Impostazione e avvio di Live Response

Live Response abilita la connessione diretta ai computer, a scopo di indagine e risoluzione di potenziali problemi di sicurezza.

Utilizzando Live Response è possibile interrompere i processi sospetti, riavviare i dispositivi con aggiornamenti in sospeso, sfogliare le cartelle, eliminare i file e altro ancora.

Questa pagina fornisce informazioni su come eseguire le seguenti operazioni:

  • Attivare Live Response e specificare a quali dispositivi può connettersi.
    Nota Live Response deve essere attivata separatamente per computer e server.
  • Avviare una sessione di Live Response.
  • Controllare l'attività generale di Live Response.
  • Controllare una sessione di Live Response.

Attivazione di Live Response per i computer

Limitazione Per modificare le impostazioni di Live Response occorre essere Super amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per computer. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali computer può connettersi, procedere come indicato di seguito:

  1. Selezionare Panoramica > Impostazioni globali > Endpoint Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai computer.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i computer.

  3. Se si desidera impedire la connessione di Live Response a computer specifici, guardare nelle Esclusioni, selezionare i computer in Disponibile, e spostarli nel campo Esclusi.
  4. Cliccare su Salva.

Attivazione di Live Response per i server

Limitazione Per modificare le impostazioni di Live Response occorre essere Super amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per server. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali server può connettersi, procedere come indicato di seguito:

  1. Selezionare Panoramica > Impostazioni globali > Server Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai server.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i server.

  3. Se si desidera impedire la connessione di Live Response a server specifici, guardare nelle Esclusioni, selezionare i server in Disponibile, e spostarli nel campo Esclusi.

Avvio di una sessione di Live Response

Limitazione Per avviare una sessione di Live Response occorre essere Super Amministratore o un utente con un ruolo personalizzato che ne consente l'avvio. Inoltre, occorre effettuare l'accesso utilizzando l'autenticazione a fattori multipli. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per avviare Live Response, procedere come segue:

  1. Aprire Dispositivi.
  2. Selezionare un dispositivo e cliccarci sopra per aprirne la pagina dei dettagli.
  3. Sulla sinistra nella pagina dei dettagli, cliccare su Live Response.

    Viene aperta una connessione al computer in un'altra scheda del browser. La scheda mostra una finestra terminale.

    Se la nuova scheda non si apre, è possibile che il browser l'abbia bloccata. Configurare il browser in modo che la autorizzi.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.
  5. Al termine, cliccare su Termina sessione. La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.
    La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

La connessione viene terminata anche nei seguenti casi:

  • Se si chiude la scheda.
  • Se si aggiorna la scheda.
  • Se da qui si naviga altrove in Sophos Central.
  • Se non c'è nessuna attività per 30 minuti.

Controllo dell'attività di Live Response

Per visualizzare l'attività generale di Live Response, visualizzare il log di controllo.

  1. Aprire Log e report.
  2. Sotto Log generali, cliccare su Log di controllo.

Il log di controllo mostra quando le sessioni sono iniziate e terminate, l'amministratore che ha avviato la sessione, il dispositivo a cui ha avuto accesso la sessione e lo "Scopo" indicato quando la sessione è stata avviata.

Per visualizzare i dettagli completi delle sessioni, cliccare su Vedi log di controllo della sessione accanto a una voce di log per l'inizio o la fine di una sessione.

Controllo di una sessione di Live Response

Per visualizzare i dettagli completi degli eventi di una sessione di Live Response specifica, visualizzare il log di controllo della sessione.

Limitazione Per accedere ai log di controllo della sessione, occorre essere Super Amministratore o avere un ruolo personalizzato che include sia Gestisci impostazioni di Live Response per computer che Gestisci impostazioni di Live Response per server.

Per visualizzare il log di controllo, procedere come segue:

  1. Aprire Log e report.
  2. In Log di Endpoint Protection e Server Protection, cliccare su Controllo sessione di Live Response.
  3. Individuare la sessione desiderata e cliccare su Scarica log della sessione.
    Il log della sessione viene scaricato come file compresso gzip.
  4. Estrarre il file e visualizzarlo.

Il log di controllo mostra i comandi immessi nella sessione di Live Response.