Einrichten und Starten von Live Response

Mit Live Response können Sie eine Verbindung zu Geräten herstellen, um mögliche Sicherheitsprobleme zu untersuchen und zu beheben.

Mit Live Response können Sie verdächtige Prozesse beenden, Geräte mit ausstehenden Updates neu starten, Ordner durchsuchen, Dateien löschen und vieles mehr.

Diese Seite beschreibt Folgendes:

  • Aktivieren von Live Response und Festlegen, mit welchen Geräten eine Verbindung hergestellt werden kann.
    Anmerkung Sie müssen Live Response für Computer und Server separat aktivieren.
  • Starten einer Live Response-Sitzung.
  • Überwachen der allgemeinen Live Response-Aktivitäten.
  • Überwachen einer Live Response-Sitzung.

Aktivieren von Live Response für Computer

Einschränkung Zur Änderung der Einstellungen von Live Response müssen Sie ein Superadmin sein oder über eine benutzerdefinierte Rolle verfügen, die Live-Response-Einstellungen für Computer verwalten enthält. Siehe Administratoren Zugriff auf Live Response gewähren.

Verfahren Sie wie folgt, um Live Response zu aktivieren und festzulegen, mit welchen Computern eine Verbindung hergestellt werden kann:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Endpoint Protection > Live Response.
  2. Aktivieren Sie Live-Response-Verbindungen zu Computern erlauben.

    Standardmäßig kann Live Response eine Verbindung zu allen Computern herstellen.

  3. Um zu verhindern, dass Live Response eine Verbindung zu bestimmten Computern herstellt, rufen Sie Ausschlüsse auf, wählen Sie Computer in Verfügbar aus und verschieben Sie sie nach Ausgeschlossen.
  4. Klicken Sie auf Speichern.

Aktivieren von Live Response für Server

Einschränkung Zur Änderung der Einstellungen von Live Response müssen Sie ein Superadmin sein oder über eine benutzerdefinierte Rolle verfügen, die Live-Response-Einstellungen für Server verwalten enthält. Siehe Administratoren Zugriff auf Live Response gewähren.

Verfahren Sie wie folgt, um Live Response zu aktivieren und festzulegen, mit welchen Servern eine Verbindung hergestellt werden kann:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Server Protection > Live Response.
  2. Aktivieren Sie Live-Response-Verbindungen zu Servern erlauben.

    Standardmäßig kann Live Response eine Verbindung zu allen Servern herstellen.

  3. Um zu verhindern, dass Live Response eine Verbindung zu bestimmten Servern herstellt, rufen Sie Ausschlüsse auf, wählen Sie Server in Verfügbar aus und verschieben Sie sie nach Ausgeschlossen.

Starten einer Live Response-Sitzung

Einschränkung Zum Starten einer Live Response-Sitzung müssen Sie Superadmin sein oder eine benutzerdefinierte Rolle haben, die Sie zum Starten der Sitzung berechtigt. Außerdem müssen Sie sich mit mehrstufiger Authentifizierung anmelden. Wir empfehlen Ihnen, sich mit einer Sophos-ID anzumelden, da andere Methoden, wie z. B. eine Microsoft-Verbundanmeldung mit MFA, Ihnen möglicherweise keinen Zugriff auf Live Response ermöglichen. Siehe Administratoren Zugriff auf Live Response gewähren.

So starten Sie Live Response:

  1. Gehen Sie zu Geräte.
  2. Wählen Sie ein Gerät aus und klicken Sie darauf, um die Seite mit den Details aufzurufen.
  3. Klicken Sie links auf der Seite mit den Details auf Live Response.

    Eine Verbindung zum Computer wird in einem neuen Browser-Tab geöffnet. Auf dem Tab wird ein Terminal-Fenster angezeigt.

    Öffnet sich kein neuer Tab, hat Ihr Browser diesen möglicherweise blockiert. Konfigurieren Sie Ihren Browser, um ihn zuzulassen.

  4. Geben Sie an der Eingabeaufforderung Befehle ein, um Ihre Untersuchung oder Problembehebung durchzuführen.

    Verwenden Sie DOS-, UNIX- oder Linux-Befehle, je nachdem, mit welchem Computer, Sie verbunden sind.

  5. Wenn Sie fertig sind, klicken Sie auf Sitzung beenden. Die Verbindung wird ist geschlossen, obwohl der Tab geöffnet bleibt. Sie können von hier aus zu anderer Stellen in Sophos Central browsen.
    Die Verbindung wird ist geschlossen, obwohl der Tab geöffnet bleibt. Sie können von hier aus zu anderer Stellen in Sophos Central browsen.

Die Verbindung wird auch in folgenden Fällen geschlossen:

  • Sie schließen den Tab.
  • Sie aktualisieren den Tab.
  • Sie von hier aus zu anderer Stelle in Sophos Central browsen.
  • Es gibt 30 Minuten lang keine Aktivität.

„Live Response“-Aktivität überwachen

Um allgemeine Live Response-Aktivitäten anzuzeigen, rufen Sie das Audit-Protokoll auf.

  1. Gehen Sie zu Protokolle & Berichte.
  2. Klicken Sie unter Allgemeine Protokolle auf Audit-Protokolle.

Das Audit-Protokoll zeigt an, wann Sitzungen gestartet und beendet wurden, welcher Administrator die Sitzung gestartet hat, auf welches Gerät die Sitzung zugegriffen hat, sowie den „Zweck“, der beim Start der Sitzung angegeben wurde.

Um alle Details zu Sitzungen anzuzeigen, klicken Sie neben einem Protokolleintrag zum Start oder Ende einer Sitzung auf Audit-Protokolle der Sitzung anzeigen.

Überwachen einer Live Response-Sitzung

Um alle Details zu den Ereignissen in einer bestimmten Live Response-Sitzung anzuzeigen, rufen Sie das Sitzungsprotokoll auf.

Einschränkung Zum Abrufen von Audit-Protokollen müssen Sie ein Superadmin sein oder über eine benutzerdefinierte Rolle verfügen, die Live-Response-Einstellungen für Computer verwalten und Live-Response-Einstellungen für Server verwalten enthält.

Verfahren Sie zur Anzeige des Audit-Protokolls wie folgt:

  1. Gehen Sie zu Protokolle & Berichte.
  2. Klicken Sie unter Protokolle Endpoint & Server Protection auf Audit der Live-Response-Sitzung.
  3. Suchen Sie die gewünschte Sitzung und klicken Sie auf Sitzungsprotokoll herunterladen.
    Das Sitzungsprotokoll wird als komprimierte .gzip-Datei heruntergeladen.
  4. Extrahieren Sie die Datei und zeigen Sie sie an.

Das Audit-Protokoll zeigt die im Rahmen der Live Response-Sitzung eingegebenen Befehle an.