Når du aktiverer Tillad brugergodkendelsesdata i Control Hub, logges brugerlogin og -udlogninger og kan hentes via den offentlige API. Du kan derefter se og analysere dataene i sikkerhedsapplikationer som f.eks. UEBA og SIEM, der kan køre deres maskinlæringsalgoritmer for at opdage mistænkelig og ondsindet adfærd, registrere angrebsvektorer og identificere kompromitterede adgangskoder. Webex gemmer dataene i 12 måneder.

Forstå og spor godkendelsesaktiviteter

Fanen Godkendelsesaktiviteter i Control Hub sporer interaktive brugerlogins, hvor brugerne aktivt angiver legitimationsoplysninger, f.eks. ved at indtaste en adgangskode eller udføre multifaktorgodkendelse. Det inkluderer ikke ikke-interaktive logins, såsom automatiske opdateringer af adgangstokener.

Husk på, at LastServiceAccessTime i brugereksportens CSV-fil opdateres, når et adgangstoken genereres, inklusive både interaktive og ikke-interaktive logins. Det er bedst at tænke på det som en generel indikator for, hvornår en bruger sidst tilgik en tjeneste, i stedet for at forvente, at det direkte matcher loginhændelserne i fanen Godkendelsesaktiviteter.

Se brugeraktiviteter via Webex API

Denne funktion er kun tilgængelig for kunder med Pro Pack til Control Hub.

1

Log ind på Control Hub, og vælg derefter Organisationsindstillinger] under Administration.

2

I afsnittet Brugergodkendelsesdata skal du slå Tillad brugergodkendelsesdata til.

3

Gå til List Security Audit Events (Liste over sikkerhedsrevisionshændelser) for at hente dataene.

Se brugeraktiviteter i Control Hub

Du kan også se og foretage fejlfinding af loginproblemer for dine brugere ved at gennemgå deres login- og loginaktiviteter i Control Hub.

1

Log ind på Control Hub og gå til Administration > Sikkerhed > Revision.

2

Klik på fanen Godkendelsesaktiviteter.

Brugeraktiviteter vises under følgende kolonner:
  • Status—Angiver, om sign-in/sign-out forsøget var vellykket eller ej, såsom succes, fiasko og N/A. N/A forekommer normalt, når en bruger logger ud, og SLO-konfiguration (Single Logout) ikke er tilgængelig på tværs af fødererede IdP'er.
  • Tid – Tidsstemplet for, hvornår login- eller login-aktiviteten fandt sted.
  • E-mailadresse – E-mailadressen på den bruger, der loggede ind eller ud.
  • Tegn in/sign ud – Den type aktivitet, der blev logget.
  • Tjeneste – Navnet på den applikation, som brugeren har adgang til, f.eks. Control Hub eller Webex Teams iOS. Det repræsenterer OAuth-klientens navn, der er registreret på Webex-identitetsplatformen af Cisco-udvikleren eller partnerudvikleren. Hvis N/A vises, betyder det, at disse oplysninger ikke vedligeholdes eller videregives fra IdP'en til Webex-identitetsplatformen, da dette er en del af SLO'en i SAML.
  • IP-adresse – Brugerens IP-adresse på aktivitetstidspunktet.
  • Metode – Angiver den godkendelsesmetode, der bruges til at logge ind. Interaktiv refererer til manuel brugergodkendelse. Det gøres af brugeren. Ikke-interaktiv refererer til automatisk brugergodkendelse. Det er gjort for brugeren.
3

Filtrer efter brugeraktivitet, specifikke datoer, e-mailadresse, IP-adresse eller tjeneste for at indsnævre dine søgeresultater.