Configurar e iniciar Live Response

Live Response le permite conectar dispositivos para investigar y solucionar posibles problemas de seguridad.

Con Live Response, puede detener procesos sospechosos, reiniciar dispositivos con actualizaciones pendientes, examinar carpetas, eliminar archivos y mucho más.

En esta página se explica cómo hacer lo siguiente:

  • Activar Live Response y especificar a qué dispositivos puede conectarse.
    Nota Debe activar Live Response para equipos y servidores por separado.
  • Iniciar una sesión de Live Response.
  • Auditar la actividad general de Live Response.
  • Auditar una sesión de Live Response.

Activar Live Response para ordenadores

Restricción Para modificar la configuración de Live Response, debe ser un superadministrador o tener una función personalizada que incluya Administrar configuración de Live Response para ordenadores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response y especificar a qué ordenadores puede conectarse, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Endpoint Protection > Live Response.
  2. Active Permitir conexiones de Live Response a ordenadores.

    De forma predeterminada, Live Response puede conectarse a todos los equipos.

  3. Para evitar que Live Response se conecte a ordenadores específicos, mire en Exclusiones, seleccione ordenadores en Disponible y muévalos a Excluidos.
  4. Haga clic en Guardar.

Activar Live Response para servidores

Restricción Para modificar la configuración de Live Response, debe ser un superadministrador o tener una función personalizada que incluya Administrar configuración de Live Response para servidores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response y especificar a qué servidores puede conectarse, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Protección de servidores > Live Response.
  2. Active Permitir conexiones de Live Response a servidores.

    De forma predeterminada, Live Response puede conectarse a todos los servidores.

  3. Para evitar que Live Response se conecte a servidores específicos, mire en Exclusiones, seleccione servidores en Disponible y muévalos a Excluidos.

Iniciar una sesión de Live Response

Restricción Para iniciar una sesión de Live Response, debe ser superadministrador o tener un rol personalizado que le permita iniciarlo. También debe iniciar sesión con la autenticación multifactor (MFA). Recomendamos iniciar sesión con un Sophos ID, ya que otros métodos, como el inicio de sesión federado de Microsoft con MFA, podrían no permitirle acceder a Live Response. Consulte Dar a los administradores acceso a Live Response.

Para iniciar Live Response, haga lo siguiente:

  1. Vaya a Dispositivos.
  2. Seleccione un dispositivo y haga clic en él para abrir la página de detalles.
  3. A la izquierda de la página de detalles, haga clic en Live Response.

    Se abre una conexión con el ordenador en otra pestaña del explorador. La pestaña muestra una ventana de terminal.

    Si la nueva pestaña no se abre, es posible que su navegador la haya bloqueado. Configure su navegador para que la permita.

  4. En la línea de comandos, introduzca los comandos para realizar la investigación o corrección.

    Utilice comandos de DOS, UNIX o Linux en función del ordenador al que se haya conectado.

  5. Cuando termine, haga clic en Finalizar sesión. La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí.
    La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí.

La conexión también se cierra en los siguientes casos:

  • Cierra la pestaña.
  • La pestaña se actualiza.
  • Busca en cualquier otro lugar de Sophos Central desde aquí.
  • No hay actividad durante 30 minutos.

Auditar la actividad de Live Response

Para ver la actividad general de Live Response, consulte el registro de auditoría.

  1. Vaya a Registros e informes.
  2. En Registros generales, haga clic en Registros de auditoría.

El registro de auditoría muestra cuándo se iniciaron y finalizaron las sesiones, el administrador que inició la sesión, el dispositivo al que accedió la sesión y el "propósito" dado cuando se inició la sesión.

Para ver todos los detalles de las sesiones, haga clic en Consulte los registros de auditoría de la sesión junto a una entrada de registro para el inicio o el final de una sesión.

Auditar una sesión de Live Response

Para ver todos los detalles de lo que ocurrido en una sesión específica de Live Response, consulte el registro de auditoría de la sesión.

Restricción Para obtener los registros de auditoría de la sesión, debe ser superadministrador o tener un rol personalizado que incluya Administrar configuración de Live Response para ordenadores y Administrar configuración de Live Response para servidores.

Para ver el registro de auditoría, haga lo siguiente:

  1. Vaya a Registros e informes.
  2. En Registros de Endpoint & Server Protection, haga clic en Auditoría de sesiones de Live Response.
  3. Busque la sesión que desee y haga clic en Descargar registro de sesiones.
    El registro de sesión se descarga como un archivo comprimido gzip.
  4. Extraiga el archivo y ábralo.

El registro de auditoría muestra los comandos introducidos en la sesión de Live Response.