Computer-Übersicht

Auf dem Tab Zusammenfassung auf der Detailseite eines Computers sehen Sie die folgenden Informationen.

Welche Abschnitte Sie sehen, hängt von Ihrer Lizenz und den von Ihnen eingerichteten Funktionen ab.

Sicherheitsstatus

Links sehen Sie den Sicherheitsstatus und welche Maßnahmen Sie ergreifen können.

Anmerkung Der linke Fensterbereich wird immer angezeigt, auch wenn Sie auf andere Tabs auf dieser Seite klicken.

Über ein Symbol wird angezeigt, ob für den Computer Sicherheitshinweise vorliegen.

Symbol

Beschreibung

Grünes Häkchen

Grünes Häkchen, wenn Warnhinweise mit niedriger Priorität oder keine Warnhinweise vorliegen.

Oranges Warnschild

Orangefarbenes Warnsymbol: Warnhinweise mit mittlerer Priorität.

Rotes Warnschild

Rotes Warnsymbol: Warnhinweise mit hoher Priorität.

Durchführbare Aktionen

Die Schaltflächen der Aktionen befinden sich im linken Fensterbereich.

Aktualisieren: Dadurch wird Ihr Computer mit der neuesten Sophos-Software aktualisiert.

Löschen: Der Computer wird aus Sophos Central gelöscht. Außerdem werden zum Computer gehörige Warnhinweise gelöscht.
Warnung Vor dem Löschen eines Computers muss die Sophos-Software deinstalliert werden.

Isolieren: Der Computer wird vom Netzwerk isoliert.

Live Response (Beta): Auf diese Weise können Sie eine Verbindung zum Computer herstellen, um mögliche Sicherheitsprobleme zu untersuchen und zu beheben.

Gruppe ändern: So können Sie ihn zu einer Gruppe hinzufügen, in eine andere Gruppe verschieben oder ihn aus der aktuellen Gruppe entfernen.

Jetzt scannen: Der Computer wird auf Bedrohungen geprüft.

Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle & Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Warnhinweise einen Warnhinweis.

Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt.

Diagnose: Dadurch werden potenzielle Probleme am Computer diagnostiziert.

Forensischen Snapshot erzeugen: So rufen Sie Daten aus einem Sophos-Protokoll über die Geräteaktivität ab und speichern sie auf diesem Computer. Sie können ihn auch im von Ihnen angegebenen Amazon Web Services (AWS) S3-Bucket speichern. Sie können dann Ihre Analyse durchführen.

Isolieren oder Isolation aufheben

Diese Option ist verfügbar, wenn Sie Intercept X Advanced with EDR verwenden.

Der Computer wird mit Isolieren vom Netzwerk isoliert. Möglicherweise möchten Sie dies tun, wenn potenzielle Bedrohungen darauf gefunden wurden. Sie können den Computer immer noch über Sophos Central verwalten und ihn jederzeit aus der Isolation entfernen.

Wenn ein Computer isoliert ist, sehen Sie Folgendes unter dem Computersymbol und dem Sicherheitsstatus.

  • Die Nachricht Isoliert vom Admin.
  • Ein Link mit der Bezeichnung Aus der Isolation entfernen. Klicken Sie darauf, um den Computer wieder mit dem Netzwerk zu verbinden.
Anmerkung Sie sehen die Option Isolieren nicht, wenn sich der Computer automatisch isoliert hat. Siehe Geräteisolation unter Threat Protection-Richtlinie.

Live Response (Beta)

Diese Option ist nur verfügbar, wenn Sie ein Superadmin sind oder eine Rolle haben, die Live-Response-Sitzungen auf Computern starten enthält, und wenn Sie sich mit mehrstufiger Authentifizierung angemeldet haben. Außerdem müssen Sie in Globale Einstellungen die Option Live-Response-Verbindungen zu Computern erlauben aktivieren. Siehe Live Response für Geräte.

Mit dieser Option können Sie eine Verbindung zum Computer herstellen, um mögliche Sicherheitsprobleme zu untersuchen und zu beheben. Sie können dies tun, wenn auf dem Computer eine Infektion oder verdächtige Aktivität festgestellt wird. Sie können einen Verbindung zu dem Computer herstellen, auch wenn er isoliert ist. Gehen Sie wie folgt vor, um eine Verbindung zum Computer herzustellen:

  1. Klicken Sie auf Live Response (Beta).
  2. Fassen Sie Ihre Sitzung in Zweck der Sitzung zusammen.
  3. Klicken Sie auf Start.

    Eine Verbindung zum Computer wird in einem neuen Browser-Tab geöffnet. Auf dem Tab wird ein Terminal-Fenster angezeigt.

  4. Geben Sie an der Eingabeaufforderung Befehle ein, um Ihre Untersuchung oder Problembehebung durchzuführen.

    Verwenden Sie DOS-, UNIX- oder Linux-Befehle, je nachdem, mit welchem Computer, Sie verbunden sind.

  5. Wenn Sie fertig sind, klicken Sie auf Sitzung beenden.

    Die Verbindung wird ist geschlossen, obwohl der Tab geöffnet bleibt. Sie können von hier aus zu anderer Stellen in Sophos Central browsen.

    Die Verbindung wird auch in folgenden Fällen geschlossen:

    • Sie schließen den Tab.
    • Sie aktualisieren den Tab.
    • Sie von hier aus zu anderer Stelle in Sophos Central browsen.
    • Es gibt 30 Minuten lang keine Aktivität.

Um zu sehen, welche Live Response-Sitzungen gestartet oder beendet wurden, sehen Sie sich das Audit-Protokoll von Sophos Central an.

Forensischen Snapshot erzeugen

Sie können auf dem Gerät einen „forensischen Snapshot“ der Daten erstellen. So rufen Sie Daten aus einem Sophos-Protokoll über die Geräteaktivität ab und speichern sie auf diesem Computer. Sie können ihn auch im von Ihnen angegebenen Amazon Web Services (AWS) S3-Bucket speichern. Sie können dann Ihre Analyse durchführen.

Sie benötigen einen Konverter (den wir zur Verfügung stellen), um die Daten lesen zu können.

Anmerkung Sie können auswählen, wie viele Daten Sie in Snapshots speichern möchten und wo sie hochgeladen werden sollen. Dazu gehen Sie zu Globale Einstellungen > Forensische Snapshots. Diese Optionen sind unter Umständen noch nicht für alle Kunden verfügbar.

So erstellen Sie einen Snapshot:

  1. Gehen Sie zum Tab Analysieren eines Bedrohungsfalls.

    Alternativ können Sie auf der Detailseite des Gerätes den Tab Status öffnen.

  2. Klicken Sie auf Forensischen Snapshot erzeugen.
  3. Führen Sie die Schritte unter Hochladen eines forensischen Snapshots in einen AWS S3-Bucket aus.

Die erstellten Snapshots finden Sie in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Snapshots, die aus Erkennungen generiert wurden, befinden sich in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Anmerkung Sie müssen Administrator mit Zugriff auf das Manipulationsschutz-Kennwort sein und als Administrator eine Eingabeaufforderung ausführen, um auf die gespeicherten Snapshots zuzugreifen.

Neueste Events

Eine Liste der neuesten Ereignisse auf dem Computer. Eine vollständige Liste erhalten Sie, wenn Sie auf den Tab Ereignisse klicken.

Die Symbole zeigen, welcher Sophos-Agent die jeweiligen Ereignisse berichtet hat. Bewegen Sie den Mauszeiger über ein Symbol, um zu sehen was es bedeutet.

Agent-Übersicht

Der Endpoint-Agent bietet Schutz vor Bedrohungen und weitere Funktionen wie Kontrolle der Peripheriegeräte, von Anwendungen und der Webnutzung.

Die Übersicht zeigt folgende Details. Sie enthält außerdem Links, mit denen Sie den Computer aktualisieren, Produkte installieren oder die Gruppe, in der sich der Computer befindet, nach Bedarf ändern können.

  • Letzte Aktivität: Zeigt an, wann die letzte Aktivität stattgefunden hat.
  • Letzte Agent-Aktualisierung: Zeigt an, ob der Computer aktuell ist.
  • Zugewiesene Produkte: Zeigt, welche Sophos Produkte installiert sind (zum Beispiel Intercept X oder Device Encryption). Zeigt die Lizenz- und Versionsnummer für jedes installierte Produkt an. Diese Version ist nur für Windows Computer verfügbar.
  • Versionen der installierten Komponenten: Klicken Sie, um eine vollständige Liste der Sophos Komponenten und deren Versionsnummern zu sehen. Dies ist nur für Windows Computer verfügbar.
  • Gruppe: Zeigt die Gruppe an, zu welcher der Computer gehört (falls zutreffend).

Device Encryption

Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern und FileVault auf Macs zu verwalten.

Diese Zusammenfassung zeigt:

  • Alle Laufwerke des Computers.
  • Die Laufwerks -ID für jedes Laufwerks.
  • Den Verschlüsselungsstatus.
  • Den Authentifizierungstyp.
  • Die Verschlüsselungsmethode.

Für Windows-Computer wird Verschlüsselt seit angezeigt. Welche Information angezeigt wird, hängt vom Gerät ab.

  • Für Computer, die vorher mit Sophos Central Device Encryption verschlüsselt waren, werden Datum und Uhrzeit des Upgrades auf Sophos Central Device Encryption 2.1 angezeigt.
  • Für Computer, die vorher mit einer anderen Verschlüsselungssoftware verschlüsselt waren, werden Datum und Uhrzeit der Installation von Sophos Central Device Encryption angezeigt.
  • Für neue mit Sophos Central Device Encryption 2.1 (oder später) verschlüsselte Computer werden Datum und Uhrzeit der Verschlüsselung angezeigt.

Volumes können mit Software-basierter oder Hardware-basierter Verschlüsselung verschlüsselt werden. Device Encryption verwendet für neue Volumes immer Software-basierte Verschlüsselung, auch wenn das Laufwerk Hardware-basierte Verschlüsselung unterstützt.

Wenn ein Laufwerk mit Hardware-basierter Verschlüsselung verschlüsselt ist, wird diese nicht geändert.

Wenn eine BitLocker-Gruppenrichtlinien Die Hardware-basierte Verschlüsselung vorschreibt, wird diese verwendet.

Wiederherstellungsschlüssel abrufen

Hier können Sie auch einen Wiederherstellungsschlüssel abrufen. Dieser kann zum Entsperren eines Computers verwendet werden, wenn Benutzer ihre Anmeldedaten nicht mehr kennen.

Änderung des Passworts/der PIN auslösen

Mit dieser Option können Benutzer aufgefordert werden, ihr BitLocker-Kennwort oder ihre BitLocker-PIN sofort zu ändern. Eine Nachricht wird angezeigt, wenn die Aufforderung erfolgreich gesendet wurde.

Auf dem Endpoint werden Benutzer aufgefordert, ein neues BitLocker-Kennwort oder eine neue BitLocker-PIN festzulegen. Wenn Benutzer den Dialog schließen, ohne ein neues Kennwort oder eine neue PIN einzugeben, wird der Dialog nach 30 Sekunden erneut angezeigt. Dieser Vorgang wird beendet, wenn ein neues Kennwort oder eine neue PIN eingegeben wird. Nachdem Benutzer den Dialog fünfmal geschlossen haben, ohne das Kennwort oder die PIN zu ändern, wird ein Warnhinweis protokolliert.

Übersicht Web-Gateway

Sophos Web-Gateway bietet erweiterten Schutz vor riskantem oder unangemessenem Browsingverhalten.

In der Übersicht wird die letzte Netzwerkaktivität angezeigt. Außerdem sehen Sie die Version des Web Gateway-Agents (und ob dieser aktuell ist).

Wenn Sie den Web Gateway-Agent aktualisieren müssen, erscheint die Schaltfläche Aktualisieren.

Manipulationsschutz

Zeigt an, ob der Manipulationsschutz aktiviert ist oder nicht.

Wenn der Manipulationsschutz aktiviert ist, kann ein lokaler Administrator keine der folgenden Änderungen auf dem Computer vornehmen. Sie müssen über das benötigte Kennwort verfügen:

  • Einstellungen für On-Access-Scans, die Erkennung von verdächtigem Verhalten (HIPS), Web Protection oder Sophos Live Protection ändern
  • den Manipulationsschutz deaktivieren
  • Deinstallieren Sie die Sophos Agent-Software.

Klicken Sie auf Deaktivieren des Manipulationsschutzes, um das Manipulationsschutz-Kennwort für den Computer zu verwalten. Wenn der Manipulationsschutz deaktiviert ist, empfehlen wir Ihnen, diesen zu aktivieren.

Update-Cache und Message Relay

Mit Sophos Update-Cache können Ihre Computer ihre Sophos Central-Updates aus einem Cache auf einem Server in Ihrem Netzwerk beziehen statt direkt von Sophos. Sie können auch Server festlegen, die als Message-Relays mit Sophos Central kommunizieren.

Dies zeigt an, dass für den Computer ein Cache eingerichtet wurde. Es wird angezeigt, welcher Server verwendet wird.

Windows Firewall

Windows Firewall ist aktiv und wird auf dem Computer verwaltet. Außerdem werden folgende Informationen angezeigt:

  • Ob die Windows-Gruppenrichtlinie verwendet wird.
  • Die aktiven Netzwerkprofile.
  • Ob andere registrierte Firewalls installiert und aktiv sind.