Після того, як ви ввімкнете опцію Дозволити дані автентифікації користувачів у Центрі керування, дані про вхід та вихід користувачів реєструватимуться та можуть бути отримані через публічний API. Потім можна буде переглядати й аналізувати дані в програмах безпеки, як-от UEBA та SIEM, які можуть запускати власні алгоритми машинного навчання, щоб виявляти підозрілу й зловмисну поведінку, визначати вектори атак та ідентифікувати скомпрометовані паролі. Webex зберігає дані протягом 12 місяців.

Розуміння та відстеження дій автентифікації

Вкладка Діяльність автентифікації в Центрі керування відстежує інтерактивні входи користувачів, під час яких вони активно надають облікові дані, як-от введення пароля або проходження багатофакторної автентифікації. Це не включає неінтерактивні входи, такі як автоматичне оновлення токенів доступу.

Майте на увазі, що LastServiceAccessTime у CSV-файлі експорту користувача оновлюється щоразу, коли генерується токен доступу, включаючи як інтерактивні, так і неінтерактивні входи. Найкраще розглядати це як загальний показник того, коли користувач востаннє звертався до сервісу, а не очікувати, що він безпосередньо відповідатиме подіям входу на вкладці «Дії автентифікації».

Перегляд дій користувачів через Webex API

Ця функція доступна лише клієнтам із професійною версією Control Hub.

1

Увійдіть у Центр керування, потім у розділі Керуваннявиберіть Налаштування організації.

2

У розділі Дані автентифікації користувача увімкніть перемикач Дозволити дані автентифікації користувача.

3

Перейдіть до списку подій аудиту безпеки, щоб отримати дані.

Перегляд дій користувачів у Центрі керування

Ви також можете переглядати та вирішувати проблеми зі входом ваших користувачів, переглядаючи їхні дії з входу та виходу в Control Hub.

1

Увійдіть у Центр керування та перейдіть до розділу Керування > Безпека > Аудит.

2

Натисніть вкладку Дії автентифікації.

Діяльність користувачів відображається в таких стовпцях:
  • Стан — вказує, чи sign-in/sign-out спроба була успішною чи ні, наприклад, Успіх, Невдача та N/A. N/A зазвичай трапляється, коли користувач виходить із системи, а конфігурація SLO (єдиний вихід) недоступна для федеративних постачальників ідентифікаційних даних.
  • Час — позначка часу, коли відбувся вхід або вихід.
  • Адреса електронної пошти — адреса електронної пошти користувача, який увійшов у систему або вийшов із неї.
  • Знак in/sign вихід — тип зареєстрованої активності.
  • Сервіс — назва програми, до якої користувач отримує доступ, наприклад, Control Hub або Webex Teams iOS. Він представляє ім'я клієнта OAuth, зареєстроване на платформі ідентифікації Webex розробником Cisco або розробником-партнером. Якщо N/A відображається, це означає, що ця інформація не зберігається та не передається від постачальника ідентифікаційних даних до платформи ідентифікації Webex, оскільки це частина SLO в SAML.
  • IP-адреса — IP-адреса користувача на момент дії.
  • Метод – вказує на метод автентифікації, який використовується для входу. Інтерактивний означає ручну автентифікацію користувача. Це робить користувач. Неінтерактивний означає автоматичну автентифікацію користувача. Це зроблено для користувача.
3

Фільтруйте за активністю користувачів, певними датами, адресою електронної пошти, IP-адресою або сервісом, щоб звузити результати пошуку.