Riepilogo del computer

La scheda Riepilogo nella pagina dei dettagli di un computer mostra le seguenti informazioni.

Aprire Panoramica > Dispositivi e cliccare prima su Computer e successivamente sul computer per il quale si desidera visualizzare i dettagli.

Le sezioni visualizzate dipendono dal tipo di licenza di cui si è in possesso e dalle funzionalità impostate.

Stato di sicurezza

Nel riquadro sulla sinistra è possibile visualizzare lo stato di sicurezza e intraprendere azioni.

Nota Il riquadro a sinistra è sempre visibile, anche quando si clicca su altre schede della pagina.

Un’icona indica se nel computer sono presenti avvisi di sicurezza:

Icona

Descrizione

Simbolo di spunta verde

Simbolo di spunta verde, se non sono presenti avvisi, oppure se gli avvisi sono di priorità bassa.

Simbolo di avviso arancione

Simbolo di avviso arancione se sono presenti avvisi di priorità media.

Simbolo d'allarme rosso

Simbolo di avviso rosso se sono presenti avvisi di priorità alta.

Azioni disponibili

I pulsanti di azione si trovano nel riquadro sulla sinistra.

Aggiorna: Questo pulsante aggiorna il computer con il software Sophos più recente.

Elimina: Il computer verrà così eliminato da Sophos Central. Verranno eliminati anche gli avvisi associati al computer.
Avvertenza È necessario disinstallare i software Sophos prima di eliminare un computer.

Isola: Questa opzione isola il computer dalla rete.

Live Response: Questa opzione permette di connettersi al computer per analizzare e risolvere eventuali problemi di sicurezza.

Modifica gruppo: Questa opzione permette di aggiungere il server a un gruppo, trasferirlo in un gruppo diverso oppure rimuoverlo dal gruppo attuale.

Scansione immediata: Questa opzione effettua la scansione del computer alla ricerca di eventuali minacce.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione completata", insieme a eventuali altri eventi di rimozione nella pagina Log e report > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi.

Se il computer è off-line, la scansione verrà eseguita quando tornerà on-line. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata e si proseguirà con la scansione originale.

Esegui diagnosi: Questa procedura diagnostica i potenziali problemi del computer.

Crea snapshot di analisi approfondita: Lo snapshot fornisce dati sull'attività del dispositivo, attingendoli da un log di Sophos, e li salva sul dispositivo stesso. È anche possibile salvarlo nel bucket S3 Amazon Web Services (AWS) specificato. L'utente può quindi svolgere le proprie analisi. Vedere Conversione di uno snapshot di analisi approfondita.

Isola o rimuovi dall'isolamento

Questa opzione è disponibile se è installata Intercept X Advanced with XDR.

Isola isola il computer dalla rete. Questa opzione può essere utile se vengono rilevate potenziali minacce sul computer. Il computer può continuare a essere gestito da Sophos Central e può essere rimosso dallo stato di isolamento in qualsiasi momento.

Quando un computer viene isolato, le seguenti informazioni compaiono sotto l'icona e lo stato di sicurezza del computer.

  • Il messaggio Isolato da un Amministratore.
  • Un link Rimuovi dall'isolamento. Cliccare su questo link per connettere nuovamente il computer alla rete.
Nota L'opzione Isola non viene visualizzata se il computer si è già isolato automaticamente. Vedere Isolamento dei dispositivi in Criterio di protezione contro le minacce.

Live Response

Questa opzione è disponibile solo per i Super Amministratori, o per gli utenti con un ruolo personalizzato che include Avvia sessioni di Live Response su computer, che hanno effettuato l'accesso utilizzando l'autenticazione a fattori multipli. Inoltre, occorre attivare Autorizza connessioni Live Response ai computer nelle Impostazioni globali. Vedere Impostazione e avvio di Live Response.

Questa opzione permette di effettuare la connessione al computer per analizzare e risolvere eventuali problemi di sicurezza. Questa operazione può essere consigliabile in caso di infezione o attività sospetta rilevata sul computer. È possibile connettersi al computer anche se è isolato. Per connettersi al computer, procedere come segue:

  1. Cliccare su Live Response.
  2. In Scopo della sessione, fornire una descrizione riassuntiva della sessione.
  3. Cliccare su Avvia.

    Viene aperta una connessione al computer in un'altra scheda del browser. La scheda mostra una finestra terminale.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

    Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.

  5. Al termine, cliccare su Termina sessione.

    La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

    La connessione viene terminata anche nei seguenti casi:

    • Se si chiude la scheda.
    • Se si aggiorna la scheda.
    • Se da qui si naviga altrove in Sophos Central.
    • Se non c'è nessuna attività per 30 minuti.

Per visualizzare le sessioni di Live Response che sono state iniziate o terminate, consultare il log di controllo di Sophos Central.

Crea snapshot di analisi approfondita

È possibile creare uno "snapshot di analisi approfondita" dei dati ottenuti dal dispositivo. Lo snapshot fornisce dati sull'attività del dispositivo, attingendoli da un log di Sophos, e li salva sul dispositivo stesso. Per ulteriori informazioni sugli snapshot di analisi approfondita, vedere Snapshot di analisi approfondita.

È anche possibile salvarlo nel bucket S3 Amazon Web Services (AWS) specificato. L'utente può quindi svolgere le proprie analisi.

È richiesto un convertitore (che viene fornito da noi) per la lettura dei dati.

Nota È possibile scegliere la quantità di dati che si desidera includere negli snapshot e dove caricarli. Per svolgere questa operazione, selezionare Impostazioni globali > Snapshot di analisi approfondita. Queste opzioni potrebbero non essere ancora disponibili per tutti i clienti.

Per creare uno snapshot:

  1. Aprire la scheda Analizza di un caso di minaccia.

    In alternativa, nella pagina dei dettagli del dispositivo, aprire la scheda Stato.

  2. Cliccare su Crea snapshot di analisi approfondita.
  3. Seguire le istruzioni indicate nella sezione Carica snapshot di analisi approfondita su un bucket S3 AWS.

È possibile trovare gli snapshot generati in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Gli snapshot generati dai rilevamenti si trovano in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Nota È necessario essere un amministratore con accesso alla password del blocco rimozione ed eseguire un prompt dei comandi con privilegi di amministratore per accedere agli snapshot salvati.

Eventi recenti

Questa opzione elenca gli eventi recenti del computer. Per un elenco completo, cliccare sulla scheda Eventi.

Le icone indicano l'agente Sophos che ha segnalato ciascun evento. Passare il cursore del mouse su un'icona per scoprire cosa significa.

Riepilogo agente

L’Agente Endpoint fornisce protezione contro le minacce e altre funzionalità quali controllo per periferiche, applicazioni e web.

Il riepilogo indica i dettagli elencati di seguito. Include anche link che consentono di aggiornare il computer, installare prodotti o modificare il gruppo di appartenenza del computer, a seconda delle esigenze.

  • Ultima attività: indica quando si è verificata l'ultima attività.
  • Ultimo aggiornamento agente: indica se il computer è aggiornato.
  • Prodotti assegnati: indica i prodotti Sophos installati (ad es. Intercept X o Device Encryption). Vengono visualizzati licenza e numero di versione per ciascun prodotto installato. Le informazioni sulla versione sono disponibili solo per i computer Windows.
  • Versioni dei componenti installati: cliccare su questa opzione per visualizzare un elenco completo dei componenti Sophos e dei relativi numeri di versione. Disponibile solo per i computer Windows.
  • Gruppo: indica il gruppo di appartenenza del computer (se il computer appartiene a un gruppo).

Device Encryption

Device Encryption (cifratura dei dispositivi) consente di gestire la Crittografia unità BitLocker nei computer Windows e la cifratura FileVault nei Mac.

Questo riepilogo indica:

  • Tutti i volumi del computer.
  • L'ID volume di ciascun volume.
  • Lo stato di cifratura.
  • Il tipo di autenticazione.
  • Il metodo di cifratura.

Per i computer Windows, è possibile visualizzare Cifrato da. Le informazioni indicate dipendono dal dispositivo.

  • Per i computer già cifrati con Sophos Central Device Encryption, vengono visualizzate la data e l'ora in cui il computer ha effettuato l'upgrade a Central Device Encryption versione 2.1.
  • Per i computer cifrati con un altro prodotto, vengono visualizzate la data e l'ora di installazione di Sophos Central Device Encryption.
  • Per i nuovi computer cifrati con Sophos Central Encryption 2.1 (o versione successiva), vengono visualizzate la data e l'ora della cifratura.

I volumi possono essere crittografati con cifratura basata su software o cifratura basata su hardware. Device Encryption utilizza sempre la cifratura basata su software per i nuovi volumi, anche se l'unità supporta la cifratura basata su hardware.

Se un'unità è già crittografata con cifratura basata su hardware, non verrà modificata.

Se richiesta da un criterio di gruppo di BitLocker, verrà utilizzata la cifratura basata su hardware.

Recupera chiave di ripristino

In questa sezione è anche possibile recuperare una chiave di ripristino. La chiave può essere utilizzata per sbloccare il computer se l'utente dimentica le proprie credenziali di accesso. Vedere Ricerca chiave di ripristino per la cifratura.

Attiva modifica di password/PIN

Questa opzione impone agli utenti di modificare immediatamente la password o il PIN di BitLocker. Una volta inviata la richiesta, verrà visualizzato un messaggio.

Sull'endpoint, verrà richiesto agli utenti di impostare una nuova password o PIN di BitLocker. Se gli utenti chiudono la finestra di dialogo senza immettere password o PIN, questa finestra verrà visualizzata nuovamente dopo 30 secondi. Il processo verrà ripetuto fino all'immissione di una nuova password o un nuovo PIN. Se gli utenti chiudono questa finestra di dialogo cinque volte senza modificare password o PIN, verrà inserito un avviso nel log.

Riepilogo Web Gateway

Sophos Web Gateway offre protezione avanzata contro la navigazione web rischiosa o inappropriata.

Il riepilogo mostra le ultime attività di rete. Inoltre, indica la versione dell'agente di Web Gateway (e se è aggiornato).

Se occorre aggiornare l’agente del Web Gateway, verrà visualizzato un pulsante Aggiorna.

Blocco rimozione

Indica se sul computer è abilitato il blocco rimozione.

Quando è attivato il blocco rimozione, un amministratore locale non potrà effettuare alcuna delle seguenti modifiche sul computer. Avrà bisogno della password necessaria:

  • Modificare le impostazioni per: scansione in accesso, rilevamento di comportamenti sospetti (HIPS), protezione web o Sophos Live Protection.
  • Disattivare il blocco rimozione.
  • Disinstallare il software dell’agente Sophos.

Cliccare su Disattiva Blocco rimozione per gestire la password del blocco rimozione per il computer. Se il blocco rimozione è disattivato, si consiglia di attivarlo.

È possibile recuperare le password del blocco rimozione per i computer eliminati. Vedere Recupero dei dispositivi eliminati.

Cache degli aggiornamenti e relay dei messaggi

Sophos Update Cache permette ai computer di scaricare gli aggiornamenti di Sophos Central da una cache situata in uno dei server della rete, anziché direttamente da Sophos. È anche possibile assegnare server alla comunicazione con Sophos Central come relay dei messaggi.

Indica che per il computer è stata impostata una cache. Indica qual è il server utilizzato.

Windows Firewall

Windows Firewall è attivo e gestito nel computer. Indica anche:

  • Se vengono utilizzati i criteri di gruppo di Windows.
  • I profili di rete attivi.
  • Se sono installati altri firewall registrati e se sono attivi.