Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=Live-Response

Configurar e iniciar Live Response

Live Response le permite conectar dispositivos para investigar y solucionar posibles problemas de seguridad.

Con Live Response, puede detener procesos sospechosos, reiniciar dispositivos con actualizaciones pendientes, examinar carpetas, eliminar archivos y mucho más.

En esta página se explica cómo hacer lo siguiente:

  • Activar Live Response y especificar a qué dispositivos puede conectarse.

    Nota

    Debe activar Live Response para equipos y servidores por separado.

  • Iniciar una sesión de Live Response.

  • Auditar la actividad general de Live Response.
  • Auditar una sesión de Live Response.

Activar Live Response para ordenadores

Para modificar la configuración de Live Response, debe ser un superadministrador o tener una función personalizada que incluya Administrar configuración de Live Response para ordenadores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response y especificar a qué ordenadores puede conectarse, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general > Endpoint Protection > Live Response.

  2. Active Permitir conexiones de Live Response a ordenadores.

    De forma predeterminada, Live Response puede conectarse a todos los equipos.

  3. Para evitar que Live Response se conecte a ordenadores específicos, mire en Exclusiones, seleccione ordenadores en Disponible y muévalos a Excluidos.

  4. Haga clic en Guardar.

Activar Live Response para servidores

Para modificar la configuración de Live Response, debe ser un superadministrador o tener una función personalizada que incluya Administrar configuración de Live Response para servidores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response y especificar a qué servidores puede conectarse, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general > Server Protection > Live Response.

  2. Active Permitir conexiones de Live Response a servidores.

    De forma predeterminada, Live Response puede conectarse a todos los servidores.

  3. Para evitar que Live Response se conecte a servidores específicos, mire en Exclusiones, seleccione servidores en Disponible y muévalos a Excluidos.

Iniciar una sesión de Live Response

Para iniciar una sesión de Live Response, debe ser superadministrador o tener un rol personalizado que le permita iniciarlo. Consulte Dar a los administradores acceso a Live Response.

Si utiliza el inicio de sesión federado con un proveedor de identidad compatible que aplica los desafíos de MFA, puede evitar los desafíos de MFA de Sophos Central al iniciar una sesión de Live Response. Para ello, active la opción El proveedor de identidad ha aplicado la autenticación multifactor. Vaya a Mis productos > Configuración general > Proveedores de identidad federados. Consulte Añadir el proveedor de identidad (Entra ID/Open IDC/ADFS).

Iniciar Live Response

Para iniciar Live Response, haga lo siguiente:

  1. Vaya a Dispositivos.
  2. Seleccione un dispositivo y haga clic en él para abrir la página de detalles.

  3. A la izquierda de la página de detalles, haga clic en Live Response.

    Se abre una conexión con el ordenador en otra pestaña del explorador. La pestaña muestra una ventana de terminal.

    Si la nueva pestaña no se abre, es posible que su navegador la haya bloqueado. Configure su navegador para que la permita.

  4. En la línea de comandos, introduzca los comandos para realizar la investigación o corrección.

    Utilice comandos de DOS, UNIX o Linux en función del ordenador al que se haya conectado.

  5. Cuando termine, haga clic en Finalizar sesión. La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí. La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí.

La conexión también se cierra en los siguientes casos:

  • Cierra la pestaña.
  • La pestaña se actualiza.
  • Busca en cualquier otro lugar de Sophos Central desde aquí.
  • No hay actividad durante 30 minutos.

Auditar la actividad de Live Response

Para ver la actividad general de Live Response, consulte el registro de auditoría.

  1. Vaya a Informes > Registros.
  2. En Registros generales, haga clic en Registros de auditoría.

El registro de auditoría muestra cuándo se iniciaron y finalizaron las sesiones, el administrador que inició la sesión, el dispositivo al que accedió la sesión y el "propósito" dado cuando se inició la sesión.

Para ver todos los detalles de las sesiones, haga clic en Consulte los registros de auditoría de la sesión junto a una entrada de registro para el inicio o el final de una sesión.

Auditar una sesión de Live Response

Para ver todos los detalles de lo que ocurrido en una sesión específica de Live Response, consulte el registro de auditoría de la sesión.

Restricción

Para obtener los registros de auditoría de la sesión, debe ser superadministrador o tener un rol personalizado que incluya Administrar configuración de Live Response para ordenadores y Administrar configuración de Live Response para servidores.

Para ver el registro de auditoría, haga lo siguiente:

  1. Vaya a Informes > Registros.
  2. En Registros de Endpoint & Server Protection, haga clic en Auditoría de sesiones de Live Response.
  3. Busque la sesión que desee y haga clic en Descargar registro de sesiones. El registro de sesión se descarga como un archivo comprimido gzip.
  4. Extraiga el archivo y ábralo.

El registro de auditoría muestra los comandos introducidos en la sesión de Live Response.