Una vez que activa Permitir datos de autenticación de usuario en Control Hub, los inicios y cierres de sesión de los usuarios se registran y se pueden recuperar a través de la API pública. A continuación, puede ver y analizar los datos en aplicaciones de seguridad, como UEBA y SIEM, que pueden ejecutar sus algoritmos de aprendizaje automático para descubrir comportamientos sospechosos y maliciosos, detectar vectores de ataque e identificar contraseñas comprometidas. Webex almacena los datos durante 12 meses.

Comprender y realizar un seguimiento de las actividades de autenticación

La pestaña Actividades de autenticación en Control Hub rastrea los inicios de sesión de usuarios interactivos, donde los usuarios proporcionan credenciales de forma activa, como ingresar una contraseña o completar la autenticación multifactor. No incluye inicios de sesión no interactivos, como actualizaciones automáticas del token de acceso.

Tenga en cuenta que LastServiceAccessTime en el CSV de exportación del usuario se actualiza cada vez que se genera un token de acceso, incluidos los inicios de sesión interactivos y no interactivos. Es mejor pensarlo como un indicador general de cuándo un usuario accedió por última vez a un servicio, en lugar de esperar que coincida directamente con los eventos de inicio de sesión en la pestaña Actividades de autenticación.

Ver las actividades del usuario a través de la API de Webex

Esta característica solo está disponible para clientes con Pro Pack para Control Hub.

1

Inicie sesión en Control Huby, luego, en Administración, seleccione Configuración de la organización.

2

En la sección Datos de autenticación de usuario, active Permitir datos de autenticación de usuario.

3

Vaya a Indicar eventos de auditoría de seguridad para recuperar los datos.

Ver las actividades del usuario en el Centro de control

También puede ver y solucionar problemas de inicio de sesión de sus usuarios revisando sus actividades de inicio y cierre de sesión en Control Hub.

1

Inicie sesión en Control Hub y vaya a Administración > Seguridad > Auditoría.

2

Haga clic en la pestaña Actividades de autenticación.

Las actividades del usuario se muestran en las siguientes columnas:
  • Estado: indica si el sign-in/sign-out El intento fue exitoso o no, como Éxito, Fracaso y N/A. N/A Generalmente ocurre cuando un usuario cierra la sesión y la configuración de SLO (cierre de sesión único) no está disponible en los IdP federados.
  • Hora: la marca de tiempo del momento en que se produjo la actividad de inicio o cierre de sesión.
  • Dirección de correo electrónico: la dirección de correo electrónico del usuario que inició o cerró sesión.
  • Firmar in/sign fuera—El tipo de actividad que se registró.
  • Servicio: el nombre de la aplicación a la que accede el usuario, como Control Hub o Webex Teams iOS. Representa el nombre del cliente OAuth que está registrado en la plataforma de identidad de Webex por el desarrollador de Cisco o el desarrollador socio. Si N/A Se muestra, significa que esta información no se mantiene ni se transmite del IdP a la plataforma de identidad de Webex, ya que esto es parte del SLO en SAML.
  • Dirección IP: la dirección IP del usuario en el momento de la actividad.
  • Método: indica el método de autenticación utilizado para iniciar sesión. Interactivo se refiere a la autenticación manual del usuario. Lo hace el usuario. No interactivo se refiere a la autenticación automática del usuario. Esta hecho para el usuario.
3

Filtre por actividad del usuario, fechas específicas, dirección de correo electrónico, dirección IP o servicio para limitar los resultados de búsqueda.