När du aktiverar Tillåt användarautentiseringsdata i Control Hub loggas användarinloggningar och -utloggningar och kan hämtas via det offentliga API:et . Du kan sedan visa och analysera dessa data i säkerhetsprogram som UEBA och SIEM, som kan köra sina maskininlärningsalgoritmer för att upptäcka misstänkta och skadliga beteenden, identifiera attackvektorer och identifiera komprometterade lösenord. Webex lagrar dessa data i 12 månader.

Förstå och spåra autentiseringsaktiviteter

Fliken Autentiseringsaktiviteter i Control Hub spårar interaktiva användarinloggningar, där användare aktivt anger autentiseringsuppgifter, som att ange ett lösenord eller slutföra flerfaktorsautentisering. Det inkluderar inte icke-interaktiva inloggningar, till exempel automatiska uppdateringar av åtkomsttokens.

Tänk på att LastServiceAccessTime i användarexportens CSV-fil uppdateras när en åtkomsttoken genereras, inklusive både interaktiva och icke-interaktiva inloggningar. Det är bäst att tänka på det som en allmän indikator på när en användare senast använde en tjänst, snarare än att förvänta sig att den direkt matchar inloggningshändelserna på fliken Autentiseringsaktiviteter.

Visa användaraktiviteter via Webex API

Den här funktionen är endast tillgänglig för kunder med Pro Pack för Control Hub.

1

Logga in på Control Huboch välj sedan Organisationsinställningarunder Hantering.

2

I avsnittet Användarautentiseringsdata aktiverar du Tillåt användarautentiseringsdata.

3

Gå till Lista säkerhetsgranskningshändelser för att hämta datan.

Visa användaraktiviteter i Control Hub

Du kan också visa och felsöka inloggningsproblem för dina användare genom att granska deras inloggnings- och utloggningsaktiviteter i Control Hub.

1

Logga in på Kontrollhubben och gå till Hantering > Säkerhet > Revision.

2

Klicka på fliken Autentiseringsaktiviteter.

Användaraktiviteter visas under följande kolumner:
  • Status—Anger om sign-in/sign-out försöket lyckades eller inte, såsom Framgång, Misslyckande och N/A. N/A inträffar vanligtvis när en användare loggar ut och SLO-konfigurationen (Single Logout) inte är tillgänglig för alla federerade IdP:er.
  • Tid – Tidsstämpeln för när inloggnings- eller utloggningsaktiviteten inträffade.
  • E-postadress – E-postadressen för användaren som loggade in eller ut.
  • Tecken in/sign ut—Den typ av aktivitet som loggades.
  • Tjänst – namnet på det program som användaren har åtkomst till, till exempel Control Hub eller Webex Teams iOS. Den representerar OAuth-klientens namn som är registrerat på Webex-identitetsplattformen av Cisco-utvecklaren eller partnerutvecklaren. Om N/A visas betyder det att den här informationen inte lagras eller skickas från IdP:n till Webex identitetsplattform, eftersom detta är en del av SLO:n i SAML.
  • IP-adress – Användarens IP-adress vid tidpunkten för aktiviteten.
  • Metod – Anger vilken autentiseringsmetod som används för inloggning. Interaktiv avser manuell användarautentisering. Det görs av användaren. Icke-interaktiv avser automatisk användarautentisering. Det är gjort för användaren.
3

Filtrera efter användaraktivitet, specifika datum, e-postadress, IP-adress eller tjänst för att begränsa dina sökresultat.