添加安全和合规集成

添加安全性和合规性集成

在本文中

了解如何在工作区添加安全性和合规性集成 🔐

内容

添加安全性和合规性集成的先决条件
DLP 合作伙伴集成
支持的 DLP 合作伙伴
按合作伙伴断开连接
SIEM 合作伙伴集成
支持的 SIEM 合作伙伴
合作伙伴设置提示
可用的 SIEM 事件
事件类型
页面受众
SIEM 事件术语表

只有 企业工作区所有者 才能安装工作区范围内的安全性和合规性集成。
要添加安全性和合规性集成，请：

转到 设置和成员 → 连接
打开 工作区 选项卡

添加安全性和合规性集成的先决条件

您的工作区必须是 企业计划
只有 工作区所有者 才能为 Notion 工作区配置安全性和合规性集成
您必须拥有合作伙伴工具的 管理员权限

DLP 合作伙伴集成

与 DLP 解决方案集成，可检测工作区中敏感数据的使用情况，并自动采取措施快速补救数据泄露，例如：

向工作区所有者发出警报
编辑内容
限制页面访问

支持的 DLP 合作伙伴

Nightfall AI

在 Notion 中，进入 设置和成员 → 连接 → 打开 工作区 选项卡
在 Nightfall 磁贴上选择连接 → 连接到 Nightfall
使用 Nightfall 凭据进行身份验证
更多说明见此处，集成详情见此处

合作伙伴断开连接

Nightfall AI

在 Notion 中，进入 设置与成员 → 连接 → 打开 工作区 选项卡
选择 Nightfall 集成旁的 ⋯ → 断开连接
在 Nightfall 应用程序中，进入 我的集成 → 选择 Notion → 从工作区列表中删除相关 Notion 工作区

SIEM 合作伙伴集成

与 SIEM 解决方案集成后，Notion 审计日志将与其他 SaaS 应用日志汇聚至统一平台，实现：

在第三方审计日志中提供 Notion 用户与工作区活动的可见性，支持分析、搜索与关联
实时配置异常用户活动的现成警报
生成支持事件调查的报告与仪表板

注意：在 Notion 端，我们仅在合作伙伴实例准备好处理事件后，才支持连接 SIEM 合作伙伴。

支持的 SIEM 合作伙伴

Datadog

在 Notion 中，进入 设置和成员 → 连接 → 打开 工作区 选项卡
在 Datadog 磁贴上选择连接 → 连接到 Datadog
注意：目前，一个 Datadog 实例最多只能连接到一个工作区
选择您的组织，使用 Datadog 凭据进行身份验证
更多说明见此处

Panther

登录 Panther 控制台
在左侧导航中，选择配置 → 日志源 → 创建新
搜索 Notion，选择 Notion 磁贴
在滑出面板中，右上角 传输机制 下拉菜单已预填 HTTP 选项，选择设置
按照 Panther 配置 HTTP 源的说明操作
注意：必须使用 HMAC 身份验证
与 “密钥值” 关联的 “头文件名称” 将锁定为 x-notion-signature
安全复制您的 保密密钥值，并保存在安全位置。后续在 Notion 中配置连接时需要
更多说明见此处

Splunk

注意：根据您的 Splunk 实例类型，“Webhook URL” 和 “保密代码” 可能不同。目前仅支持 Splunk 云 或 企业许可证（不支持 On-Prem）。

登录您的 Splunk 实例
进入 搜索和报告 应用程序 → 选择设置
在数据部分下，点击 HTTP 事件收集器
找到所需 HEC 配置并选择其名称，或新建一个
在配置页面，获取 HEC URL。通常格式为：
https://<your-splunk-instance>.splunkcloud.com:8088/services/collector/event
获取 HEC 令牌（即 “秘码”）：在配置页面的令牌字段下，找到长字母数字字符串
更多说明见此处

Sumo Logic

登录您的 Sumo Logic 实例
选择 Manage Data → Collection
进入 设置向导 → 点击开始
出现 数据类型 时，选择 您的自定义应用程序 → HTTPS 源
复制 HTTP 源 URL，用于 Notion 设置
更多说明见此处

合作伙伴设置提示

大多数集成需手动提供 Webhook URL 或令牌：

Datadog：无需 Webhook URL 或令牌
Panther：
- Webhook URL 字段：输入 HTTP 源 URL
- Token 字段：输入 HMAC 身份验证密钥值
Splunk：
- Webhook URL 字段：输入 HTTP 事件收集器 (HEC) URL
- Token 字段：输入 HEC 令牌
Sumo Logic：
- Webhook URL 字段：输入 HTTP 源 URL
- 需要令牌

可用 SIEM 事件

建立 Notion SIEM 连接后，以下 Webhook 事件将在 SIEM 平台中可用。所有事件均对应审计日志。
词汇表帮助您理解所跟踪事件及其与企业安全状况的关系，可用于优化仪表板、警报与事件管理流程。

事件类型

事件分为五大类：

页面事件：用户在单个 Notion 页面上执行的操作
团队空间事件：用户在一个或多个团队空间中执行的操作
工作区事件：用户在整个 Notion 工作区执行的操作
用户事件：与工作区用户账户相关的操作
集成事件：与工作区内部集成相关的操作

页面受众

对于页面事件，页面受众 描述目标页面的可见性级别，取值为以下之一：

私人：页面未与其他用户共享
内部：页面仅与工作区成员共享
外部：页面与工作区外的访客或集成机器人共享
公开：页面已共享至网络

SIEM 事件术语表

工作区

workspace.audit_log_exported：工作区所有者导出了审计日志
workspace.content_analytics_exported：工作区所有者导出了内容分析
workspace.content_exported：用户导出了页面或整个工作区内容
workspace.content_search_exported：工作区所有者导出了内容搜索结果
workspace.content_search_queried：工作区所有者使用内容搜索功能检索内容（含公共与私有页面）
workspace.domain_management.transfer_request_status_updated：已验证域用户创建的工作区传输请求状态已更新（详见本文）
workspace.external_account_connected：公共/外部集成已连接至工作区
workspace.external_account_disconnected：公共/外部集成已断开，或工作区所有者移除了所有用户对该集成的访问权限
workspace.group.permissions.member_added：工作区所有者或成员管理员向组添加了新成员
workspace.group.permissions.member_removed：工作区所有者或成员管理员从组中移除了成员
workspace.integration_added：集成首次添加至工作区（仅触发一次）
workspace.integration_removed：特定公共集成的所有机器人被移除
workspace.members_exported：工作区成员列表已导出
workspace.membership_request_resolved：成员申请已处理（批准或拒绝）
workspace.permissions.guest_removed：工作区所有者或成员管理员移除了访客
workspace.permissions.member_added：用户接受邀请并加入工作区
workspace.permissions.member_invited：用户被邀请加入工作区
workspace.permissions.member_removed：工作区所有者或成员管理员移除了成员
workspace.permissions.member_role_updated：成员角色已更新（成员、成员管理员、工作区所有者）
workspace.private_content_transferred：已停用成员的私有内容已转移（企业所有者可转移内容）
workspace.saml_sso_idp_metadata_url_added：工作区所有者添加了 IdP 元数据 URL
workspace.saml_sso_idp_metadata_url_updated：工作区所有者更新了 IdP 元数据 URL
workspace.saml_sso_idp_metadata_xml_added：工作区所有者添加了 IdP 元数据 XML
workspace.saml_sso_idp_metadata_xml_removed：工作区所有者删除了 IdP 元数据 XML
workspace.saml_sso_idp_metadata_xml_updated：工作区所有者更新了 IdP 元数据 XML

团队空间

teamspace.archived：团队空间已归档
teamspace.created：团队空间已创建
teamspace.permissions.custom_group_role_added：团队空间所有者为组添加了自定义权限
teamspace.permissions.custom_group_role_removed：团队空间所有者移除了组的自定义权限
teamspace.permissions.custom_group_role_updated：团队空间所有者更新了组的自定义权限
teamspace.permissions.custom_member_role_added：团队空间所有者为成员添加了自定义页面权限
teamspace.permissions.custom_member_role_removed：团队空间所有者移除了成员的自定义页面权限
teamspace.permissions.custom_member_role_updated：团队空间所有者更新了成员的自定义页面权限
teamspace.permissions.default_member_role_updated：团队空间成员的默认页面权限已更新
teamspace.permissions.default_workspace_role_added：团队空间所有者授予工作区用户页面权限（封闭团队空间）
teamspace.permissions.default_workspace_role_removed：团队空间所有者移除了工作区用户的页面权限（封闭团队空间）
teamspace.permissions.default_workspace_role_updated：团队空间所有者更新了所有工作区用户的默认页面权限
teamspace.permissions.group_added：组已添加至团队空间
teamspace.permissions.group_removed：团队空间所有者移除了组
teamspace.permissions.member_added：用户已加入团队空间（开放加入或被添加）。若以所有者身份添加，事件将标注 “作为团队空间所有者”
teamspace.permissions.member_removed：成员已离开或被移除
teamspace.permissions.member_role_updated：成员角色已更新（成员或所有者）
teamspace.restored：已恢复归档的团队空间
teamspace.settings.allow_content_export_setting_updated：内容导出设置已启用或禁用
teamspace.settings.allow_guests_setting_updated：访客添加功能已启用或禁用
teamspace.settings.allow_public_page_sharing_setting_updated：公开页面共享设置已启用或禁用
teamspace.settings.allow_sidebar_editing_setting_updated：侧边栏编辑权限设置已更新（所有成员或仅所有者可编辑）
teamspace.settings.default_setting_updated：团队空间默认权限已更新
teamspace.settings.description_updated：团队空间描述已更新
teamspace.settings.icon_updated：团队空间图标已更新

页面

page.button_automation_created：创建了模板按钮自动化
page.button_automation_updated：更新了模板按钮自动化
page.content_edited：用户编辑了页面内容（即 block）。每分钟合并一次编辑事件
page.created：用户创建了嵌套页面
page.deleted：用户删除了页面（可恢复）
page.discussion.comment.created：用户创建了评论
page.discussion.comment.deleted：用户删除了评论
page.discussion.comment.updated：用户编辑了评论。每分钟合并一次编辑事件
page.exported：用户将页面导出为 PDF、HTML 或 Markdown
page.file_deleted：用户从页面中删除了文件
page.file_downloaded：用户下载或打开了页面中的文件
page.file_uploaded：用户向页面上传了文件
page.moved：用户更改了页面的父级位置
page.permissions.group_role_added：为组添加了页面访问权限
page.permissions.group_role_removed：移除了组的页面访问权限
page.permissions.group_role_updated：更新了组的页面访问类型
page.permissions.guest_role_added：为访客添加了页面访问权限
page.permissions.guest_role_removed：移除了访客的页面访问权限
page.permissions.guest_role_updated：更新了访客的页面访问类型
page.permissions.integration_role_added：为页面添加了集成（内部或外部）
page.permissions.integration_role_removed：移除了集成的页面访问权限
page.permissions.integration_role_updated：更新了集成的页面访问权限

用户和账户

user.deleted：用户账户已删除（事件发送至关联的所有工作区）
user.login：用户登录账户
user.logout：用户退出账户
user.settings.analytics_tracking_setting_updated：用户更改了工作区或页面活动是否记录至分析的设置
user.settings.email_updated：用户更新了账户邮箱
user.settings.login_method.mfa_backup_code_updated：用户更新了 MFA 备份代码
user.settings.login_method.mfa_sms_updated：用户更新了 MFA SMS 设置
user.settings.login_method.mfa_totp_updated：用户更新了 MFA TOTP 设置
user.settings.login_method.password_added：用户添加了登录密码
user.settings.login_method.password_removed：用户移除了登录密码
user.settings.login_method.password_updated：用户更新了密码
user.settings.preferred_name_updated：用户更新了首选名称
user.settings.profile_photo_updated：用户更新了个人照片
user.settings.support_access_granted：Notion 支持团队获得临时访问权限
user.settings.support_access_revoked：用户撤销了支持访问权限

集成

integration.created：开发人员创建了内部集成并关联至工作区
integration.deleted：内部集成已删除（可通过 “我的集成” 或管理员移除访问权限）
integration.secret_reset：内部集成的身份验证密钥已重置（刷新）

常见问题

我刚更新了一个页面，但没有收到 Slack 通知。
为防止通知过于频繁，系统设有 5 分钟延迟。
若仍无通知，请联系我们，我们将协助处理。

我正在尝试启用 Slack 应用目录中的集成，但它只会把我带到 Notion 主页。
抱歉造成困扰 🙈
您无法通过 Slack 启用集成。请根据本文说明，在 Notion 内部 完成设置。

启用 Slack 集成后，会授予哪些权限？
集成按页面授权。为特定页面启用 Slack 集成时，Notion 将获得向所选 Slack 频道发布更新的权限。

我能否为链接预览集成添加多个登录名？
可以！进入 设置与成员 → 我连接的应用程序，选择对应集成 → 连接另一个账户。

注意：部分应用（如 GitHub）不支持浏览器多账户登录。您可能需要先注销当前账户，再登录新账户。
系统将自动匹配可用账户预览资源；若均失败，则显示错误。

我在链接预览中收到 “无法加载预览” 错误。
请按以下步骤排查：

确认使用有权限的账户已认证
确认组织未限制访问
在 Notion 的 我连接的应用程序 中删除集成，并在对应平台撤销授权：
GitHub、
Jira、
Slack、
Asana、
Trello
重新尝试展开链接
若仍失败，请联系技术支持！

我们无法协助解决 拒绝访问 或 未找到内容 类错误。

我在链接预览中收到 “拒绝访问” 或 “未找到内容” 错误。
可能原因：

未使用有权限的账户认证。可通过 设置和成员 → 我连接的应用程序 或错误下拉菜单连接多账户
组织通过第三方集成或 IP 限制了访问。请联系管理员确认并批准 Notion 集成：
GitHub、
Jira、
Slack、
Asana、
Trello

在我的工作区中，连接可以访问哪些内容？

SIEM 集成：接收所有工作区活动的事件日志
DLP 集成：
- 接收所有工作区活动的事件日志
- 查看页面内容、注释，编辑内容与注释，创建注释
- 查看所有成员与访客的基本信息（姓名、头像、邮箱）

即使连接后，我也看不到 SIEM 事件。怎么办？

事件可能以不同标签出现，或位于非预期位置。建议触发新页面事件，并在 SIEM 中查询：
type:"page.created" 或 email:"[您的邮箱]"
新建 Panther 实例后，可能需要 10 分钟 才能接收事件

如果 SIEM 提供商发生故障，我的 SIEM 事件会怎样？
请联系 SIEM 提供商获取支持。

为什么我不能连接同一个 SIEM 提供商的多个实例？
目前，每个 SIEM 提供商仅能连接至 一个 Notion 工作区。

设置 SIEM 连接时遇到问题？常见原因包括：

Webhook URL 错误
HMAC 或 HEC 令牌错误
在 SIEM 提供商中无管理员权限
使用内部部署（On-Prem）实例（不支持）