Control Hub で [ユーザー認証データを許可] をオンにすると、ユーザーのサインインとサインアウトがログに記録され、パブリック API を通じて取得できます。その後、UEBA や SIEM などのセキュリティ アプリケーションでデータを表示して分析できます。これらのアプリケーションは機械学習アルゴリズムを実行して、不審かつ悪意のある動作を発見し、攻撃ベクトルを検出して、侵害されたパスワードを特定します。

Webex のデータは 12 か月間保存されます。

Webex API を通じてユーザー アクティビティを表示

この機能は Pro Pack for Control Hub を利用しているお客様のみが使用できます。
1

Control Hub にサインインし、[管理] から [組織設定] を選択します。

2

[ユーザー認証データ] セクションで、[ユーザー認証データを許可] をオンに切り替えます。

3

[セキュリティ監査イベントを一覧表示] に移動してデータを取得します。

Control Hub でユーザー アクティビティを表示

また、Control Hub でサインインとサインアウトのアクティビティを確認することで、ユーザーのサインインの問題を表示およびトラブルシューティングすることもできます。

1

Control Hub にサインインし、[管理] > [セキュリティ] > [監査] の順に選択します。

2

[認証アクティビティ] タブをクリックします。

ユーザー アクティビティは、次の列に表示されます。
  • ステータス - サインイン/サインアウトの試行が成功したかどうかを示します。成功、失敗、N/A など、サインイン/サインアウトの試行が成功したかどうかを示します。通常、ユーザがログアウトし、フェデレーション IDP で SLO(シングル ログアウト)構成が利用できない場合に発生します。
  • 時間—サインインまたはサインアウトアクティビティが発生したときのタイムスタンプ。
  • メール アドレス—サインインまたはサインアウトしたユーザーのメール アドレス。
  • サインイン/サインアウト - ログに記録されたアクティビティのタイプ。
  • サービス—Control Hub または Webex Teams iOS など、ユーザーがアクセスするアプリケーションの名前。これは、Cisco 開発者またはパートナー開発者によって Webex ID プラットフォームに登録されている OAuth クライアントの名前を表します。N/A が表示される場合、この情報は SAML の SLO の一部であるため、IdP から Webex アイデンティティ プラットフォームに渡されないことを意味します。
  • IP アドレス:アクティビティの時点でのユーザの IP アドレス。
  • [方法(Method)]:サインインに使用される認証方法を示します。Interactive とは、手動によるユーザー認証を指します。ユーザーが行います非インタラクティブとは、自動ユーザー認証を指します。それはユーザーのためです。
3

ユーザー アクティビティ、特定の日付、メール アドレス、IP アドレス、サービスによってフィルタリングし、検索結果を絞り込みます。