Po włączeniu opcji Zezwalaj na dane uwierzytelniania użytkownika w Control Hub, logowania i wylogowania użytkowników są rejestrowane i można je pobrać za pomocą publicznego interfejsu API. Następnie można wyświetlać i analizować te dane w aplikacjach do obsługi zabezpieczeń, takich jak UEBA czy SIEM, które mogą wykorzystywać własne algorytmy uczenia maszynowego w celu wykrywania podejrzanych i złośliwych zachowań, wektorów ataków i identyfikowania przechwyconych haseł. Webex przechowuje te dane przez 12 miesięcy.

Zrozum i śledź działania uwierzytelniania

Karta Działania uwierzytelniania w Control Hub śledzi interaktywne logowania użytkowników, w ramach których użytkownicy aktywnie podają dane uwierzytelniające, np. wpisując hasło lub przeprowadzając uwierzytelnianie wieloskładnikowe. Nie obejmuje ona logowań nieinteraktywnych, takich jak automatyczne odświeżanie tokenów dostępowych.

Należy pamiętać, że LastServiceAccessTime w pliku CSV eksportowanym przez użytkownika jest aktualizowany za każdym razem, gdy generowany jest token dostępu, zarówno w przypadku logowań interaktywnych, jak i nieinteraktywnych. Najlepiej traktować go jako ogólny wskaźnik informujący o tym, kiedy użytkownik ostatnio uzyskiwał dostęp do usługi, a nie oczekiwać, że będzie on bezpośrednio odpowiadał zdarzeniom logowania na karcie Działania uwierzytelniające.

Przeglądaj działania użytkowników za pomocą interfejsu API Webex

Ta funkcja jest dostępna tylko dla klientów z pakietem Pro Pack for Control Hub.

1

Zaloguj się do Control Hub, a następnie w Zarządzaniewybierz Ustawienia organizacji.

2

W sekcji Dane uwierzytelniania użytkownika przełącz opcję Zezwalaj na dane uwierzytelniania użytkownika na wartość włączoną.

3

Aby pobrać dane, przejdź do sekcji Lista zdarzeń kontroli zabezpieczeń.

Wyświetlanie aktywności użytkowników w Control Hub

Możesz także wyświetlać i rozwiązywać problemy z logowaniem użytkowników, analizując ich działania związane z logowaniem i wylogowywaniem w Control Hub.

1

Zaloguj się do Control Hub i przejdź do Management > Bezpieczeństwo > Audyt.

2

Kliknij kartę Działania uwierzytelniające.

Aktywności użytkowników wyświetlane są w następujących kolumnach:
  • Status — wskazuje, czy sign-in/sign-out próba zakończyła się sukcesem lub niepowodzeniem, np. Sukces, Porażka i N/A. N/A zwykle występuje, gdy użytkownik się wylogowuje, a konfiguracja SLO (pojedynczego wylogowania) jest niedostępna u wszystkich dostawców tożsamości.
  • Czas — znacznik czasu określający, kiedy nastąpiło zalogowanie lub wylogowanie.
  • Adres e-mail — adres e-mail użytkownika, który się zalogował lub wylogował.
  • Podpisać in/sign out — typ zarejestrowanej aktywności.
  • Usługa — nazwa aplikacji, do której użytkownik uzyskuje dostęp, np. Control Hub lub Webex Teams iOS. Reprezentuje nazwę klienta OAuth zarejestrowaną na platformie tożsamości Webex przez programistę Cisco lub partnera-programistę. Jeśli N/A wyświetla się komunikat „, oznacza to, że informacja ta nie jest przechowywana ani przekazywana z dostawcy tożsamości do platformy tożsamości Webex, gdyż jest to część SLO w SAML.
  • Adres IP — adres IP użytkownika w momencie wykonywania danej czynności.
  • Metoda — wskazuje metodę uwierzytelniania używaną do logowania. Interaktywny oznacza ręczne uwierzytelnianie użytkownika. To zadanie należy do użytkownika. Nieinteraktywny odnosi się do automatycznego uwierzytelniania użytkownika. To jest robione dla użytkownika.
3

Aby zawęzić wyniki wyszukiwania, filtruj według aktywności użytkownika, konkretnych dat, adresu e-mail, adresu IP lub usługi.