Ajouter des intégrations de sécurité et de conformité

Uniquement les propriétaires d’espaces de travail avec un forfait Enterprise peuvent installer une intégration de sécurité et de conformité s’appliquant à la totalité de l’espace de travail. Pour ajouter une intégration de sécurité et de conformité :

• Cliquez sur Paramètres et membres → Connexions.

• Ouvrez l'onglet Espace de travail.

• Votre espace de travail doit être au forfait Entreprise.

• Seul un propriétaire d'espace de travail peut configurer des intégrations de sécurité et de conformité pour un espace de travail Notion.

• Vous devez disposer des privilèges d'administrateur dans l’outil partenaire.

L'intégration à une solution DLP permettra de détecter ’'utilisation de données sensibles dans votre espace de travail et de prendre des mesures automatisées pour remédier rapidement aux violations de données en alertant les propriétaires d'espaces de travail, en supprimant le contenu ou en limitant l’accès aux pages.

Nightfall AI

• Dans Notion, cliquez en haut à gauche sur Paramètres et membres → Connexions, puis cliquez sur l'onglet Espace de travail.

• Sélectionnez Connecter sur la vignette Nightfall → Connecter à Nightfall.

• Authentifiez-vous avec vos identifiants Nightfall.

• Vous trouverez des instructions supplémentaires ici et pouvez en savoir plus sur l'intégration ici.

Nightfall AI

• Dans Notion, cliquez en haut à gauche sur Paramètres et membres → Connexions, puis cliquez sur l'onglet Espace de travail.

• Sélectionnez ••• à côté de l'intégration Nightfall → Déconnecter.

• Dans l'application Nightfall, sélectionnez Notion dans Mes intégrations et supprimez l'espace de travail Notion correspondant de la liste Espaces de travail.

L’intégration à une solution SIEM vous permet de centraliser les données de vos journaux d’audit Notion sur une plateforme partagée avec le reste de vos journaux d’application SaaS afin de :

• visualiser l’activité des utilisateurs et espaces de travail Notion dans un journal d’audit spécialisé et mieux adapté à l’analyse fine, la recherche et l’analyse de corrélations ;

• configurer des alertes en temps réel en cas d’activité inhabituelle des utilisateurs ;

• fournir des rapports et des tableaux de bord utiles pour enquêter efficacement sur les incidents.

Datadog

• Dans Notion, cliquez en haut à gauche sur Paramètres et membres → Connexions, puis cliquez sur l'onglet Espace de travail.

• Dans la vignette Datadog, cliquez sur Connecter → Connecter à Datadog.

  • Remarque : pour le moment, une seule instance de Datadog peut être connectée à un seul espace de travail.

• Authentifiez-vous à l’aide de vos identifiants Datadog en sélectionnant votre organisation.

• Vous trouverez des instructions supplémentaires ici.

Panther

• Connectez-vous à votre console Panther.

• Dans le menu de navigation de gauche de votre console Panther, sélectionnez Configure → Log Sources → Create New.

• Recherchez Notion, puis sélectionnez la vignette Notion.

• Dans le panneau coulissant, la liste déroulante Transport Mechanism en haut à droite sera préremplie avec l'option HTTP. Sélectionnez Setup.

• Suivez les instructions de Panther pour configurer une source HTTP (en anglais).

  • Remarque : vous devrez utiliser l'authentification HMAC.

• Le Header Name (nom de l’en-tête) associé à votre Secret Key Value (valeur de clé secrète) sera verrouillé avec une valeur de x-notion-signature.

• Copiez votre Secret Key Value (valeur de clé secrète) dans un lieu sûr. Vous en aurez besoin pour configurer la connexion dans Notion.

• Vous trouverez des instructions supplémentaires ici.

Splunk

• Remarque : selon votre type d'instance Splunk, l'URL du webhook et le code secret peuvent varier. Actuellement, nous prenons en charge les licences Splunk Cloud ou Enterprise (mais pas On-Prem).

• Récupérez l'URL du webhook (URL HEC).

• Connectez-vous à votre instance Splunk.

• Accédez à l’application Search & Reporting et sélectionnez Settings.

• Dans la section Data, cliquez sur HTTP Event Collector.

• Localisez la configuration HEC souhaitée et sélectionnez son nom, ou créez-en une nouvelle.

• Sur la page de configuration, vous trouverez l'URL du HEC. Généralement, elle commence par https:// suivi du nom d'hôte ou du point d'accès fourni par Splunk et se termine par le jeton HEC. Par exemple : https://<votre-instance-splunk>.splunkcloud.com:8088/services/collector/event

• Récupérez le Secret code (jeton HEC) et répétez les étapes ci-dessus.

• Sur la page de configuration, vous trouverez le jeton HEC, une longue chaîne alphanumérique sous le champ Token.

• Vous trouverez des instructions supplémentaires ici.

Sumo Logic

• Connectez-vous à votre instance Sumo Logic.

• Sélectionnez Manage Data → Collection.

• Ouvrez le Setup Wizard et sélectionnez Get started.

• Lorsque cela vous est demandé, sélectionnez Data Type → Your Custom App → HTTPS Source.

• Copiez la valeur de HTTP Source URL dans les paramètres Notion.

• Vous trouverez des instructions supplémentaires ici.

Pour paramétrer cette intégration, vous aurez besoin de l’URL ou du jeton du webhook.

• Datadog : ni l’URL ni le jeton du webhook ne sont nécessaires.

• Panther: Entrez l’URL source HTTP dans le champ URL du webhook et la clé secrète d'authentification HMAC dans le champ Token.

• Splunk : saisissez l’URL du collecteur d’événements HTTP (HEC) dans le champ URL du webhook et le jeton du collecteur d’événements HTTP (HEC) dans le champ Jeton.

• Sumo Logic : saisissez l’URL du collecteur d’événements HTTP (HEC) dans le champ URL du webhook. Un jeton doit être indiqué.

Vous trouverez ci-dessous la liste complète des événements du webhook qui seront disponibles dans votre plateforme SIEM une fois que vous aurez configuré la connexion SIEM Notion. Tous les événements disponibles dans votre plateforme SIEM seront associés à un événement de votre journal d’audit. Cette liste vous aidera à comprendre le détail de chaque événement suivi, et leur lien avec la stratégie de sécurité de votre entreprise. Appuyez-vous sur ces informations pour affiner vos tableaux de bord, alertes et processus de gestion d’incidents.

Les événements sont répartis en cinq catégories principales :

• Événements de la page : tous les événements effectués par les utilisateurs sur une page Notion.

• Événements de l’espace d’équipe : ce que les utilisateurs font sur un ou plusieurs espaces d’équipe.

• Événements de l’espace de travail : ce que les utilisateurs font sur l’intégralité d’un espace de travail Notion.

• Événements des utilisateurs : tous les événements relatifs aux comptes des utilisateurs de l’espace de travail.

• Événements des intégrations : tous les événements relatifs aux intégrations internes associées à l’espace de travail.

Pour les événements de la page, l’audience de la page décrit le niveau de visibilité de la page cible. Il existe quatre catégories d’audience possibles :

• Page privée : la page n’est pas partagée avec d’autres utilisateurs.

• Page interne : la page est partagée uniquement avec les membres de l’espace de travail.

• Page externe : la page est partagée avec un ou plusieurs invités qui ne sont pas membres de l’espace de travail, et/ou avec un bot d’intégration.

• Page publique : la page est partagée sur le Web.

Espace de travail

• workspace.audit_log_exported : un propriétaire de l’espace de travail en a exporté le journal d’audit.

• workspace.content_analytics_exported : un propriétaire de l’espace de travail a exporté les données analytiques du contenu de celui-ci.

• workspace.content_exported : un utilisateur de l’espace de travail a exporté le contenu d’une page ou de la totalité de l’espace de travail.

• workspace.content_search_exported : un propriétaire de l’espace de travail a exporté les résultats d’une recherche de contenu.

• workspace.content_search_queried : un propriétaire de l’espace de travail a utilisé la fonction Recherche de contenu par les administrateurs pour trouver du contenu dans l’espace de travail. Les recherches de contenu permettent de récupérer du contenu issu de pages publiques ou privées.

• workspace.domain_management.transfer_request_status_updated : une demande de transfert d’un espace de travail créée par un utilisateur dont le domaine est vérifié a été mise à jour. (Consultez cet article pour en savoir plus.)

• workspace.external_account_connected : une intégration publique/externe a été connectée à l’espace de travail.

• workspace.external_account_disconnected : une intégration publique/externe a été déconnectée de l’espace de travail ou un propriétaire de l’espace de travail a retiré l’accès à une intégration publique pour l’ensemble des utilisateurs de l’espace de travail.

• workspace.group.permissions.member_added : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a ajouté un nouveau membre à un groupe. Un groupe est défini comme un ensemble de membres d’un espace de travail.

• workspace.group.permissions.member_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un membre d’un groupe.

• workspace.integration_added : une intégration a été ajoutée à l’espace de travail pour la première fois. (Cet événement est déclenché uniquement lors du premier ajout d’une intégration à un espace de travail.)

• workspace.integration_removed : tous les bots d’une intégration publique spécifique ont été supprimés.

• workspace.members_exported : une liste des membres de l’espace de travail a été exportée.

• workspace.membership_request_resolved : le propriétaire de l’espace de travail a résolu (approuvé ou refusé) la demande d’un membre d’ajouter une nouvelle personne à l’espace de travail.

• workspace.permissions.guest_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un invité de l’espace de travail.

• workspace.permissions.member_added : un utilisateur a accepté une invitation à rejoindre un nouvel espace de travail et a été ajouté à la liste de ses membres.

• workspace.permissions.member_invited : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a invité un utilisateur à rejoindre un espace de travail.

• workspace.permissions.member_removed : un propriétaire de l’espace de travail ou un administrateur d’utilisateurs a supprimé un membre d’un espace de travail.

• workspace.permissions.member_role_updated : le rôle d’un membre dans un espace de travail a été mis à jour. Ce rôle peut être : Membre, Administrateur d’utilisateurs ou Propriétaire d’espace de travail.

• workspace.private_content_transferred : le contenu privé d’un membre déprovisionné d’un espace de travail a été transféré vers un nouvel emplacement. Les propriétaires d’espace de travail au forfait Enterprise peuvent transférer le contenu des utilisateurs déprovisionnés.

• workspace.saml_sso_idp_metadata_url_added : un propriétaire de l’espace de travail a ajouté l’URL des métadonnées du fournisseur d’identité (IDP).

• workspace.saml_sso_idp_metadata_url_updated : un propriétaire de l’espace de travail a mis à jour l’URL des métadonnées du fournisseur d’identité (IDP).

• workspace.saml_sso_idp_metadata_xml_added : un propriétaire de l’espace de travail a ajouté un fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

• workspace.saml_sso_idp_metadata_xml_removed : un propriétaire de l’espace de travail a supprimé le fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

• workspace.saml_sso_idp_metadata_xml_updated : un propriétaire de l’espace de travail a mis à jour le fichier XML (Extensible Markup Language) de métadonnées du fournisseur d’identité (IDP).

Espace d’équipe

• teamspace.archived : un espace d’équipe a été archivé.

• teamspace.created : un espace d’équipe a été créé.

• teamspace.permissions.custom_group_role_added : un propriétaire de l’espace d’équipe a ajouté des autorisations personnalisées à un groupe ajouté à l’espace d’équipe.

• teamspace.permissions.custom_group_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations personnalisées d’un groupe ajouté à l’espace d’équipe.

• teamspace.permissions.custom_group_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations personnalisées d’un groupe ajouté à l’espace d’équipe.

• teamspace.permissions.custom_member_role_added : un propriétaire de l’espace d’équipe a ajouté des autorisations personnalisées d’accès aux pages à un membre de l’espace d’équipe.

• teamspace.permissions.custom_member_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations personnalisées d’accès aux pages d’un membre de l’espace d’équipe.

• teamspace.permissions.custom_member_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations personnalisées d’accès aux pages d’un membre de l’espace d’équipe.

• teamspace.permissions.default_member_role_updated : les autorisations par défaut d’accès aux pages des membres de l’espace d’équipe ont été mises à jour.

• teamspace.permissions.default_workspace_role_added : un propriétaire de l’espace d’équipe a donné des autorisations d’accès aux pages d’un espace d’équipe fermé aux utilisateurs de l’espace de travail.

• teamspace.permissions.default_workspace_role_removed : un propriétaire de l’espace d’équipe a supprimé les autorisations d’accès aux pages d’un espace d’équipe fermé pour les utilisateurs de l’espace de travail.

• teamspace.permissions.default_workspace_role_updated : un propriétaire de l’espace d’équipe a mis à jour les autorisations par défaut d’accès aux pages de l’espace d’équipe pour tous les utilisateurs de l’espace de travail.

• teamspace.permissions.group_added : un groupe a été ajouté à un espace d’équipe. Un groupe est défini comme un ensemble d’utilisateurs.

• teamspace.permissions.group_removed : un propriétaire de l’espace d’équipe a supprimé un groupe de l’espace d’équipe.

• teamspace.permissions.member_added : un utilisateur a été ajouté à l’espace d’équipe. L’utilisateur a rejoint un espace d’équipe ouvert ou a été ajouté par un autre membre. Le détail de l’événement indiquera « en tant que Propriétaire d’espace d’équipe » si l’utilisateur a été ajouté comme propriétaire de l’espace d’équipe.

• teamspace.permissions.member_removed : un membre de l’espace d’équipe a été supprimé de l’espace d’équipe. Cet événement est déclenché par le départ d’un membre ou sa suppression par un propriétaire de l’espace d’équipe.

• teamspace.permissions.member_role_updated : le rôle d’un membre de l’espace d’équipe a été modifié. Les rôles peuvent être Membre de l’espace d’équipe ou Propriétaire d’espace d’équipe.

• teamspace.restored : un espace d’équipe précédemment archivé a été restauré.

• teamspace.settings.allow_content_export_setting_updated : le paramètre permettant d’autoriser l’exportation du contenu de l’espace d’équipe a été activé ou désactivé.

• teamspace.settings.allow_guests_setting_updated : un propriétaire de l’espace d’équipe a activé ou désactivé la possibilité d’ajouter des invités (non-membres) à un espace d’équipe spécifique.

• teamspace.settings.allow_public_page_sharing_setting_updated : un propriétaire de l’espace de travail a activé ou désactivé le paramètre permettant de partager publiquement une page d’un espace d’équipe.

• teamspace.settings.allow_sidebar_editing_setting_updated : le paramètre qui détermine qui peut modifier la barre latérale a été mis à jour. Ce paramètre indique si tout membre de l’espace d’équipe peut modifier la barre latérale ou si cette possibilité est réservée aux propriétaires de l’espace d’équipe.

• teamspace.settings.default_setting_updated : les autorisations par défaut de l’espace d’équipe ont été mises à jour.

• teamspace.settings.description_updated : la description de l’espace d’équipe a été mise à jour.

• teamspace.settings.icon_updated : l’icône de l’espace d’équipe a été mise à jour.

Page

• page.button_automation_created : un bouton d’automatisation récurrente a été créé sur une page.

• page.button_automation_updated : un bouton d’automatisation récurrente a été mis à jour sur une page.

• page.content_edited : un utilisateur a modifié le contenu d’une page. Le contenu d’une page est aussi appelé bloc. Les événements de modification du contenu sont regroupés en un seul événement toutes les minutes tant que des modifications sont détectées.

• page.created : un utilisateur a créé une page imbriquée dans une autre page.

• page.deleted : un utilisateur a supprimé une page. Les pages supprimées peuvent être restaurées.

• page.discussion.comment.created : un utilisateur a publié un commentaire sur une page.

• page.discussion.comment.deleted : un utilisateur a supprimé un commentaire publié sur une page.

• page.discussion.comment.updated : un utilisateur a modifié un commentaire publié sur une page. Les événements de modification d’un commentaire sont regroupés dans un seul événement toutes les minutes tant que des modifications sont détectées.

• page.exported : un utilisateur a exporté une page au format PDF, HTML ou Markdown.

• page.file_deleted : un utilisateur a supprimé un fichier de la page.

• page.file_downloaded : un utilisateur a téléchargé ou ouvert un fichier dans une page.

• page.file_uploaded : un utilisateur a ajouté (importé) un fichier sur une page.

• page.moved : un utilisateur a déplacé une page (sa page parente a été mise à jour).

• page.permissions.group_role_added : un groupe de l’espace de travail a obtenu des autorisations d’accès à une page, ce qui lui permet d’y accéder.

• page.permissions.group_role_removed : un groupe a perdu ses autorisations d’accès à une page ; il ne pourra plus y accéder.

• page.permissions.group_role_updated : les autorisations d’accès d’un groupe de l’espace de travail à une page ont été modifiées, ce qui a changé le type d’accès du groupe.

• page.permissions.guest_role_added : un invité a obtenu des autorisations d’accès à une page, ce qui lui permet d’accéder à la page.

• page.permissions.guest_role_removed : un invité a perdu ses autorisations d’accès à une page, ce qui l’empêchera d’accéder à la page.

• page.permissions.guest_role_updated : les autorisations d’accès à une page d’un invité ont été mises à jour, ce qui a changé le type d’accès de l’invité.

• page.permissions.integration_role_added : un utilisateur a ajouté une intégration à une page. Cet événement se déclenche quel que soit le type de l’intégration (interne ou publique/externe).

• page.permissions.integration_role_removed : un utilisateur a supprimé les autorisations d’accès à une page d’une intégration (ou une « connexion »), ce qui empêchera l’intégration d’accéder à la page. Cet événement se déclenche quel que soit le type de l’intégration (interne ou publique/externe).

• page.permissions.integration_role_updated : un utilisateur a mis à jour les autorisations d’accès à une page d’une intégration (ou une « connexion »). Cet événement se déclenche quel que soit le type de l’intégration (interne ou publique/externe).

• page.permissions.member_role_added : un membre a obtenu des autorisations d’accès à une page, ce qui lui permet d’accéder à la page.

• page.permissions.member_role_removed : un membre a perdu ses autorisations d’accès à une page, ce qui l’empêchera d’accéder à la page.

• page.permissions.member_role_updated : les autorisations d’accès à une page d’un membre ont été modifiées, ce qui a changé son type d’accès.

Utilisateur et compte

• user.deleted : le compte d’un utilisateur a été supprimé. Cet événement est envoyé à tous les espaces de travail auxquels le compte est associé.

• user.login : un utilisateur s’est connecté à son compte.

• user.logout : un utilisateur s’est déconnecté de son compte.

• user.settings.analytics_tracking_setting_updated : un utilisateur a modifié le paramètre déterminant si son activité dans son espace de travail ou sur sa page est enregistrée dans les données analytiques de l’espace de travail.

• user.settings.email_updated : un utilisateur a mis à jour son adresse e‑mail dans les paramètres du compte.

• user.settings.login_method.mfa_backup_code_updated : un utilisateur a mis à jour ses paramètres de code de secours pour l’authentification multifacteur.

• user.settings.login_method.mfa_sms_updated : un utilisateur a mis à jour ses paramètres de SMS pour l’authentification multifacteur.

• user.settings.login_method.mfa_totp_updated : un utilisateur a mis à jour ses paramètres de mot de passe à usage unique avec délai d’expiration (Time-based One-Time Password, ou TOTP) pour l’authentification multifacteur.

• user.settings.login_method.password_added : un utilisateur a défini un mot de passe pour se connecter à son compte.

• user.settings.login_method.password_removed : un utilisateur a supprimé le mot de passe de son compte.

• user.settings.login_method.password_updated : un utilisateur a mis à jour son mot de passe.

• user.settings.preferred_name_updated : un utilisateur a mis à jour son nom dans les paramètres de son compte.

• user.settings.profile_photo_updated : un utilisateur a mis à jour sa photo de profil dans les paramètres de son compte.

• user.settings.support_access_granted : l’équipe support de Notion a obtenu un accès temporaire au compte de l’utilisateur.

• user.settings.support_access_revoked : l’accès de l’équipe support de Notion au compte de l’utilisateur a été révoqué.

Intégration

• integration.created : un développeur a créé une intégration interne et l’a associée à l’espace de travail.

• integration.deleted : une intégration interne associée à l’espace de travail a été supprimée. Les suppressions peuvent être faites depuis le tableau de bord « Mes intégrations ». Un administrateur peut aussi supprimer l’accès à une intégration interne pour tous les utilisateurs.

• integration.secret_reset : la clé secrète d’authentification d’une intégration interne a été réinitialisée (ou « actualisée »).