Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=server-summary

Riepilogo del server

La scheda Riepilogo nella pagina dei dettagli di un server consente di visualizzare i dettagli del server.

Aprire Dispositivi > Server e cliccare sul server per il quale si desidera visualizzare i dettagli.

Da questa schermata è possibile gestire il server.

Le sezioni visualizzate dipendono dal tipo di licenza di cui si è in possesso e dalle funzionalità impostate.

Stato di integrità della sicurezza

Nel riquadro sulla sinistra è possibile visualizzare lo stato di integrità della sicurezza e intraprendere azioni.

Nota

Il riquadro a sinistra è sempre visibile, anche quando si clicca su altre schede della pagina.

Un’icona indica se nel server sono presenti avvisi di sicurezza:

Icona Descrizione
Simbolo di spunta verde. Simbolo di spunta verde, se non sono presenti avvisi, oppure se gli avvisi sono di priorità bassa.
Simbolo di avviso arancione. Simbolo di avviso arancione se sono presenti avvisi di priorità media.
Simbolo di avviso rosso. Simbolo di avviso rosso se sono presenti avvisi di priorità alta.

Azioni disponibili

È possibile intraprendere azioni sul server utilizzando i pulsanti e i collegamenti nel riquadro a sinistra. Tutte le azioni sono descritte di seguito.

Nota

Alcune azioni sono disponibili solamente per i server Windows.

Isola o rimuovi dall'isolamento

Questa azione può essere utilizzata solo se si ha Intercept X Advanced for Server with XDR.

Isola isola il server dalla rete. Questa opzione può essere utile se vengono rilevate potenziali minacce sul computer. Il server può continuare a essere gestito da Sophos Central e può essere rimosso dallo stato di isolamento in qualsiasi momento.

Nota

Se un server ospita servizi critici, potrebbe essere preferibile non isolarlo. Come alternativa, è possibile utilizzare la Protezione adattiva contro gli attacchi. Vedere Protezione adattiva contro gli attacchi.

Quando si isola un server, vengono visualizzate le seguenti informazioni sotto l’icona e lo stato di sicurezza del server.

  • Il messaggio Isolato da un Amministratore.
  • Un link Rimuovi dall'isolamento. Cliccare su questo link per connettere nuovamente il server alla rete.

Protezione adattiva contro gli attacchi

La Protezione adattiva contro gli attacchi applica ulteriori livelli di protezione al server. Queste protezioni sono progettate per bloccare le azioni di un utente malintenzionato.

Se si notano attività sospette sul server e si desidera applicare un maggiore livello di sicurezza mentre si conducono indagini, è possibile attivare la Protezione adattiva contro gli attacchi. Può essere attivata solo per un periodo di tempo prestabilito.

Cliccare su Protezione adattiva contro gli attacchi e selezionare un periodo di tempo. Il valore predefinito è 24 ore. Il massimo è 72 ore. Il menu indicherà ora che la Protezione adattiva contro gli attacchi è attiva. Verranno visualizzate anche due nuove opzioni:

  • Estendi la Protezione adattiva contro gli attacchi. Cliccare su questa opzione per estendere il periodo di tempo durante il quale la Protezione adattiva contro gli attacchi sarà attiva. Ad esempio, se è stata attivata per 24 ore, sarà possibile estenderne la durata fino a 48 o 72 ore.
  • Disattiva la Protezione adattiva contro gli attacchi.

Nota

La Protezione adattiva contro gli attacchi è disponibile anche nei criteri di protezione contro le minacce per server. Se viene selezionata in un criterio, si attiverà automaticamente quando viene rilevato un attacco su un server. La scheda Riepilogo del server mostrerà che è attiva e permetterà di estenderla o disattivarla.

Elimina

Elimina elimina il server da Sophos Central.

Avviso

Occorre disinstallare i software Sophos prima di eliminare un server.

Scansione immediata

Restrizione

Questa opzione non è disponibile se si utilizza Sophos XDR Sensor.

Scansione immediata esegue immediatamente la scansione del server.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione 'Scansione del computer' completata", ed eventuali altri eventi di rimozione nella pagina Report > Log > Log generali > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi.

Se il server è offline, la scansione verrà eseguita quando tornerà online. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata, e si proseguirà con la scansione originale.

Isola

Restrizione

Questa opzione non è disponibile se si utilizza Sophos XDR Sensor.

Isola impedisce l’esecuzione di software non autorizzato sul server.

Questa opzione compila un elenco dei software già installati nel server, verifica che siano sicuri e autorizza solamente l’esecuzione dei software elencati.

Se dovesse essere necessario apportare modifiche al server in un secondo momento, occorrerà sbloccarlo oppure adoperare le preferenze di Server Lockdown all’interno del criterio del server.

Sblocca: Sblocca il server. Questo pulsante è disponibile quando il server è stato precedentemente bloccato.

Diagnosi

Esegui diagnosi esegue Sophos Diagnostic Utility, che raccoglie i log e li invia al Supporto Sophos.

Per maggiori informazioni, vedere Sophos Diagnostic Utility.

Reimposta stato di integrità

Reimposta stato di integrità ripristina lo stato di integrità come “Integro”.

La reimpostazione non elimina le minacce e non risolve i problemi del software, ma cancella gli avvisi in Sophos Central e sul server.

Eseguire una reimpostazione se si desidera cancellare i problemi meno recenti e concentrarsi su quelli attuali o futuri. Un server senza problemi rimarrà “Integro” dopo la reimpostazione, quindi qualsiasi problema di protezione o malware attuale o futuro sarà più evidente.

La reimpostazione non influisce sulla protezione. Se il server presenta problemi che richiedono un’azione, tornerà a uno stato di integrità pessimo.

Live Response

Live Response permette di effettuare la connessione al server per svolgere indagini e risolvere eventuali problemi di sicurezza. È possibile connettersi al server anche se è isolato.

Per utilizzare Live Response, è necessario soddisfare le seguenti condizioni:

  • Occorre essere Super Amministratore o avere un ruolo personalizzato che include Avvia sessioni di Live Response su computer.

  • È necessario accedere con l’autenticazione a fattori multipli (Multi-Factor Authentication, MFA).

Consigliamo di effettuare l'accesso con un Sophos ID, perché altri metodi, ad esempio l'accesso federato Microsoft con MFA, potrebbero non consentire l'accesso a Live Response.

Prima di cominciare, assicurarsi che Live Response sia attivata in Prodotti > Impostazioni generali > Server Protection > Live Response.

Per avviare Live Response, procedere come segue:

  1. Cliccare su Live Response.
  2. In Scopo della sessione, fornire una breve descrizione dello scopo della sessione.

  3. Cliccare su Avvia.

    Una connessione al server viene aperta in un'altra scheda del browser. La scheda mostra una finestra terminale.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

    Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.

  5. Al termine, cliccare su Termina sessione.

    La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

    La connessione viene terminata anche nei seguenti casi:

    • Se si chiude la scheda.
    • Se si aggiorna la scheda.
    • Se da qui si naviga altrove in Sophos Central.
    • Se non c'è nessuna attività per 30 minuti.

Per visualizzare le sessioni di Live Response che sono state iniziate o terminate, consultare il log di controllo di Sophos Central.

Eventi recenti

Questa opzione elenca gli eventi recenti del server.

Per un elenco completo, cliccare sulla scheda Eventi.

Riepilogo agente

Il riepilogo indica i dettagli elencati di seguito.

Nota

Alcuni dettagli sono disponibili solamente per i server Windows.

  • Ultima attività Sophos Central: l'ultima volta che il server ha comunicato con Sophos Central.
  • Ultimo aggiornamento agente: l'ultima volta che è stato aggiornato l'agente Sophos. Aggiorna ora aggiorna l'agente Sophos. Vedere Riavvii dei server.
  • Versione agente: il numero di versione dell'agente Sophos.
  • Prodotti assegnati: indica i prodotti Sophos installati (ad es. Intercept X). Vengono visualizzati licenza e numero di versione per ciascun prodotto installato.
  • Versioni dei componenti installati: cliccare su questa opzione per visualizzare un elenco completo dei componenti Sophos e dei relativi numeri di versione.
  • Indirizzo IPv4
  • Indirizzo IPv6
  • Sistema operativo: se viene visualizzato come "Sophos Security VM", il server è un host su cui è installata una VM di sicurezza Sophos.
  • Stato di lockdown: indica lo stato di Server Lockdown, che impedisce l'esecuzione di software non autorizzato sui server.
  • Gruppo: indica il gruppo di appartenenza del server (se il server appartiene a un gruppo). Modifica gruppo consente di aggiungere il server a un gruppo, trasferirlo in un gruppo diverso oppure rimuoverlo dal gruppo attuale. Un server può appartenere a un solo gruppo.
  • Blocco rimozione. Indica se nel computer sia o meno abilitato Blocco rimozione, ovvero il blocco rimozione. Cliccare su Disattiva Blocco rimozione per gestire la password di tamper protection per il server. Vedere Blocco rimozione.

Aggiorna cache e stato del relay dei messaggi

Se nella rete si utilizzano cache degli aggiornamenti o relay dei messaggi, verranno visualizzate le informazioni relative a questo stato.

Se il server viene utilizzato come cache degli aggiornamenti o relay dei messaggi, verranno visualizzati:

  • Lo stato della cache e quando è stato effettuato l’ultimo aggiornamento. Specifica anche il numero di computer che lo utilizzano come cache.
  • Lo stato del relay e il numero di computer che lo usano.

In alternativa, se il server riceve aggiornamenti da una cache (oppure se utilizza un relay) che è stata impostata su un percorso diverso, verranno visualizzati i dettagli relativi all’ubicazione della cache o del relay in questione. Vedere Gestisci cache degli aggiornamenti e relay dei messaggi.

Windows Firewall

Windows Firewall è attivo e gestito nel computer. Indica anche:

  • Se viene utilizzato il criterio di gruppo Windows.
  • I profili di rete attivi.
  • Se sono installati altri firewall registrati e se sono attivi.