Resumen de ordenador

La ficha Resumen en la página de detalles de un ordenador ofrece la siguiente información.

Las secciones que vea dependen de su licencia y de las funciones que haya configurado.

Estado de seguridad

En el panel de la izquierda, puede ver el estado de seguridad y tomar medidas.

Nota El panel izquierdo siempre se muestra, incluso cuando se hace clic en otras fichas de la página.

Un icono muestra si el ordenador tiene alertas de seguridad:

Icono

Descripción

Marca de verificación verde

Marca de verificación verde si hay alertas de baja prioridad o no hay alertas.

Señal de aviso naranja

Señal de aviso naranja para alertas de prioridad media.

Señal de aviso roja

Señal de aviso roja para alertas de prioridad alta.

Acciones que puede hacer

Los botones de acción se encuentran en el panel izquierdo.

Actualizar: Esta opción actualiza su equipo con el software más reciente de Sophos.

Eliminar: Esto elimina el ordenador de Sophos Central. También elimina las alertas asociadas al ordenador.
Aviso Debe desinstalar el software de Sophos antes de eliminar un ordenador.

Aislar: Esta opción aísla el equipo de la red.

Live Response (Beta): Esto le permite conectarse al ordenador para investigar y solucionar posibles problemas de seguridad.

Cambiar grupo: Esta opción permite añadirlo a un grupo, moverlo a otro grupo o eliminarlo de su grupo actual.

Escanear ahora: Esta opción escanea el ordenador en busca de amenazas.

El escaneado puede tardar algún tiempo. Cuando se haya completado, se mostrará un evento "Escaneado completado" y cualquier evento de limpieza con éxito en la página Registros e informes > Eventos. Las alertas de limpiezas no realizadas correctamente se pueden ver en la página Alertas.

Si el ordenador está sin conexión, se escaneará cuando vuelva a estar conectado. Si ya hay un escaneado del ordenador en ejecución, la nueva solicitud de escaneado se ignora y el escaneado anterior continúa.

Diagnosis: Esta opción diagnostica posibles problemas con el ordenador.

Crear instantánea forense: La instantánea recibe datos de un registro de Sophos de la actividad del dispositivo y lo guarda en ese dispositivo. También puede guardarlo en el bucket de Amazon Web Services (AWS) S3 que especifique. Luego puede realizar su análisis.

Aislar o quitar del aislamiento

Esta opción está disponible si tiene Intercept X Advanced with EDR.

Aislar aísla el equipo de la red. Puede ser conveniente hacerlo si presenta posibles amenazas de seguridad. Puede seguir administrando el ordenador desde Sophos Central y quitarlo del aislamiento en cualquier momento.

Cuando se aísla un equipo, aparece lo siguiente en el icono del equipo y en el estado de seguridad.

  • El mensaje Aislado por el administrador.
  • Un enlace etiquetado como Quitar de aislamiento. Haga clic en él para volver a conectar el ordenador a la red.
Nota Si el equipo ya se ha aislado automáticamente a sí mismo, no verá la opción Aislar. Consulte Aislamiento del dispositivo en Directiva de protección contra amenazas.

Live Response (Beta)

Esta opción solo está disponible si es superadministrador o tiene un rol personalizado que incluye Iniciar sesiones de Live Response en ordenadores y ha iniciado sesión mediante la autenticación multifactor. Además, debe activar Permitir conexiones de Live Response a ordenadores en Configuración global. Consulte Live Response para dispositivos.

Esta opción le permite conectarse al ordenador para investigar y solucionar posibles problemas de seguridad. Puede ser conveniente hacerlo si hay una infección o actividad sospechosa en el ordenador. Puede conectarse al ordenador aunque esté aislado. Para conectarse al ordenador, haga lo siguiente:

  1. Haga clic en Live Response (Beta).
  2. En Propósito de la sesión, describa brevemente el propósito de la sesión.
  3. Haga clic en Iniciar.

    Se abre una conexión con el ordenador en otra pestaña del explorador. La pestaña muestra una ventana de terminal.

  4. En la línea de comandos, introduzca los comandos para realizar la investigación o corrección.

    Utilice comandos de DOS, UNIX o Linux en función del ordenador al que se haya conectado.

  5. Cuando termine, haga clic en Finalizar sesión.

    La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí.

    La conexión también se cierra en los siguientes casos:

    • Cierra la pestaña.
    • La pestaña se actualiza.
    • Busca en cualquier otro lugar de Sophos Central desde aquí.
    • No hay actividad durante 30 minutos.

Para ver qué sesiones de Live Response se han iniciado o finalizado, consulte el registro de auditoría de Sophos Central.

Crear instantánea forense

Puede crear una "instantánea forense" de los datos del dispositivo. La instantánea recibe datos de un registro de Sophos de la actividad del dispositivo y lo guarda en ese dispositivo. También puede guardarlo en el bucket de Amazon Web Services (AWS) S3 que especifique. Luego puede realizar su análisis.

Necesitará un conversor (que proporciona Sophos) para leer los datos.

Nota Puede configurar cuántos datos desea en sus instantáneas y dónde quiere colocarlas. Para ello, vaya a Configuración global > Instantáneas forenses. Es posible que estas opciones aún no estén disponibles para todos los clientes.

Para crear una instantánea:

  1. Vaya a la ficha Analizar de un caso de amenaza.

    También puede abrir la ficha Estado en la página de detalles del dispositivo.

  2. Haga clic en Crear instantánea forense.
  3. Siga los pasos descritos en Cargar una instantánea forense en un bucket de AWS S3 .

Encontrará las instantáneas generadas en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Las instantáneas generadas a partir de detecciones se encuentran en %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Nota Debe ser administrador con acceso a la contraseña de protección contra manipulación y ejecutar un acceso como administrador mediante la línea de comandos para acceder a las instantáneas guardadas.

Eventos recientes

Enumeración de los eventos recientes en el ordenador. Para una lista completa, haga clic en la ficha Eventos.

Los iconos indican el agente de Sophos que ha informado de cada evento. Sitúe el cursor sobre un icono para ver lo que significa.

Resumen del agente

El agente para estaciones de trabajo ofrece protección contra amenazas y otras funciones como control de periféricos, control de aplicaciones y control web.

El resumen muestra los datos siguientes. También incluye enlaces para actualizar el equipo, instalar productos o cambiar el grupo en el que se encuentra el equipo, según sea necesario.

  • Última actividad: Muestra cuándo ha ocurrido la última actividad.
  • Última actualización del agente: Muestra si el ordenador está actualizado.
  • Productos asignados: Muestra los productos de Sophos instalados (por ejemplo, Intercept X o Device Encryption). Muestra la licencia y el número de versión de cada producto instalado. La información de versión solo está disponible para equipos Windows.
  • Versiones de componentes instaladas: Haga clic aquí para ver una lista completa de los componentes de Sophos y sus números de versión. Esta función solo está disponible para equipos Windows.
  • Grupo: Muestra el grupo al que pertenece el ordenador (si procede).

Device Encryption

Device Encryption le permite gestionar el Cifrado de unidad BitLocker en equipos Windows y el cifrado FileVault en ordenadores Mac.

Este resumen muestra:

  • Todos los volúmenes del ordenador.
  • El ID de volumen para cada uno.
  • El estado de cifrado.
  • El tipo de autenticación.
  • El método de cifrado.

Para equipos Windows, puede ver Cifrado desde. La información mostrada depende del dispositivo.

  • Para los equipos ya cifrados con Sophos Central Device Encryption, muestra la fecha y la hora en que el ordenador se actualizó a la versión 2.1 de Sophos Central Device Encryption.
  • Para los equipos cifrados con otro producto de cifrado, muestra la fecha y la hora en que se instaló Sophos Central Device Encryption.
  • Para los equipos nuevos cifrados con Sophos Central Encryption 2.1 (o posterior), muestra la fecha y la hora del cifrado.

Los volúmenes pueden cifrarse con cifrado basado en software o en hardware. Device Encryption siempre utiliza el cifrado basado en software para nuevos volúmenes, aunque la unidad admita el cifrado basado en hardware.

Si una unidad está cifrada con el cifrado basado en hardware, no se cambia.

Si la configuración de una política de grupo de BitLocker requiere cifrado basado en hardware, se utiliza.

Recuperar clave de recuperación

Desde aquí también se puede obtener una clave de recuperación. Puede utilizarla para desbloquear el ordenador si el usuario olvida sus credenciales de inicio de sesión.

Activar cambio de contraseña/PIN

Esta opción requiere que los usuarios cambien inmediatamente su contraseña o PIN de BitLocker. Se muestra un mensaje cuando la solicitud se ha enviado correctamente.

En la estación de trabajo, el sistema pide a los usuarios que establezcan una nueva contraseña o PIN de BitLocker. Si los usuarios cierran el cuadro de diálogo sin introducir una nueva contraseña o PIN, el cuadro de diálogo se vuelve a mostrar al cabo de 30 segundos. Esto se detiene cuando se introduce una nueva contraseña o PIN. Después de que los usuarios hayan cerrado el cuadro de diálogo cinco veces sin cambiar la contraseña o el PIN, se registra una alerta.

Resumen de puerta de enlace avanzada

Sophos Web Gateway ofrece protección avanzada frente a una navegación web peligrosa o inapropiada.

El resumen muestra la actividad más reciente en la red. También muestra la versión del agente para la puerta de enlace a Internet y si está actualizado.

Si necesita actualizarlo, se mostrará el botón Actualizar.

Protección contra manipulaciones

Muestra si la protección contra manipulaciones está activada o no.

Cuando la protección contra manipulaciones está activada, los administradores locales no pueden realizar ninguno de los siguientes cambios en sus ordenadores. Necesitan la contraseña necesaria:

  • Cambiar la configuración del escaneado en acceso, la detección de comportamiento sospechoso (HIPS), la protección web ni la protección activa de Sophos.
  • Desactivar la protección contra manipulaciones.
  • Desinstalar el software del agente de Sophos.

Haga clic en Desactivar protección contra manipulaciones para administrar la contraseña de protección contra manipulaciones para el ordenador. Si la protección contra manipulaciones está desactivada, le recomendamos que la active.

Caché de actualización y repetidor de mensajes

La caché de actualización de Sophos permite a sus equipos obtener sus actualizaciones de Sophos Central desde una caché de un servidor en su red, en vez de directamente de Sophos. También puede designar servidores para que se comuniquen con Sophos Central como repetidores de mensajes.

Esto muestra que se ha configurado una caché para el ordenador. Muestra qué servidor se está utilizando.

Firewall de Windows

El Firewall de Windows está activo y se está administrando en el ordenador. También muestra:

  • Si se está utilizando la Directiva de grupo de Windows.
  • Los perfiles de red activos.
  • Si hay otros firewalls registrados que estén instalados y activos.