信息。

为什么我不能连接同一个 SIEM 提供商的多个实例?

SIEM 提供商目前只能连接到一个 Notion 工作区。

在设置 SIEM 连接时遇到困难?以下是一些常见问题。

  • 网络钩子 URL 不正确

  • HMAC 或 HEC 标记不正确

  • 在 SIEM 提供商中没有管理员权限

  • SIEM 提供商是内部部署实例