Після перемикання Дозволити дані автентифікації користувачів у Control Hub, вхід і вихід користувачів реєструються, і їх можна отримати за допомогою загальнодоступний API . Потім ви можете переглядати та аналізувати дані в програмах безпеки, таких як UEBA та SIEM, які можуть запускати свої алгоритми машинного навчання, щоб виявляти підозрілу та шкідливу поведінку, виявляти вектори атак та ідентифікувати скомпрометовані паролі.

Webex зберігає дані протягом 12 місяців.

Перегляд дій користувачів через Webex API

Ця функція доступна лише клієнтам з Pro Pack для Control Hub.
1.

Увійдіть до Control Hub, а потім виберіть Налаштування організації в розділі Керування.

2.

У Дані автентифікації користувача розділ, перемикач Дозволити дані автентифікації користувачів увімкнено.

3.

Перейдіть до списку подій аудиту безпеки, щоб отримати дані.

Перегляд дій користувачів у Control Hub

Ви також можете переглядати та вирішувати проблеми з входом для користувачів, переглянувши їхні дії щодо входу та виходу в Control Hub.

1.

Увійти в Control Hub і перейдіть до Керування > Безпека > Аудит .

2.

Клацніть Дії з автентифікації вкладка.

Діяльність користувача відображається в таких стовпцях:
  • Стан — указує, чи була успішна спроба входу в систему/виходу, наприклад успішна, помилка та немає. Н/З зазвичай відбувається, коли користувач виходить із системи й конфігурація SLO (єдиний вихід) недоступна для об’єднаних IdP.
  • Час — відмітка часу, коли відбулася активність входу або виходу.
  • Адреса електронної пошти — адреса електронної пошти користувача, який виконав вхід або вийшов із системи.
  • Увійти/вийти — тип дій, які було зареєстровано.
  • Служба — ім’я застосунку, до якого отримав доступ користувач, як-от Control Hub або Webex Teams iOS. Він представляє ім’я клієнта OAuth, яке зареєстроване на платформі ідентифікації Webex розробником або партнером Cisco. Якщо відображається значення N/A, це означає, що ця інформація не обслуговується або не передається від IdP до платформи ідентифікації Webex, оскільки вона є частиною SLO в SAML.
  • IP-адреса — IP-адреса користувача на момент дії.
  • Метод — вказує метод автентифікації, що використовується для входу. Інтерактивне стосується автентифікації користувача вручну. Це робить користувач. Неінтерактивний стосується автоматичної автентифікації користувача. Це зроблено для користувача.
3.

Виконайте фільтр за активністю користувача, конкретними датами, адресою електронної пошти, IP-адресою або службою, щоб звузити результати пошуку.