Riepilogo del computer

La scheda Riepilogo nella pagina dei dettagli di un computer mostra le seguenti informazioni.

Aprire Dispositivi e cliccare prima su Computer e successivamente sul computer per il quale si desidera visualizzare i dettagli.

Le sezioni visualizzate dipendono dal tipo di licenza di cui si è in possesso e dalle funzionalità impostate.

Stato di integrità della sicurezza

Nel riquadro sulla sinistra è possibile visualizzare lo stato di integrità della sicurezza e intraprendere azioni.

Nota

Il riquadro a sinistra è sempre visibile, anche quando si clicca su altre schede della pagina.

Un’icona indica se nel computer sono presenti avvisi di sicurezza:

Icona	Descrizione
	Simbolo di spunta verde, se non sono presenti avvisi, oppure se gli avvisi sono di priorità bassa.
	Simbolo di avviso arancione se sono presenti avvisi di priorità media.
	Simbolo di avviso rosso se sono presenti avvisi di priorità alta.

Azioni disponibili

È possibile intraprendere azioni sul computer utilizzando i pulsanti e i collegamenti nel riquadro a sinistra. Cliccare su Altre azioni per visualizzare l’elenco completo delle azioni.

Tutte le azioni sono descritte di seguito.

Isola o rimuovi dall'isolamento

Questa opzione è disponibile se è installata Intercept X Advanced with XDR.

Isola isola il computer dalla rete. Questa opzione può essere utile se vengono rilevate potenziali minacce sul computer. Il computer può continuare a essere gestito da Sophos Central e può essere rimosso dallo stato di isolamento in qualsiasi momento.

Quando un computer viene isolato, le seguenti informazioni compaiono sotto l'icona e lo stato di sicurezza del computer.

Il messaggio Isolato da un Amministratore.
Un link Rimuovi dall'isolamento. Cliccare su questo link per connettere nuovamente il computer alla rete.

Nota

L'opzione Isola non viene visualizzata se il computer si è già isolato automaticamente. Vedere Isolamento dispositivi.

Protezione adattiva contro gli attacchi

La Protezione adattiva contro gli attacchi applica ulteriori livelli di protezione al computer. Queste protezioni sono progettate per bloccare le azioni di un utente malintenzionato.

Se si notano attività sospette sul computer e si desidera applicare un maggiore livello di sicurezza mentre si conducono indagini, è possibile attivare la Protezione adattiva contro gli attacchi. Può essere attivata solo per un periodo di tempo prestabilito.

Cliccare su Protezione adattiva contro gli attacchi e selezionare un periodo di tempo. Il valore predefinito è 24 ore. Il massimo è 72 ore. Il menu indicherà ora che la Protezione adattiva contro gli attacchi è attiva. Verranno visualizzate anche due nuove opzioni:

Estendi la Protezione adattiva contro gli attacchi. Cliccare su questa opzione per estendere il periodo di tempo durante il quale la Protezione adattiva contro gli attacchi sarà attiva. Ad esempio, se è stata attivata per 24 ore, sarà possibile estenderne la durata fino a 48 o 72 ore.
Disattiva la Protezione adattiva contro gli attacchi.

Nota

La Protezione adattiva contro gli attacchi è disponibile anche nei criteri di protezione contro le minacce. Se viene selezionata in un criterio, si attiverà automaticamente quando viene rilevato un attacco su un computer. La scheda Riepilogo del computer mostrerà che è attiva e permetterà di estenderla o disattivarla.

Aggiorna ora

Aggiorna ora - Questo pulsante aggiorna il computer con il software Sophos più recente. Vedere Riavvii dei computer.

Elimina

Elimina - Il computer verrà così eliminato da Sophos Central. Verranno eliminati anche gli avvisi associati al computer.

Avviso

È necessario disinstallare i software Sophos prima di eliminare un computer.

Live Response

Live Response permette di effettuare la connessione al computer per svolgere indagini e risolvere eventuali problemi di sicurezza. È possibile connettersi al computer anche se è isolato.

Per utilizzare Live Response, è necessario soddisfare le seguenti condizioni:

Occorre essere Super Amministratore o avere un ruolo personalizzato che include Avvia sessioni di Live Response su computer.
È necessario accedere con l’autenticazione a fattori multipli (Multi-Factor Authentication, MFA).

Consigliamo di effettuare l'accesso con un Sophos ID, perché altri metodi, ad esempio l'accesso federato Microsoft con MFA, potrebbero non consentire l'accesso a Live Response.

Prima di cominciare, assicurarsi che Live Response sia attivata in Prodotti > Impostazioni generali > Endpoint Protection > Live Response.

Per avviare Live Response, procedere come segue:

Cliccare su Live Response.
In Scopo della sessione, fornire una descrizione riassuntiva della sessione.
Cliccare su Avvia.

Viene aperta una connessione al computer in un'altra scheda del browser. La scheda mostra una finestra terminale.

Se la nuova scheda non si apre, è possibile che il browser l'abbia bloccata. Configurare il browser in modo che la autorizzi.
Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.
Al termine, cliccare su Termina sessione.

La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

La connessione viene terminata anche nei seguenti casi:
- Se si chiude la scheda.
- Se si aggiorna la scheda.
- Se da qui si naviga altrove in Sophos Central.
- Se non c'è nessuna attività per 30 minuti.

Per visualizzare le sessioni di Live Response che sono state iniziate o terminate, consultare il log di controllo di Sophos Central.

Modifica gruppo

Cliccare su Altre azioni per visualizzare Modifica gruppo. Questa opzione permette di aggiungere il computer a un gruppo, trasferirlo in un gruppo diverso oppure rimuoverlo dal gruppo attuale.

Scansione immediata

Restrizione

Questa opzione non è disponibile se si utilizza Sophos XDR Sensor.

Cliccare su Altre azioni per visualizzare Scansione immediata. Questa opzione effettua la scansione del computer alla ricerca di eventuali minacce.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione completata", ed eventuali altri eventi di rimozione nella pagina Report > Log > Log generali > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi.

Se il computer è off-line, la scansione verrà eseguita quando tornerà on-line. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata e si proseguirà con la scansione originale.

Esegui diagnosi

Cliccare su Altre azioni per visualizzare Esegui diagnosi. Questa opzione esegue Sophos Diagnostic Utility, che raccoglie i log e li invia al Supporto Sophos. Per maggiori informazioni, vedere Sophos Diagnostic Utility.

Crea snapshot di analisi approfondita

Cliccare su Altre azioni per visualizzare Crea snapshot di analisi approfondita. È possibile creare uno "snapshot di analisi approfondita" dei dati ottenuti dal dispositivo. Lo snapshot fornisce dati sull'attività del dispositivo, attingendoli da un log di Sophos, e li salva sul dispositivo stesso. Per ulteriori informazioni sugli snapshot di analisi approfondita, vedere Snapshot di analisi approfondita.

È anche possibile salvarlo nel bucket S3 Amazon Web Services (AWS) specificato. L'utente può quindi svolgere le proprie analisi.

È richiesto un convertitore (che viene fornito da noi) per la lettura dei dati.

Nota

È possibile scegliere la quantità di dati che si desidera includere negli snapshot e dove caricarli. Selezionare Prodotti > Impostazioni generali > Snapshot di analisi approfondita. Queste opzioni potrebbero non essere ancora disponibili per tutti i clienti.

Per creare uno snapshot, procedere come segue:

Aprire la scheda Analizza di un grafico delle minacce.

In alternativa, nella pagina dei dettagli del dispositivo, aprire la scheda Stato.
Cliccare su Crea snapshot di analisi approfondita.
Seguire i passaggi descritti in Carica snapshot di analisi approfondita su un bucket S3 AWS.

È possibile trovare gli snapshot generati in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Gli snapshot generati dai rilevamenti si trovano in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Nota

È necessario essere un amministratore con accesso alla password del blocco rimozione ed eseguire un prompt dei comandi con privilegi di amministratore per accedere agli snapshot salvati.

Reimposta stato di integrità

Restrizione

Questa opzione non è disponibile per la macOS.

Cliccare su Altre azioni per visualizzare Reimposta stato di integrità. Questa opzione reimposta lo stato di integrità come “Integro”.

La reimpostazione non elimina le minacce e non risolve i problemi del software, ma cancella gli avvisi in Sophos Central e sul computer.

Eseguire una reimpostazione se si desidera cancellare i problemi meno recenti e concentrarsi su quelli attuali o futuri. Un computer senza problemi rimarrà “Integro” dopo la reimpostazione, quindi qualsiasi problema di protezione o malware attuale o futuro sarà più evidente.

La reimpostazione non influisce sulla protezione. Se il computer presenta problemi che richiedono un’azione, tornerà a uno stato di integrità pessimo.

Eventi recenti

Questa opzione elenca gli eventi recenti del computer. Per un elenco completo, cliccare sulla scheda Eventi.

Le icone indicano l'agente Sophos che ha segnalato ciascun evento. Passare il cursore del mouse su un'icona per scoprire cosa significa.

Riepilogo agente

L’Agente Endpoint fornisce protezione contro le minacce e altre funzionalità quali controllo per periferiche, applicazioni e web.

Il riepilogo indica i dettagli elencati di seguito. Include anche link che consentono di aggiornare il computer, installare prodotti o modificare il gruppo di appartenenza del computer, a seconda delle esigenze.

Ultima attività: indica quando si è verificata l'ultima attività.
Ultimo aggiornamento agente: indica se il computer è aggiornato.
Prodotti assegnati: indica i prodotti Sophos installati (ad es. Intercept X o Device Encryption). Vengono visualizzati licenza e numero di versione per ciascun prodotto installato. Le informazioni sulla versione sono disponibili solo per i computer Windows.
Versioni dei componenti installati: cliccare su questa opzione per visualizzare un elenco completo dei componenti Sophos e dei relativi numeri di versione. Disponibile solo per i computer Windows.
Gruppo: indica il gruppo di appartenenza del computer (se il computer appartiene a un gruppo).

Device Encryption

Device Encryption (cifratura dei dispositivi) consente di gestire la Crittografia unità BitLocker nei computer Windows e la cifratura FileVault nei Mac.

Questo riepilogo indica:

Tutti i volumi del computer.
L'ID volume di ciascun volume.
Lo stato di cifratura.
Il tipo di autenticazione.
Il metodo di cifratura.

Per i computer Windows, è possibile visualizzare Cifrato da. Le informazioni indicate dipendono dal dispositivo.

Per i computer già cifrati con Sophos Central Device Encryption, vengono visualizzate la data e l'ora in cui il computer ha effettuato l'upgrade a Central Device Encryption versione 2.1.
Per i computer cifrati con un altro prodotto, vengono visualizzate la data e l'ora di installazione di Sophos Central Device Encryption.
Per i nuovi computer cifrati con Sophos Central Encryption 2.1 (o versione successiva), vengono visualizzate la data e l'ora della cifratura.

I volumi possono essere crittografati con cifratura basata su software o cifratura basata su hardware. Device Encryption utilizza sempre la cifratura basata su software per i nuovi volumi, anche se l'unità supporta la cifratura basata su hardware.

Se un'unità è già crittografata con cifratura basata su hardware, non verrà modificata.

Se richiesta da un criterio di gruppo di BitLocker, verrà utilizzata la cifratura basata su hardware.

Recupera chiave di ripristino

In questa sezione è anche possibile recuperare una chiave di ripristino. La chiave può essere utilizzata per sbloccare il computer se l'utente dimentica le proprie credenziali di accesso. Vedere Ricerca chiave di ripristino per la cifratura.

Attiva modifica di password/PIN

Questa opzione impone agli utenti di modificare immediatamente la password o il PIN di BitLocker. Una volta inviata la richiesta, verrà visualizzato un messaggio.

Sull'endpoint, verrà richiesto agli utenti di impostare una nuova password o PIN di BitLocker. Se gli utenti chiudono la finestra di dialogo senza immettere password o PIN, questa finestra verrà visualizzata nuovamente dopo 30 secondi. Il processo verrà ripetuto fino all'immissione di una nuova password o un nuovo PIN. Se gli utenti chiudono questa finestra di dialogo cinque volte senza modificare password o PIN, verrà inserito un avviso nel log.

Blocco rimozione

Indica se sul computer è abilitato il blocco rimozione.

Quando è attivato il blocco rimozione, un amministratore locale non potrà effettuare alcuna delle seguenti modifiche sul computer. Avrà bisogno della password necessaria:

Modifica delle impostazioni per: scansione in accesso, rilevamento di comportamenti sospetti (HIPS), protezione web o Sophos Live Protection.
Disattivazione del blocco rimozione.
Disinstallare il software dell’agente Sophos.

Cliccare su Disattiva Blocco rimozione per gestire la password del blocco rimozione per il computer. Se il blocco rimozione è disattivato, si consiglia di attivarlo.

È possibile recuperare le password del blocco rimozione per i computer eliminati. Vedere Recupero dei dispositivi eliminati.

Cache degli aggiornamenti e relay dei messaggi

Sophos Update Cache permette ai computer di scaricare gli aggiornamenti di Sophos Central da una cache situata in uno dei server della rete, anziché direttamente da Sophos. È anche possibile assegnare server alla comunicazione con Sophos Central come relay dei messaggi.

Indica che per il computer è stata impostata una cache. Indica qual è il server utilizzato.

Windows Firewall

Windows Firewall è attivo e gestito nel computer. Indica anche:

Se vengono utilizzati i criteri di gruppo di Windows.
I profili di rete attivi.
Se sono installati altri firewall registrati e se sono attivi.