Control Hub で ユーザー認証データを許可する をオンにすると、ユーザーのサインインとサインアウトが記録され、 パブリック APIを通じて取得できるようになります。その後、UEBA や SIEM などのセキュリティ アプリケーションでデータを表示して分析できます。これらのアプリケーションは機械学習アルゴリズムを実行して、不審かつ悪意のある動作を発見し、攻撃ベクトルを検出して、侵害されたパスワードを特定します。Webex のデータは 12 か月間保存されます。

認証アクティビティを理解して追跡する

Control Hub の 認証アクティビティ タブは、パスワードの入力や多要素認証の完了など、ユーザーが能動的に資格情報を提供する対話型のユーザー ログインを追跡します。自動アクセス トークンの更新など、非対話型ログインは含まれません。

ユーザー エクスポート CSV 内の LastServiceAccessTime は、対話型ログインと非対話型ログインの両方を含め、アクセス トークンが生成されるたびに更新されることに注意してください。これを、 認証アクティビティ タブのサインイン イベントと直接一致するものと見なすのではなく、ユーザーが最後にサービスにアクセスした日時を示す一般的な指標として考えるのが最適です。

Webex API を通じてユーザー アクティビティを表示する

この機能は Pro Pack for Control Hub を利用しているお客様のみが使用できます。

1

Control Hubにサインインし、 管理組織設定を選択します。

2

ユーザー認証データ セクションで、 ユーザー認証データを許可する をオンに切り替えます。

3

[セキュリティ監査イベントを一覧表示] に移動してデータを取得します。

コントロールハブでユーザーアクティビティを表示する

また、Control Hub でユーザーのサインインおよびサインアウト アクティビティを確認することで、サインインの問題を表示してトラブルシューティングすることもできます。

1

コントロールハブ にサインインし、 管理 に移動します > 安全 > 監査

2

認証アクティビティ タブをクリックします。

ユーザー アクティビティは次の列に表示されます。
  • ステータス - sign-in/sign-out 試行が成功したかどうか(成功、失敗など) N/A. N/A これは通常、ユーザーがログアウトし、フェデレーション IdP 全体で SLO (シングル ログアウト) 構成が利用できない場合に発生します。
  • 時間 - サインインまたはサインアウトアクティビティが発生したときのタイムスタンプ。
  • 電子メール アドレス - サインインまたはサインアウトしたユーザーの電子メール アドレス。
  • サイン in/sign out—ログに記録されたアクティビティの種類。
  • サービス: Control Hub や Webex Teams iOS など、ユーザーがアクセスするアプリケーションの名前。これは、Cisco 開発者またはパートナー開発者によって Webex アイデンティティ プラットフォームに登録された OAuth クライアントの名前を表します。もし N/A が表示される場合、これは SAML の SLO の一部であるため、この情報は維持されず、IdP から Webex アイデンティティ プラットフォームに渡されないことを意味します。
  • IP アドレス - アクティビティ時のユーザーの IP アドレス。
  • 方法 - サインインに使用される認証方法を示します。インタラクティブとは、手動によるユーザー認証を指します。それはユーザーによって行われます。非対話型とは、自動ユーザー認証を指します。それはユーザーのために行われます。
3

ユーザーアクティビティ、特定の日付、メールアドレス、IP アドレス、またはサービスでフィルタリングして、検索結果を絞り込みます。