После включения параметра Разрешить данные аутентификации пользователей в Control Hub будут записаны данные входа и выхода пользователей. Их можно получить с помощью общедоступного API. После этого можно просматривать и анализировать данные в приложениях безопасности, таких как UEBA и SIEM, которые могут запускать свои алгоритмы машинного обучения для обнаружения подозрительного и вредоносного поведения, обнаружения векторов атак и идентификации скомпрометированных паролей.

Webex хранит данные в течение 12 месяцев.

Просмотр действий пользователей с помощью API Webex

Эта функция доступна только для клиентов с профессиональной версией Control Hub.
1

Войдите в Control Hub, затем в разделе Управление выберите Настройки организации.

2

В разделе Данные аутентификации пользователей включите параметр Разрешить данные аутентификации пользователей .

3

Для получения данных откройте раздел Показать список событий аудита безопасности.

Просмотр действий пользователей в Control Hub

Кроме того, в Control Hub можно просматривать и устранять неполадки, связанные со входом в систему и выходом.

1

Войдите в Control Hub и перейдите к меню Управление > Безопасность > Аудит.

2

Щелкните вкладку Действия по аутентификации .

Действия пользователей отображаются в следующих столбцах:
  • Состояние. Указывает, была ли попытка входа/выхода успешной или нет, например "Успех", "Сбой" и "Нет/нет". Обычно это происходит, когда пользователь выходит из системы и конфигурация SLO (единый выход) недоступна для IdP федерации.
  • Время. Метка времени, когда происходила активность входа или выхода.
  • Адрес электронной почты. Адрес электронной почты пользователя, который выполнил вход или вышел из системы.
  • Вход или выход — тип активности, которая была зарегистрирована.
  • Служба. Имя приложения, доступного пользователем, например Control Hub или Webex Teams для iOS. Оно представляет имя клиента OAuth, зарегистрированного на платформе удостоверений Webex разработчиком Cisco или партнером. Если отображается значение «Нет/Нет», это означает, что эта информация не сохраняется или не передается от поставщика удостоверений на платформу удостоверений Webex, поскольку она является частью SLO в SAML.
  • IP-адрес — IP-адрес пользователя во время активности.
  • Метод — указывает метод аутентификации, используемый для входа в систему. Интерактивная – это аутентификация пользователей вручную. Это делает пользователь. Неинтерактивный означает автоматическую аутентификацию пользователей. Это сделано для пользователя.
3

Для сужения результатов поиска используйте фильтры по активности пользователей, определенным датам, адресу электронной почты, IP-адресу или службе.