Una volta attivata l'opzione Consenti dati di autenticazione utente in Control Hub, gli accessi e le disconnessioni degli utenti vengono registrati e possono essere recuperati tramite l'API pubblica. Puoi quindi visualizzare e analizzare i dati in applicazioni di sicurezza come UEBA e SIEM, che possono eseguire algoritmi di apprendimento automatico per rilevare comportamenti sospetti e dannosi, rilevare vettori di attacco e identificare le password compromesse. Webex memorizza i dati per 12 mesi.

Comprendere e monitorare le attività di autenticazione

La scheda Attività di autenticazione in Control Hub tiene traccia degli accessi interattivi degli utenti, in cui gli utenti forniscono attivamente le credenziali, ad esempio immettendo una password o completando l'autenticazione a più fattori. Non include gli accessi non interattivi, come gli aggiornamenti automatici dei token di accesso.

Tieni presente che LastServiceAccessTime nel file CSV di esportazione dell'utente viene aggiornato ogni volta che viene generato un token di accesso, inclusi gli accessi interattivi e non interattivi. È meglio considerarlo come un indicatore generale di quando un utente ha effettuato l'ultimo accesso a un servizio, piuttosto che aspettarsi che corrisponda direttamente agli eventi di accesso nella scheda Attività di autenticazione.

Visualizza le attività degli utenti tramite Webex API

Questa funzione è disponibile solo per i clienti con Pro Pack per Control Hub.

1

Accedi a Control Hub, quindi in Gestione, seleziona Impostazioni organizzazione.

2

Nella sezione Dati di autenticazione utente, attiva Consenti dati di autenticazione utente.

3

Vai a Elenca eventi di controllo sicurezza per recuperare i dati.

Visualizza le attività degli utenti in Control Hub

Puoi anche visualizzare e risolvere i problemi di accesso dei tuoi utenti esaminando le loro attività di accesso e disconnessione in Control Hub.

1

Accedi a Control Hub e vai a Gestione > Sicurezza > Verifica.

2

Fare clic sulla scheda Attività di autenticazione.

Le attività degli utenti vengono visualizzate nelle seguenti colonne:
  • Stato: indica se il sign-in/sign-out tentativo ha avuto successo o meno, ad esempio Successo, Fallimento e N/A. N/A di solito si verifica quando un utente effettua il logout e la configurazione SLO (Single Logout) non è disponibile su tutti gli IdP federati.
  • Ora: timestamp del momento in cui si è verificata l'attività di accesso o disconnessione.
  • Indirizzo email: l'indirizzo email dell'utente che ha effettuato l'accesso o la disconnessione.
  • Cartello in/sign out: il tipo di attività che è stata registrata.
  • Servizio: nome dell'applicazione a cui accede l'utente, ad esempio Control Hub o Webex Teams iOS. Rappresenta il nome del client OAuth registrato sulla piattaforma di identità Webex dallo sviluppatore Cisco o dallo sviluppatore partner. Se N/A viene visualizzato, significa che queste informazioni non vengono gestite o trasmesse dall'IdP alla piattaforma di identità Webex, poiché fanno parte dell'SLO in SAML.
  • Indirizzo IP: l'indirizzo IP dell'utente al momento dell'attività.
  • Metodo: indica il metodo di autenticazione utilizzato per l'accesso. Interattivo si riferisce all'autenticazione manuale dell'utente. È l'utente a farlo. Non interattivo si riferisce all'autenticazione automatica dell'utente. È fatto per l'utente.
3

Filtra per attività dell'utente, date specifiche, indirizzo email, indirizzo IP o servizio per restringere i risultati della ricerca.