След като включите Разрешаване на данни за удостоверяване на потребителя в Control Hub, влизанията и излизанията на потребителите се регистрират и могат да бъдат извлечени чрез публичния API. След това можете да преглеждате и анализирате данните в приложения за сигурност като UEBA и SIEM, които могат да изпълняват своите алгоритми за машинно обучение, за да откриват подозрително и злонамерено поведение, да откриват вектори на атака и да идентифицират компрометирани пароли. Webex съхранява данните в продължение на 12 месеца.

Разбиране и проследяване на дейностите по удостоверяване

Разделът Дейности по удостоверяване в Control Hub проследява интерактивните потребителски входове, при които потребителите активно предоставят идентификационни данни, като например въвеждане на парола или извършване на многофакторно удостоверяване. Не включва неинтерактивни влизания, като например автоматично обновяване на маркери за достъп.

Имайте предвид, че LastServiceAccessTime в CSV файла за експортиране на потребителя се актуализира всеки път, когато се генерира токен за достъп, включително интерактивни и неинтерактивни влизания. Най-добре е да го разглеждате като общ индикатор за това кога потребителят е осъществил последен достъп до услуга, вместо да очаквате директно да съответства на събитията за влизане в раздела Дейности по удостоверяване.

Преглед на потребителските дейности чрез Webex API

Тази функция се предлага само за клиенти с Pro Pack за Control Hub.

1

Влезте в Control Hub, след което под Управлениеизберете Настройки на организацията.

2

В секцията Данни за удостоверяване на потребителя, включете Разрешаване на данни за удостоверяване на потребителя.

3

Отидете на Списък на събитията от проверката за сигурност, за да извлечете данните.

Преглед на потребителските дейности в Control Hub

Можете също да преглеждате и отстранявате проблеми с влизането на вашите потребители, като преглеждате техните дейности по влизане и излизане в Control Hub.

1

Влезте в Control Hub и отидете на Management > Сигурност > Одит.

2

Щракнете върху раздела Дейности по удостоверяване.

Потребителските дейности се показват в следните колони:
  • Състояние – Показва дали sign-in/sign-out опитът е бил успешен или не, като например успех, неуспех и N/A. N/A обикновено се случва, когато потребител излезе от системата и конфигурацията SLO (Single Logout) не е налична за всички федерални IdPs.
  • Време – Времевият отпечатък, показващ кога е извършено влизането или излизането.
  • Имейл адрес – имейл адресът на потребителя, който е влязъл или излязъл.
  • Знак in/sign изход – Видът активност, която е била регистрирана.
  • Услуга – Името на приложението, до което потребителят е осъществил достъп, например Control Hub или Webex Teams iOS. Това представлява името на OAuth клиента, което е регистрирано в платформата за самоличност Webex от разработчика на Cisco или партньорския разработчик. Ако N/A се показва, това означава, че тази информация не се поддържа или предава от IdP към платформата за идентичност Webex, тъй като това е част от SLO в SAML.
  • IP адрес – IP адресът на потребителя по време на дейността.
  • Метод – Показва метода за удостоверяване, използван за влизане. Интерактивното се отнася до ръчно удостоверяване на потребителя. Това се прави от потребителя. Неинтерактивното се отнася до автоматично удостоверяване на потребителя. Прави се за потребителя.
3

Филтрирайте по потребителска активност, конкретни дати, имейл адрес, IP адрес или услуга, за да стесните резултатите от търсенето си.