После включения параметра Разрешить использование данных аутентификации пользователей в Control Hub выполняется вход пользователей в систему и выход из системы. Их можно получить через общедоступный API. Затем вы можете просматривать и анализировать данные в приложениях безопасности, таких как UEBA и SIEM, которые могут запускать свои алгоритмы машинного обучения для обнаружения подозрительного и вредоносного поведения, обнаружения векторов атак и идентификации взломанных паролей.

Webex хранит данные в течение 12 месяцев.

Просмотр действий пользователей с помощью API Webex

Эта функция доступна только клиентам с пакетом Профессиональный Pack для Control Hub.
1.

Войдите в Control Hub, затем в разделе Управление выберите Настройки организации.

2.

В разделе Данные аутентификации пользователей включите параметр Разрешить использование данных аутентификации пользователей.

3.

Перейти к Список событий аудита безопасности для получения данных.

Просмотр действий пользователей в Control Hub

Кроме того, можно просматривать действия при входе и выходе из системы в Control Hub, а также устранять неполадки при входе пользователей.

1.

Войдите в Control Hub и перейдите к Управление > Безопасность > Аудит.

2.

Перейдите на вкладку Действия аутентификации .

Действия пользователя отображаются в следующих столбцах:
  • Состояние — указывает, была ли попытка входа/выхода успешной или неуспешной, например «Успех», «Сбой» и «Н/д». N/A обычно возникает, когда пользователь выходит из системы и конфигурация SLO (Single Logout) недоступна в Federated IdPs.
  • Время — метка времени, когда происходило действие входа или выхода.
  • Адрес электронной почты — адрес электронной почты пользователя, который вошел или вышел из системы.
  • Вход/выход — тип активности, которая была выполнена в журнале.
  • Служба. Имя приложения, к которому обратился пользователь, например Control Hub или iOS Webex Teams. Оно представляет собой имя клиента OAuth, которое зарегистрировано на платформе удостоверений Webex разработчиком Cisco или разработчиком-партнером. Если отображается N/A, это означает, что эта информация не поддерживается и не передается с поставщика удостоверений на платформу удостоверений Webex, поскольку она является частью SLO в SAML.
  • IP-адрес — IP-адрес пользователя во время действия.
  • Метод — указывает метод аутентификации, используемый для входа в систему. Интерактивная означает ручную аутентификацию пользователя. Это делает пользователь. Неинтерактивная означает автоматическую аутентификацию пользователя. Это сделано для пользователя.
3.

Фильтрация по активности пользователя, конкретным датам, адресу электронной почты, IP-адресу или сервису, чтобы сузить результаты поиска.