Zum Inhalt

Einrichten und Starten von Live Response

Mit Live Response können Sie eine Verbindung zu Geräten herstellen, um mögliche Sicherheitsprobleme zu untersuchen und zu beheben.

Mit Live Response können Sie verdächtige Prozesse beenden, Geräte mit ausstehenden Updates neu starten, Ordner durchsuchen, Dateien löschen und vieles mehr.

Diese Seite beschreibt Folgendes:

  • Aktivieren von Live Response und Festlegen, mit welchen Geräten eine Verbindung hergestellt werden kann.

    Hinweis

    Sie müssen Live Response für Computer und Server separat aktivieren.

  • Starten einer Live Response-Sitzung.

  • Überwachen der allgemeinen Live Response-Aktivitäten.
  • Überwachen einer Live Response-Sitzung.

Aktivieren von Live Response für Computer

Um Live-Response-Einstellungen zu ändern, müssen Sie ein Superadmin sein oder eine benutzerdefinierte Rolle haben, die Live-Response-Einstellungen für Computer verwalten enthält. Siehe Administratoren Zugriff auf Live Response gewähren.

Verfahren Sie wie folgt, um Live Response zu aktivieren und festzulegen, mit welchen Computern eine Verbindung hergestellt werden kann:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Endpoint Protection > Live Response.
  2. Aktivieren Sie die Option Live-Response-Verbindungen zu Computern erlauben.

    Standardmäßig kann Live Response eine Verbindung zu allen Computern herstellen.

  3. Um zu verhindern, dass Live Response eine Verbindung zu bestimmten Computern herstellt, rufen Sie Ausschlüsse auf, wählen Sie Computer in Verfügbar aus und verschieben Sie sie nach Ausgeschlossen.

  4. Klicken Sie auf Speichern.

Aktivieren von Live Response für Server

Um Live-Response-Einstellungen zu ändern, müssen Sie ein Superadmin sein oder eine benutzerdefinierte Rolle haben, die Live-Response-Einstellungen für Server verwalten enthält. Siehe Administratoren Zugriff auf Live Response gewähren.

Verfahren Sie wie folgt, um Live Response zu aktivieren und festzulegen, mit welchen Servern eine Verbindung hergestellt werden kann:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Manipulationsschutz > Server Protection > Live Response.
  2. Aktivieren Sie die Option Live-Response-Verbindungen zu Servern erlauben.

    Standardmäßig kann Live Response eine Verbindung zu allen Servern herstellen.

  3. Um zu verhindern, dass Live Response eine Verbindung zu bestimmten Servern herstellt, rufen Sie Ausschlüsse auf, wählen Sie Server in Verfügbar aus und verschieben Sie sie nach Ausgeschlossen.

Starten einer Live Response-Sitzung

Zum Starten einer Live Response-Sitzung müssen Sie Superadmin sein oder eine benutzerdefinierte Rolle haben, die Sie zum Starten der Sitzung berechtigt. Siehe Administratoren Zugriff auf Live Response gewähren.

Wenn Sie eine Verbundanmeldung von einem unterstützten Identitätsanbieter verwenden, der MFA-Herausforderungen durchsetzt, können Sie Sophos Central MFA-Herausforderungen beim Starten einer Live Response-Sitzung vermeiden. Aktivieren Sie dazu die Option Vom IdP erzwungene MFA. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Verbund-Identitätsanbieter. Siehe Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).

Live Response starten

So starten Sie Live Response:

  1. Gehen Sie zu Geräte.
  2. Wählen Sie ein Gerät aus und klicken Sie darauf, um die Seite mit den Details aufzurufen.
  3. Klicken Sie links auf der Seite mit den Details auf Live Response.

    Eine Verbindung zum Computer wird in einem neuen Browser-Tab geöffnet. Auf dem Tab wird ein Terminal-Fenster angezeigt.

    Öffnet sich kein neuer Tab, hat Ihr Browser diesen möglicherweise blockiert. Konfigurieren Sie Ihren Browser, um ihn zuzulassen.

  4. Geben Sie an der Eingabeaufforderung Befehle ein, um Ihre Untersuchung oder Problembehebung durchzuführen.

    Verwenden Sie DOS-, UNIX- oder Linux-Befehle, je nachdem, mit welchem Computer, Sie verbunden sind.

  5. Wenn Sie fertig sind, klicken Sie auf Sitzung beenden. Die Verbindung wird ist geschlossen, obwohl der Tab geöffnet bleibt. Sie können von hier aus zu anderer Stellen in Sophos Central browsen. Die Verbindung wird ist geschlossen, obwohl der Tab geöffnet bleibt. Sie können von hier aus zu anderer Stellen in Sophos Central browsen.

Die Verbindung wird auch in folgenden Fällen geschlossen:

  • Sie schließen den Tab.
  • Sie aktualisieren den Tab.
  • Sie von hier aus zu anderer Stelle in Sophos Central browsen.
  • Es gibt 30 Minuten lang keine Aktivität.

„Live Response“-Aktivität überwachen

Um allgemeine Live Response-Aktivitäten anzuzeigen, rufen Sie das Audit-Protokoll auf.

  1. Gehen Sie zu Berichte > Protokolle.
  2. Klicken Sie unter Allgemeine Protokolle auf Überwachungsprotokolle.

Das Audit-Protokoll zeigt an, wann Sitzungen gestartet und beendet wurden, welcher Administrator die Sitzung gestartet hat, auf welches Gerät die Sitzung zugegriffen hat, sowie den „Zweck“, der beim Start der Sitzung angegeben wurde.

Um alle Details zu Sitzungen anzuzeigen, klicken Sie neben einem Protokolleintrag zum Start oder Ende einer Sitzung auf Audit-Protokolle der Sitzung anzeigen.

Überwachen einer Live Response-Sitzung

Um alle Details zu den Ereignissen in einer bestimmten Live Response-Sitzung anzuzeigen, rufen Sie das Sitzungsprotokoll auf.

Einschränkung

Um Überwachungsprotokolle der Sitzung herunterzuladen, müssen Sie ein Super-Admin sein oder eine Rolle haben, die Live-Response-Einstellungen für Computer verwalten und Live-Response-Einstellungen für Server verwalten enthält.

Verfahren Sie zur Anzeige des Audit-Protokolls wie folgt:

  1. Gehen Sie zu Berichte > Protokolle.
  2. Klicken Sie unter Protokolle Endpoint & Server Protection auf Audit der Live-Response-Sitzung.
  3. Suchen Sie die gewünschte Sitzung und klicken Sie auf Sitzungsprotokoll herunterladen. Das Sitzungsprotokoll wird als gzip-komprimierte Datei heruntergeladen.
  4. Extrahieren Sie die Datei und zeigen Sie sie an.

Das Audit-Protokoll zeigt die im Rahmen der Live Response-Sitzung eingegebenen Befehle an.