Configurer et démarrer Live Response

Live Response vous permet de vous connecter aux appareils à analyser et à résoudre les éventuels problèmes de sécurité.

Grâce à Live Response, vous pouvez arrêter les processus suspects, redémarrer les appareils avec des mises à jour en attente, parcourir des dossiers, supprimer des fichiers, etc.

Cette page vous indique la marche à suivre :

  • Activer Live Response et indiquer les appareils auxquels il peut se connecter.
    Remarque : Vous devez activer Live Response pour les ordinateurs et les serveurs séparément.
  • Démarrer une session Live Response.
  • Auditer l’activité générale de Live Response.
  • Auditer une session Live Response.

Activer Live Response pour les ordinateurs

Restriction : Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs. Retrouvez plus de renseignements à la section Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response et indiquer les ordinateurs auxquels il peut se connecter, procédez comme suit :

  1. Allez dans Vue générale > Paramètres généraux > Endpoint Protection > Live Response.
  2. Activez Autoriser les connexions Live Response aux ordinateurs.

    Par défaut, Live Response peut se connecter à tous les ordinateurs.

  3. Pour empêcher Live Response de se connecter à des ordinateurs spécifiques, regardez sous Exclusions, sélectionnez les ordinateurs dans Disponible et déplacez-les vers Exclus.
  4. Cliquez sur Enregistrer.

Activer Live Response pour les serveurs

Restriction : Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les serveurs. Retrouvez plus de renseignements à la section Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response et indiquer les serveurs auxquels il peut se connecter, procédez comme suit :

  1. Allez dans Vue générale > Paramètres généraux > Server Protection > Live Response.
  2. Activez Autoriser les connexions Live Response aux serveurs.

    Par défaut, Live Response peut se connecter à tous les serveurs.

  3. Pour empêcher Live Response de se connecter à des serveurs spécifiques, regardez sous Exclusions, sélectionnez les serveurs dans Disponible et déplacez-les vers Exclus.

Démarrer une session Live Response

Restriction : Pour démarrer une session Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé vous autorisant à la démarrer. Vous devez également vous connecter avec l’authentification multifacteur. Nous vous recommandons de vous connecter avec un Sophos ID, car d’autres méthodes, telles que la connexion fédérée Microsoft avec l’authentification multifacteur, ne vous permettront peut-être pas d’accéder à Live Response. Retrouvez plus de renseignements à la section Donner l’accès à Live Response aux administrateurs.

Pour démarrer Live Response, procédez comme suit :

  1. Rendez-vous sur Appareils.
  2. Sélectionnez un appareil et cliquez dessus pour ouvrir sa page d’informations.
  3. Cliquez sur Live Response sur la partie gauche de la page d’informations.

    Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.

    Si le nouvel onglet ne s’ouvre pas, votre navigateur l’a peut-être bloqué. Configurez votre navigateur de façon à l’autoriser.

  4. À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.

    Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.

  5. Lorsque vous avez terminé, cliquez sur Terminer la session. La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.
    La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.

La connexion est également terminée dans les cas suivants :

  • Vous fermez l’onglet.
  • Vous actualisez l’onglet.
  • Vous naviguez dans Sophos Central à partir d’ici.
  • Il n’y a pas d’activité pendant 30 minutes.

Auditer l’activité Live Response

Pour afficher l’activité générale de Live Response, consultez le journal d’audit.

  1. Rendez-vous sur Journaux et rapports.
  2. Sous Journaux généraux, cliquez sur Journaux d’audit.

Le journal d’audit indique l’heure de début et de fin des sessions, l’identité de l’administrateur qui les a démarrées, l’appareil auquel la session a accédé et le « but » donné lors du démarrage de la session.

Pour afficher tous les détails des sessions, cliquez sur Voir les journaux d’audit de session correspondant à l’entrée de journal pour le début ou la fin d’une session.

Auditer une session Live Response

Retrouvez plus de renseignements sur ce qui s’est passé dans une session Live Response spécifique dans le journal d’audit de la session.

Restriction : Pour obtenir les journaux d’audit de session, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs et Gérer les paramètres Live Response pour les serveurs.

Pour afficher le journal d’audit, procédez comme suit :

  1. Rendez-vous sur Journaux et rapports.
  2. Sous Journaux Endpoint & Server Protection, cliquez sur Audit de session Live Response.
  3. Recherchez la session souhaitée et cliquez sur Télécharger le journal de la session.
    Le journal de la session est téléchargé sous forme de fichier compressé gzip.
  4. Procédez à l’extraction du fichier et consultez-le.

Le journal d’audit affiche les commandes saisies dans la session Live Response.