サーバーのサマリー
サーバーの詳細ページの「サマリー」タブには、サーバーの詳細が表示されます。
「デバイス > サーバー」を参照し、詳細を表示するサーバーをクリックします。
サーバーはここで管理できます。
表示されるセクションは、お持ちのライセンスや設定されている機能によって異なります。
セキュリティ状態
左側の領域にセキュリティ状態が表示されるので対処できます。
注
左側の領域は常に表示されます。ページ内の他のタブをクリックしても閉じません。
アイコンによってサーバーで警告が発生しているかどうかが示されます:
アイコン | 説明 |
---|---|
![]() | 緑色のチェックマーク: 危険度の低い警告が発生している、またはまったく警告が発生していない状態。 |
![]() | オレンジ色の警告マーク: 優先度が中程度の警告が発生している状態。 |
![]() | 赤色の警告マーク: 優先度の高い警告が発生している状態。 |
実行可能なアクション
左側の領域にあるボタンとリンクを使って、サーバーで対処できます。各アクションの詳細は、以下を参照してください。
注
一部のアクションは、Windows Server のみで指定できます。
隔離および隔離の解除
このアクションは、Intercept X Advanced for Server with XDR がある場合のみに使用できます。
「隔離」は、ネットワークからサーバーを隔離します。この操作は、コンピュータに潜在的な脅威がある場合などに実行できます。隔離したサーバーは、引き続き Sophos Central で管理することが可能で、いつでも復元できます。
注
サーバーが重要なサービスを提供している場合は、サーバーを隔離しない方がよい場合があります。代わりに適応型攻撃防御を使用できます。詳細は、適応型攻撃防御を参照してください。
サーバーが隔離されると、コンピュータのアイコンとセキュリティ状態の下に次のステータスメッセージが表示されます。
- 「管理者によって隔離されました」というメッセージ。
- 「隔離したコンピュータの復元」というリンク。クリックすると、サーバーがネットワークに再接続されます。
適応型攻撃防御
適応型攻撃防御は、サーバーに追加の保護対策を適用します。これらの保護は、攻撃者の行動を妨害するように設計されています。
サーバー上で疑わしいアクティビティが発生し、調査中にセキュリティを強化する必要がある場合は、適応型攻撃防御をオンにすることができます。オンにできるのは一定時間のみです。
「適応型攻撃防御」をクリックし、時間を選択します。デフォルトは 24時間です。最大値は 72時間です。メニューに適応型攻撃防御がオンになっていることが表示されます。次の 2つの新しいオプションも表示されます。
- 適応型攻撃防御を延長する。これをクリックすると、適応型攻撃防御がオンになる時間が延長されます。たとえば、24時間に対してオンにした場合は、48時間または 72時間に延長できます。
- 適応型攻撃防御をオフにする。
注
適応型攻撃防御は、サーバーの脅威対策ポリシーでも使用できます。ポリシーで選択すると、サーバーで攻撃が検出されると自動的にオンになります。サーバーの「サマリー」タブには、コンピュータの電源が入っていることが表示され、機能を延長したり、オフにしたりできます。
削除
「削除」は、Sophos Central からサーバーを削除します。
警告
サーバーを削除する前に、ソフォスのソフトウェアをアンインストールする必要があります。
今すぐ検索
制限事項
Sophos XDR Sensor を使用している場合、このオプションは使用できません。
「今すぐ検索」は、今すぐサーバーを検索します。
検索には多少時間がかかることがあります。完了すると、「レポート > ログ > 一般ログ > イベント」ページに、「検索 ”ローカルディスクの検索”が完了しました」というイベントと、成功したクリーンアップのイベントが表示されます。クリーンアップの失敗に関する警告は、「警告」ページに表示されます。
サーバーがオフラインの場合は、オンラインに復帰したときに検索が実行されます。コンピュータの検索が既に実行中の場合、新しい検索リクエストは無視され、既に実行中の検索が続行されます。
ロックダウン
制限事項
Sophos XDR Sensor を使用している場合、このオプションは使用できません。
「ロックダウン」は、承認されていないソフトウェアのサーバーでの実行を阻止します。
サーバーにインストールされている安全なソフトウェアをリスト化し、このリストにあるソフトウェアのみに実行を許可します。
許可するソフトウェアを後で変更する場合は、サーバーをロック解除するか、サーバーポリシーの「サーバー ロックダウン」で設定を変更してください。
ロック解除: サーバーのロックを解除します。サーバーをロックした場合、このボタンが表示されます。
診断
「診断」は、Sophos Diagnostic Utility を実行します。ログが収集され、ソフォスサポートに送信されます。
詳細は、Sophos Diagnostic Utility を参照してください。
セキュリティ状態のリセット
「セキュリティ状態のリセット」は、セキュリティ状態を「正常」にリセットします。
リセットしても、脅威のクリーンアップやソフトウェアの修正は行われませんが、Sophos Central とサーバーで警告が消去されます。
古い問題を消去して、現在または今後の問題に専念する場合は、リセットを実行してください。問題のないサーバーの状態は、リセット後も「正常」のままなので、現在または今後の保護やマルウェアの問題がより明確になります。
リセットは、保護には影響を与えません。対処が必要な問題がサーバーにある場合、セキュリティ状態は「問題あり」に戻ります。
Live Response
「Live Response」を使用することで、サーバーに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。隔離されているサーバーであっても、接続することはできます。
Live Response を使用するには、次の条件を満たす必要があります。
-
スーパー管理者であるか、または「コンピュータで Live Response セッションを開始する」を含むカスタムロールが割り当てられている必要があります。
-
多要素認証 (MFA) を使用してサインインする必要があります。
Sophos ID を使用してサインインすることを推奨します。これは、MFA を使用した Microsoft フェデレーション サインインなどの他の方法では、Live Response にアクセスできない場合があるためです。
開始する前に、「マイプロダクト > 全般設定 > サーバープロテクション > Live Response」で Live Response がオンになっていることを確認してください。
Live Response を開始するには、次の手順を実行します。
- 「Live Response」をクリックします。
- 「セッションの目的」で、セッションの目的を入力します。
-
「開始」をクリックします。
サーバーへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。
-
コマンドプロンプトで、調査または修復を実行するコマンドを入力します。
接続先コンピュータに応じて、DOS、UNIX、または Linux コマンドを使用してください。
-
終了したら、「セッションの終了」をクリックします。
タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。
次の場合にも、接続は閉じます。
- ユーザーがタブを閉じた。
- ユーザーがタブをリフレッシュした。
- ユーザーが、ここから Sophos Central の他の場所を参照した。
- 30分間アクティビティがない。
開始または終了した Live Response セッションを参照するには、Sophos Central 監査ログを表示してください。
最近のイベント
このリストには、サーバーで最近発生したイベントが表示されます。
詳細なリストを表示するには、「イベント」タブをクリックします。
エージェントのサマリー
サマリーには、次の詳細が表示されます。
注
一部の詳細は、Windows Server のみで指定できます。
- Sophos Central との前回同期: サーバーが前回 Sophos Central と同期してからの経過時間。
- 前回のエージェント更新: ソフォス製品のエージェントを前回アップデートした日時。「今すぐアップデート」は、ソフォス製品のエージェントをアップデートします。詳細は、サーバーの再起動を参照してください。
- エージェントバージョン: ソフォス製品のアージェントのバージョン番号。
- 割り当て済み製品: インストールされているソフォスの製品が表示されます (たとえば Intercept X など)。インストールされている各製品のライセンスとバージョン番号が表示されます。
- インストール済みコンポーネントのバージョン: クリックすると、ソフォス製品のコンポーネントとそのバージョン番号の一覧が表示されます。
- IPv4 アドレス
- IPv6 アドレス
- OS: 「Sophos Security VM」と表示されている場合は、Sophos Security VM がインストールされているホストであることを意味します。
- ロックダウンの状態: 承認されていないソフトウェアがサーバーで実行されるのを防ぐ、サーバーロックダウンの状態が表示されます。
- グループ: サーバーが所属するグループを表示 (該当する場合)。「グループの変更」で、コンピュータをグループに追加したり、別のグループに移動したり、現在のグループから削除することができます。各サーバーは、それぞれ 1つのグループのみに所属できます。
- タンパープロテクション: サーバーで「タンパープロテクション」が有効化されているかどうかが表示されます。「タンパープロテクションを無効化する」をクリックすると、サーバーのタンパープロテクションのパスワードが管理できます。詳細は、タンパープロテクションを参照してください。
アップデートキャッシュとメッセージリレーの状態
ネットワークでアップデートキャッシュまたはメッセージリレーを使用している場合は、その状態に関する情報が表示されます。
サーバーがアップデートキャッシュまたはメッセージリレーに使用されている場合、次の項目が表示されます。
- キャッシュの状態、および前回のキャッシュ更新。このサーバーをキャッシュとして使用しているコンピュータの数も表示されます。
- メッセージリレーの状態、およびこのサーバーをメッセージリレーとして使用しているコンピュータの数。
または、サーバーが、別の場所に設定されているキャッシュから (またはメッセージリレーを使用して) アップデートを取得している場合は、そのキャッシュまたはメッセージリレーの設置場所の詳細が表示されます。詳細は、アップデートキャッシュとメッセージリレーの管理を参照してください。
Windows ファイアウォール
Windows ファイアウォールがアクティブで、このコンピュータで管理されています。次の事柄も表示されます。
- Windows のグループポリシーが使用されているかどうか。
- 有効なネットワークプロファイル。
- 他の登録済みファイアウォールがあり、それが有効かどうか。