コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=Live-Response

Live Response のセットアップと開始

この機能を使用するには、Sophos EDR、XDR、または MDR が必要です。

Live Response を使用すると、デバイスに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。

Live Response を使用して、疑わしいプロセスを停止したり、アップデートが保留中のデバイスを再起動したり、フォルダを参照したり、ファイルを削除したりできます。

このページでは、次の操作方法について説明しています。

  • Live Response をオンにします。

    コンピュータ向け Live Response とサーバー向け Live Response は、個別にオンにする必要があります。

  • Live Response セッションの開始。

  • Live Response の一般的なアクティビティの監査。
  • Live Response セッションの監査。

コンピュータ向け Live Response をオンにする方法

Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーのデータ収集と調査の設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、管理者への Live Response へのアクセスの許可を参照してください。

Live Response をオンするには、次の手順を実行します。

  1. マイプロダクト > エンドポイント」に移動します。
  2. ポリシー」をクリックします。

  3. データ収集と調査」に移動し、ポリシーをクリックして詳細を開いてください。

    基本ポリシーはデフォルトですべてのコンピュータに適用されます。特定のコンピュータグループ用に指定したカスタムポリシーも適用可能です。詳細は、ポリシーについてを参照してください。

  4. 設定」タブをクリックします。

  5. コンピュータへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのコンピュータに接続できます。

  6. 保存」をクリックします。

サーバー向け Live Response をオンにする

Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーのデータ収集と調査の設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、管理者への Live Response へのアクセスの許可を参照してください。

Live Response をオンにして、接続できるサーバーを指定するには、次の手順を実行します。

  1. マイプロダクト > Server」の順に選択します。
  2. ポリシー」をクリックします。

  3. データ収集と調査」に移動し、ポリシーをクリックして詳細を開いてください。

    基本ポリシーはデフォルトですべてのサーバーに適用されます。特定のサーバーグループ用に指定したカスタムポリシーも適用可能です。詳細は、ポリシーについてを参照してください。

  4. 設定」タブをクリックします。

  5. サーバーへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのサーバーに接続できます。

  6. 保存」をクリックします。

Live Response セッションの開始

Live Response セッションを開始するには、スーパー管理者であるか、または「Live Response セッションを開始する」を含むロールが割り当てられている必要があります。詳細は、管理者への Live Response へのアクセスの許可を参照してください。

フェデレーションサインインを、MFA チャレンジを適用する対応している IdP とともに使用している場合は、Live Response セッションの開始時に Sophos Central MFA チャレンジを回避できます。これを行うには、「IdP によって MFA を適用する」オプションをオンにします。全般設定アイコン 全般設定アイコン。 をクリックします。「管理」の下で「フェデレーション IdP」をクリックします。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。

Live Response の開始

Live Response を開始するには、次の手順を実行します。

  1. 使用環境 > コンピュータとサーバー」の順に選択します。
  2. デバイスを選択し、クリックして詳細ページを開きます。

  3. 上部のペインで、「アクション」をクリックし、「Live Response」を選択します。

    コンピュータへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。

    新しいタブが開かない場合は、ブラウザによってブロックされている可能性があります。許可されるようブラウザを設定します。

  4. コマンドプロンプトで、調査または修復を実行するコマンドを入力します。

    接続先コンピュータに応じて、DOS、UNIX、または Linux コマンドを使用してください。

  5. 終了したら、「セッションの終了」をクリックします。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。

次の場合にも、接続は閉じます。

  • ユーザーがタブを閉じた。
  • ユーザーがタブをリフレッシュした。
  • ユーザーが、ここから Sophos Central の他の場所を参照した。
  • 30分間アクティビティがない。

Live Response アクティビティの監査

Live Response の一般的なアクティビティを表示するには、監査ログを表示します。

  1. レポート > ログ」に移動します。
  2. 一般ログ」で、「監査ログ」をクリックします。

監査ログには、セッションの開始および終了日時、セッションを開始した管理者、セッションでアクセスされたデバイス、およびセッションの開始時に指定された「目的」が表示されます。

セッションの詳細を表示するには、セッションの開始または終了のログエントリの横にある「セッション監査ログを参照してください」をクリックします。

Live Response セッションの監査

特定の Live Response セッションでのアクティビティの詳細を参照するには、セッション監査ログを表示します。

制限事項

セッション監査ログを表示するには、スーパー管理者であるか、「コンピュータの Live Response 設定を管理する」および「サーバーの Live Response 設定を管理する」の両方を含むカスタムロールが割り当てられている必要があります。

監査ログを表示するには、次の手順を実行します。

  1. レポート > ログ」に移動します。
  2. エンドポイントプロテクションとサーバープロテクションのログ」で、 「Live Response セッションの監査」をクリックします。
  3. 目的のセッションを参照して、「セッションログのダウンロード」をクリックします。セッションログは、gzip 圧縮ファイルとしてダウンロードされます。
  4. ファイルを展開して表示します。

監査ログには、Live Response セッションで入力したコマンドが表示されます。