Ajouter des intégrations de sécurité et de conformité

Ajouter des intégrations de sécurité et de conformité
Dans cet article

Découvrez comment ajouter des intégrations de sécurité et de conformité à votre espace de travail 🔐

Aller directement aux questions fréquentes

Uniquement les propriétaires d’espaces de travail avec un forfait Enterprise peuvent installer une intégration de sécurité et de conformité s’appliquant à la totalité de l’espace de travail. Pour ajouter une intégration de sécurité et de conformité :

  1. Accédez à ParamètresConnexions.

  2. Ouvrez l'onglet Espace de travail.

Conditions préalables à l'ajout d’intégrations de sécurité et de conformité

  • Votre espace de travail doit être au forfait Entreprise.

  • Seul un propriétaire d'espace de travail peut configurer des intégrations de sécurité et de conformité pour un espace de travail Notion.

  • Vous devez disposer des privilèges d'administrateur dans l’outil partenaire.

Intégrations de partenaires DLP

L'intégration à une solution DLP permettra de détecter ’'utilisation de données sensibles dans votre espace de travail et de prendre des mesures automatisées pour remédier rapidement aux violations de données en alertant les propriétaires d'espaces de travail, en supprimant le contenu ou en limitant l’accès aux pages.

Partenaires DLP pris en charge

Nightfall AI

  1. Dans Notion, cliquez sur ParamètresConnexions, puis accédez à l’onglet Espace de travail.

  2. Sélectionnez Connecter sur la vignette Nightfall → Connecter à Nightfall.

  3. Authentifiez-vous avec vos identifiants Nightfall.

  4. Vous trouverez des instructions supplémentaires ici et pouvez en savoir plus sur l'intégration ici.

Déconnexion par partenaire

Nightfall AI

  1. Dans Notion, cliquez sur ParamètresConnexions, puis accédez à l’onglet Espace de travail.

  2. Sélectionnez ••• à côté de l'intégration Nightfall → Déconnecter.

  3. Dans l'application Nightfall, sélectionnez Notion dans Mes intégrations et supprimez l'espace de travail Notion correspondant de la liste Espaces de travail.

Intégrations de partenaires SIEM

L’intégration à une solution SIEM vous permet de centraliser les données de vos journaux d’audit Notion sur une plateforme partagée avec le reste de vos journaux d’application SaaS afin de :

  • Visualiser l’activité des utilisateurs et espaces de travail Notion dans un journal d’audit tiers et mieux utiliser l’analyse et la recherche de corrélations.

  • configurer des alertes en temps réel en cas d’activité inhabituelle des utilisateurs ;

  • Fournir des rapports et des tableaux de bord utiles pour enquêter efficacement sur les incidents.

Remarque : du côté de Notion, nous ne prenons pas en charge la connexion à un partenaire SIEM tant que l’instance du partenaire n’est pas prête à gérer les événements.

Partenaires SIEM pris en charge

Datadog

  1. Dans Notion, cliquez sur ParamètresConnexions, puis accédez à l’onglet Espace de travail.

  2. Dans la vignette Datadog, cliquez sur Connecter → Connecter à Datadog.

    • Remarque : pour le moment, une seule instance de Datadog peut être connectée à un seul espace de travail.

  3. Authentifiez-vous à l’aide de vos identifiants Datadog en sélectionnant votre organisation.

  4. Vous trouverez des instructions supplémentaires ici.

Panther

  • Connectez-vous à votre console Panther.

  • Dans le menu de navigation de gauche de votre console Panther, sélectionnez Configure → Log Sources → Create New.

  • Recherchez Notion, puis sélectionnez la vignette Notion.

  • Dans le panneau coulissant, la liste déroulante Transport Mechanism en haut à droite sera préremplie avec l'option HTTP. Sélectionnez Setup.

  • Suivez les instructions de Panther pour configurer une source HTTP (en anglais).

  • Le Header Name (nom de l’en-tête) associé à votre Secret Key Value (valeur de clé secrète) sera verrouillé avec une valeur de x-notion-signature.

  • Copiez votre Secret Key Value (valeur de clé secrète) dans un lieu sûr. Vous en aurez besoin pour configurer la connexion dans Notion.

  • Vous trouverez des instructions supplémentaires ici.

Splunk

  • Note : selon votre type d’instance Splunk, l’ URL du webhook et le code secret peuvent varier. Actuellement, nous prenons en charge les licences Splunk Cloud ou Enterprise (mais pas On-Prem).

  • Récupérez l'URL du webhook (URL HEC).

  • Connectez-vous à votre instance Splunk.

  • Accédez à l’application Search & Reporting et sélectionnez Settings.

  • Dans la section Data, cliquez sur HTTP Event Collector.

  • Localisez la configuration HEC souhaitée et sélectionnez son nom, ou créez-en une nouvelle.

  • Sur la page de configuration, vous trouverez l'URL du HEC. Généralement, elle commence par https:// suivi du nom d'hôte ou du point d'accès fourni par Splunk et se termine par le jeton HEC. Par exemple : https://<your-splunk-instance>.splunkcloud.com:8088/services/collector/event

  • Récupérez le Secret code (jeton HEC) et répétez les étapes ci-dessus.

  • Sur la page de configuration, vous trouverez le jeton HEC, une longue chaîne alphanumérique sous le champ Token.

  • Vous trouverez des instructions supplémentaires ici.

Sumo Logic

  • Connectez-vous à votre instance Sumo Logic.

  • Sélectionnez Manage Data → Collection.

  • Ouvrez le Setup Wizard et sélectionnez Get started.

  • Lorsque cela vous est demandé, sélectionnez Data Type → Your Custom App → HTTPS Source.

  • Copiez la valeur de HTTP Source URL dans les paramètres Notion.

  • Vous trouverez des instructions supplémentaires ici.

Conseils de configuration par partenaire

Pour paramétrer cette intégration, vous aurez besoin de l’URL ou du jeton du webhook.

  • Datadog : ni l’URL ni le jeton du webhook ne sont nécessaires.

  • Panther: Entrez l’URL source HTTP dans le champ URL du webhook et la clé secrète d'authentification HMAC dans le champ Token.

  • Splunk : saisissez l’URL du collecteur d’événements HTTP (HEC) dans le champ URL du webhook et le jeton du collecteur d’événements HTTP (HEC) dans le champ Jeton.

  • Sumo Logic : saisissez l’URL du collecteur d’événements HTTP (HEC) dans le champ URL du webhook. Un jeton doit être indiqué.

Événements SIEM disponibles

Vous trouverez ci-dessous la liste complète des événements du webhook qui seront disponibles dans votre plateforme SIEM une fois que vous aurez configuré la connexion SIEM Notion. Tous les événements disponibles dans votre plateforme SIEM seront associés à un événement de votre journal d’audit. Cette liste vous aidera à comprendre le détail de chaque événement suivi, et leur lien avec la stratégie de sécurité de votre entreprise. Appuyez-vous sur ces informations pour affiner vos tableaux de bord, alertes et processus de gestion d’incidents.

Types d’événements

Les événements sont répartis en cinq catégories principales :

  • Événements de la page : tous les événements effectués par les utilisateurs sur une page Notion.

  • Événements de l’espace d’équipe : ce que les utilisateurs font sur un ou plusieurs espaces d’équipe.

  • Événements de l’espace de travail : ce que les utilisateurs font sur l’intégralité d’un espace de travail Notion.

  • Événements des utilisateurs : tous les événements relatifs aux comptes des utilisateurs de l’espace de travail.

  • Événements des intégrations :tous les événements relatifs aux intégrations internes associées à l’espace de travail.

Audience de la page

Pour les événements de la page, l’audience de la page décrit le niveau de visibilité de la page cible. Il existe quatre catégories d’audience possibles :

  • Page privée : la page n’est pas partagée avec d’autres utilisateurs.

  • Page interne : la page est partagée uniquement avec les membres de l’espace de travail.

  • Page externe : la page est partagée avec un ou plusieurs invités qui ne sont pas membres de l’espace de travail, et/ou avec un bot d’intégration.

  • Page publique : la page est partagée sur le Web.

Glossaire des événements SIEM

Espace de travail

  • workspace.audit_log_exported : un propriétaire de l’espace de travail en a exporté le journal d’audit.

  • workspace.content_analytics_exported : un propriétaire de l’espace de travail a exporté les données analytiques du contenu de celui-ci.

  • workspace.content_exported : un utilisateur de l’espace de travail a exporté le contenu d’une page ou de la totalité de l’espace de travail.

  • workspace.content_search_exported : un propriétaire de l’espace de travail a exporté les résultats d’une recherche de contenu.

  • workspace.content_search_queried : un propriétaire de l’espace de travail a utilisé la fonctionnalité Recherche de contenu par les administrateurs pour trouver du contenu dans l’espace. Les recherches de contenu permettent de récupérer du contenu issu de pages publiques ou privées.

  • workspace.domain_management.transfer_request_status_updated : une demande de transfert d’un espace de travail créée par un utilisateur dont le domaine est vérifié a été mise à jour. (Consultez cet article pour en savoir plus.)

  • workspace.external_account_connected : une intégration publique/externe a été connectée à l’espace de travail.

  • workspace.external_account_disconnected : une intégration publique/externe a été déconnectée de l’espace de travail ou un propriétaire de l’espace de travail a retiré l’accès à une intégration publique pour l’ensemble des utilisateurs de l’espace de travail.

  • workspace.group.permissions.member_added : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a ajouté un nouveau membre à un groupe. Un groupe est défini comme un ensemble de membres d’un espace de travail.

  • workspace.group.permissions.member_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un membre d’un groupe.

  • workspace.integration_added : une intégration a été ajoutée à l’espace de travail pour la première fois. (Cet événement est déclenché uniquement lors du premier ajout d’une intégration à un espace de travail.)

  • workspace.integration_removed : tous les bots d’une intégration publique spécifique ont été supprimés.

  • workspace.members_exported : une liste des membres de l’espace de travail a été exportée.

  • workspace.membership_request_resolved : le propriétaire de l’espace de travail a résolu (approuvé ou refusé) la demande d’un membre d’ajouter une nouvelle personne à l’espace de travail.

  • workspace.permissions.guest_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un invité de l’espace de travail.

  • workspace.permissions.member_added : un utilisateur a accepté une invitation à rejoindre un nouvel espace de travail et a été ajouté à la liste de ses membres.

  • workspace.permissions.member_invited : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a invité un utilisateur à rejoindre un espace de travail.

  • workspace.permissions.member_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un membre d’un espace de travail.

  • workspace.permissions.member_role_updated : le rôle d’un membre dans un espace de travail a été mis à jour. Cela peut être le rôle de membre, d’administrateur d’utilisateurs ou de propriétaire d’espace de travail.

  • workspace.private_content_transferred : le contenu privé d’un membre déprovisionné d’un espace de travail a été transféré vers un nouvel emplacement. Les propriétaires d’espace de travail au forfait Enterprise peuvent transférer le contenu des utilisateurs déprovisionnés.

  • workspace.saml_sso_idp_metadata_url_added : un propriétaire de l’espace de travail a ajouté l’URL des métadonnées du fournisseur d’identité (IDP).

  • workspace.saml_sso_idp_metadata_url_updated : un propriétaire de l’espace de travail a mis à jour l’URL des métadonnées du fournisseur d’identité (IDP).

  • workspace.saml_sso_idp_metadata_xml_added : un propriétaire de l’espace de travail a ajouté un fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

  • workspace.saml_sso_idp_metadata_xml_removed : un propriétaire de l’espace de travail a supprimé le fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

  • workspace.saml_sso_idp_metadata_xml_updated : un propriétaire de l’espace de travail a mis à jour le fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

Espace d’équipe

  • teamspace.archived : un espace d’équipe a été archivé.

  • teamspace.created : un espace d’équipe a été créé.

  • teamspace.permissions.custom_group_role_added : un propriétaire de l’espace d’équipe a ajouté des autorisations personnalisées à un groupe ajouté à l’espace d’équipe.

  • teamspace.permissions.custom_group_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations personnalisées d’un groupe ajouté à l’espace d’équipe.

  • teamspace.permissions.custom_group_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations personnalisées d’un groupe ajouté à l’espace d’équipe.

  • teamspace.permissions.custom_member_role_added : un propriétaire de l’espace d’équipe a ajouté des autorisations personnalisées d’accès aux pages à un membre de l’espace d’équipe.

  • teamspace.permissions.custom_member_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations personnalisées d’accès aux pages d’un membre de l’espace d’équipe.

  • teamspace.permissions.custom_member_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations personnalisées d’accès aux pages d’un membre de l’espace d’équipe.

  • teamspace.permissions.default_member_role_updated : les autorisations par défaut d’accès aux pages des membres de l’espace d’équipe ont été mises à jour.

  • teamspace.permissions.default_workspace_role_added : un propriétaire de l’espace d’équipe a donné des autorisations d’accès aux pages d’un espace d’équipe fermé aux utilisateurs de l’espace de travail.

  • teamspace.permissions.default_workspace_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations d’accès aux pages d’un espace d’équipe fermé pour les utilisateurs de l’espace de travail.

  • teamspace.permissions.default_workspace_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations par défaut d’accès aux pages de l’espace d’équipe pour tous les utilisateurs de l’espace de travail.

  • teamspace.permissions.group_added : un groupe a été ajouté à un espace d’équipe. Un groupe est défini comme un ensemble d’utilisateurs.

  • teamspace.permissions.group_removed : un propriétaire de l’espace d’équipe a supprimé un groupe de l’espace d’équipe.

  • teamspace.permissions.member_added : un utilisateur a été ajouté à l’espace d'équipe. L’utilisateur a rejoint un espace d’équipe ouvert ou a été ajouté par un autre membre. Le détail de l’événement indiquera « en tant que Propriétaire d’espace d’équipe » si l’utilisateur a été ajouté comme propriétaire de l’espace d’équipe.

  • teamspace.permissions.member_removed : un membre de l’espace d’équipe a été supprimé de l’espace d’équipe. Cet événement est déclenché par le départ d’un membre ou sa suppression par un propriétaire de l’espace d’équipe.

  • teamspace.permissions.member_role_updated : le rôle d’un membre de l'espace d'équipe a été mis à jour. Les rôles peuvent être Membre de l’espace d’équipe ou Propriétaire d’espace d’équipe.

  • teamspace.restored : un espace d’équipe précédemment archivé a été restauré.

  • teamspace.settings.allow_content_export_setting_updated : le paramètre permettant d’autoriser l’exportation du contenu de l’espace d’équipe a été activé ou désactivé.

  • teamspace.settings.allow_guests_setting_updated : un propriétaire de l’espace d’équipe a activé ou désactivé la possibilité d’ajouter des invités (non-membres) à un espace d’équipe spécifique.

  • teamspace.settings.allow_public_page_sharing_setting_updated : un propriétaire de l’espace de travail a activé ou désactivé le paramètre permettant de partager publiquement une page d’un espace d’équipe.

  • teamspace.settings.allow_sidebar_editing_setting_updated : le paramètre qui détermine qui peut modifier la barre latérale a été mis à jour. Ce paramètre indique si tout membre de l’espace d’équipe peut modifier la barre latérale ou si cette possibilité est réservée aux propriétaires de l’espace d’équipe.

  • teamspace.settings.default_setting_updated : les autorisations par défaut de l’espace d’équipe ont été mises à jour.

  • teamspace.settings.description_updated : la description de l’espace d’équipe a été mise à jour.

  • teamspace.settings.icon_updated : l’icône de l’espace d’équipe a été mise à jour.

Page

  • page.button_automation_created : un bouton d’automatisation récurrente a été créé sur une page.

  • page.button_automation_updated : un bouton d’automatisation récurrente a été mis à jour sur une page.

  • page.content_edited : le contenu d’une page a été modifié par un utilisateur. Le contenu d’une page est aussi appelé bloc. Les événements de modification du contenu sont regroupés en un seul événement toutes les minutes tant que des modifications sont détectées.

  • page.created : un utilisateur a créé une page imbriquée dans une autre page.

  • page.deleted : un utilisateur a supprimé une page. Les pages supprimées peuvent être restaurées.

  • page.discussion.comment.created : un utilisateur a publié un commentaire sur une page.

  • page.discussion.comment.deleted : un utilisateur a supprimé un commentaire publié sur une page.

  • page.discussion.comment.updated : un utilisateur a modifié un commentaire publié sur une page. Les événements de modification d’un commentaire sont regroupés dans un seul événement toutes les minutes tant que des modifications sont détectées.

  • page.exported : un utilisateur a exporté une page au format PDF, HTML ou Markdown.

  • page.file_deleted : un utilisateur a supprimé un fichier de la page.

  • page.file_downloaded : un utilisateur a téléchargé ou ouvert un fichier dans une page.

  • page.file_uploaded : un utilisateur a ajouté (importé) un fichier sur une page.

  • page.moved : un utilisateur a déplacé une page (sa page parente a été mise à jour).

  • page.permissions.group_role_added : un groupe de l’espace de travail a obtenu des autorisations d’accès à une page, ce qui lui permet d’y accéder.

  • page.permissions.group_role_removed : un groupe a perdu ses autorisations d’accès à une page ; il ne pourra plus y accéder.

  • page.permissions.group_role_updated : les autorisations d’accès d’un groupe de l’espace de travail à une page ont été modifiées, ce qui a changé le type d’accès du groupe.

  • page.permissions.guest_role_added : un invité a obtenu des autorisations d’accès à une page, ce qui lui permet d’accéder à la page.

  • page.permissions.guest_role_removed :