一旦您在 Control Hub 中切换为 允许用户身份验证数据 ,用户登录和注销就会被记录下来,并且可以通过 公共 API进行检索。然后,您可以在 UEBA 和 SIEM 等安全应用程序中查看和分析数据,这些应用程序可以运行其机器学习算法以发现可疑和恶意行为,检测攻击手段并识别泄露的密码。Webex 会将数据存储 12 个月。

了解并跟踪身份验证活动

Control Hub 中的 身份验证活动 选项卡跟踪交互式用户登录,用户在其中主动提供凭据,例如输入密码或完成多重身份验证。它不包括非交互式登录,例如自动访问令牌刷新。

请记住,每当生成访问令牌时,用户导出 CSV 中的 LastServiceAccessTime 都会更新,包括交互式和非交互式登录。最好将其视为用户上次访问服务时间的一般指标,而不是期望它直接匹配 身份验证活动 选项卡中的登录事件。

通过 Webex API 查看用户活动

此功能仅适用于使用 Pro Pack for Control Hub 的客户。

1

登录 Control Hub,然后在 管理下选择 组织设置

2

用户身份验证数据 部分中,将 允许用户身份验证数据 切换为开启。

3

转至列出安全审核事件以检索数据。

在 Control Hub 中查看用户活动

您还可以通过在 Control Hub 中查看用户的登录和注销活动来查看和解决用户的登录问题。

1

登录 Control Hub 并转到 管理 > 安全 > 审计

2

单击 身份验证活动 选项卡。

用户活动显示在以下列下:
  • 状态——指示 sign-in/sign-out 尝试是否成功,例如成功、失败和 N/A. N/A 通常发生在用户注销并且联合 IdP 中 SLO(单点注销)配置不可用时。
  • 时间——登录或注销活动发生的时间戳。
  • 电子邮件地址 - 登录或退出的用户的电子邮件地址。
  • 符号 in/sign out——记录的活动类型。
  • 服务 - 用户访问的应用程序的名称,例如 Control Hub 或 Webex Teams iOS。它代表由 Cisco 开发人员或合作伙伴开发人员注册到 Webex 身份平台的 OAuth 客户端名称。如果 N/A 显示时,表示此信息不会保留或从 IdP 传递到 Webex 身份平台,因为这是 SAML 中 SLO 的一部分。
  • IP 地址 — 活动发生时用户的 IP 地址。
  • 方法 — 表示用于登录的身份验证方法。交互式是指手动用户身份验证。这是由用户完成的。非交互式是指自动用户身份验证。这是为用户完成的。
3

按用户活动、具体日期、电子邮件地址、IP 地址或服务进行过滤,以缩小搜索结果。