一旦您在 Control Hub 中切換為 允許使用者驗證資料 ,使用者登入和登出就會被記錄下來,並且可以透過 公共 API進行檢索。您隨後可以在安全應用程式(例如 UEBA 和 SIEM)中檢視和分析該資料,安全應用程式可以執行其機器學習演算法來探索可疑和惡意行為、偵測攻擊媒介以及識別遭洩漏的密碼。Webex 會將資料儲存 12 個月。

了解並追蹤身份驗證活動

Control Hub 中的 驗證活動 標籤追蹤互動式使用者登錄,使用者在其中主動提供憑證,例如輸入密碼或完成多重驗證。它不包括非互動式登錄,例如自動存取令牌刷新。

請記住,每當產生存取權杖時,使用者匯出 CSV 中的 LastServiceAccessTime 都會更新,包括互動式和非互動式登入。最好將其視為用戶上次訪問服務時間的一般指標,而不是期望它直接匹配 身份驗證活動 選項卡中的登入事件。

透過 Webex API 查看使用者活動

此功能僅適用於 Control Hub 的 Pro Pack 客戶。

1

登入 Control Hub,然後在 管理下選擇 組織設定

2

用戶身份驗證資料 部分中,將 允許用戶身份驗證資料 切換為開啟。

3

轉至列出安全稽核活動以擷取資料。

在 Control Hub 中查看使用者活動

您也可以透過在 Control Hub 中查看使用者的登入和登出活動來查看和解決使用者的登入問題。

1

登入 Control Hub 並前往 管理 > 安全 > 審計

2

按一下 身份驗證活動 標籤。

使用者活動顯示在以下列:
  • 狀態——指示 sign-in/sign-out 嘗試是否成功,例如成功、失敗和 N/A. N/A 通常發生在使用者登出且聯合 IdP 中 SLO(單點登出)配置不可用時。
  • 時間-登入或登出活動發生的時間戳記。
  • 電子郵件地址 - 登入或登出的使用者的電子郵件地址。
  • 符號 in/sign out——記錄的活動類型。
  • 服務 - 使用者存取的應用程式的名稱,例如 Control Hub 或 Webex Teams iOS。它代表由 Cisco 開發人員或合作夥伴開發人員註冊到 Webex 身分平台的 OAuth 用戶端名稱。如果 N/A 顯示時,表示此資訊不會保留或從 IdP 傳遞到 Webex 身分平台,因為這是 SAML 中 SLO 的一部分。
  • IP 位址 — 活動發生時使用者的 IP 位址。
  • 方法 — 表示用於登入的身份驗證方法。互動式是指手動使用者身份驗證。這是由使用者完成的。非互動式是指自動使用者身份驗證。這是為使用者完成的。
3

依使用者活動、具體日期、電子郵件地址、IP 位址或服務進行過濾,以縮小搜尋結果。