После включения параметра Разрешить данные аутентификации пользователей в Control Hub входы и выходы пользователей регистрируются и могут быть извлечены через общедоступный API. После этого можно просматривать и анализировать данные в приложениях безопасности, таких как UEBA и SIEM, которые могут запускать свои алгоритмы машинного обучения для обнаружения подозрительного и вредоносного поведения, обнаружения векторов атак и идентификации скомпрометированных паролей. Webex хранит данные в течение 12 месяцев.

Понимание и отслеживание действий по аутентификации

Вкладка Действия аутентификации в Control Hub отслеживает интерактивные входы пользователей, когда пользователи активно предоставляют учетные данные, например вводят пароль или проходят многофакторную аутентификацию. Сюда не входят неинтерактивные входы в систему, такие как автоматическое обновление токенов доступа.

Помните, что LastServiceAccessTime в CSV-файле экспорта пользователя обновляется всякий раз, когда генерируется токен доступа, включая как интерактивные, так и неинтерактивные входы в систему. Лучше всего рассматривать его как общий индикатор того, когда пользователь последний раз обращался к службе, а не ожидать, что он будет напрямую соответствовать событиям входа в систему на вкладке Действия аутентификации.

Просмотр действий пользователей через API Webex

Эта функция доступна только для клиентов с профессиональной версией Control Hub.

1

Войдите в Control Hub, затем в разделе Управлениевыберите Настройки организации.

2

В разделе Данные аутентификации пользователя включите переключатель Разрешить данные аутентификации пользователя.

3

Для получения данных откройте раздел Показать список событий аудита безопасности.

Просмотр действий пользователей в Control Hub

Вы также можете просматривать и устранять неполадки со входом в систему для своих пользователей, просматривая их действия по входу и выходу из системы в Control Hub.

1

Войдите в Control Hub и перейдите в Management > Безопасность > Аудит.

2

Нажмите на вкладку Действия аутентификации.

Действия пользователей отображаются в следующих столбцах:
  • Статус — указывает, является ли sign-in/sign-out попытка была успешной или нет, например, Успех, Неудача и N/A. N/A обычно происходит, когда пользователь выходит из системы, а конфигурация SLO (единый выход) недоступна для федеративных поставщиков удостоверений.
  • Время — временная метка, указывающая, когда произошло действие входа или выхода.
  • Адрес электронной почты — адрес электронной почты пользователя, который вошел в систему или вышел из нее.
  • Знак in/sign out — тип зарегистрированной активности.
  • Сервис — название приложения, к которому обращается пользователь, например Control Hub или Webex Teams iOS. Он представляет собой имя клиента OAuth, зарегистрированное на платформе удостоверений Webex разработчиком Cisco или партнером-разработчиком. Если N/A отображается, это означает, что эта информация не сохраняется и не передается от IdP на платформу удостоверений Webex, поскольку это часть SLO в SAML.
  • IP-адрес — IP-адрес пользователя на момент совершения действия.
  • Метод — указывает метод аутентификации, используемый для входа в систему. Интерактивный означает ручную аутентификацию пользователя. Это делает пользователь. Неинтерактивность подразумевает автоматическую аутентификацию пользователя. Это сделано для пользователя.
3

Фильтруйте по активности пользователя, конкретным датам, адресу электронной почты, IP-адресу или услуге, чтобы сузить результаты поиска.