Live Response のセットアップと開始

Live Response を使用すると、デバイスに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。

Live Response を使用して、疑わしいプロセスを停止したり、アップデートが保留中のデバイスを再起動したり、フォルダを参照したり、ファイルを削除したりできます。

このページでは、次の操作方法について説明しています。

  • Live Response をオンにして、接続できるデバイスを指定。
    コンピュータ向け Live Response とサーバー向け Live Response は、個別にオンにする必要があります。
  • Live Response セッションの開始。
  • Live Response の一般的なアクティビティの監査。
  • Live Response セッションの監査。

コンピュータ向け Live Response をオンにする方法

制約事項 Live Response の設定を変更するには、スーパー管理者であるか、または「コンピュータの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、「管理者への Live Response へのアクセスの許可」を参照してください。

Live Response をオンにして、接続できるコンピュータを指定するには、次の手順を実行します。

  1. 概要 > グローバル設定 > エンドポイントプロテクション > Live Response」を参照します。
  2. コンピュータへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのコンピュータに接続できます。

  3. Live Response が特定のコンピュータに接続できないようにするには、「除外」を参照し、「選択可能」でコンピュータを選択して「除外済み」に移動します。
  4. 保存」をクリックします。

サーバー向け Live Response をオンにする方法

制約事項 Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。詳細は、管理者への Live Response へのアクセスの許可を参照してください。

Live Response をオンにして、接続できるサーバーを指定するには、次の手順を実行します。

  1. 概要 > グローバル設定 > サーバープロテクション > Live Response」を参照します。
  2. サーバーへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのサーバーに接続できます。

  3. Live Response が特定のサーバーに接続できないようにするには、「除外」を参照し、「選択可能」でサーバーを選択して「除外済み」に移動します。

Live Response セッションの開始

制約事項 Live Response セッションを開始するには、スーパー管理者であるか、またはセッションを開始する権限のあるカスタムロールが割り当てられており、多要素認証を使用してサインインする必要があります。詳細は、「管理者への Live Response へのアクセスの許可」を参照してください。

Live Response を開始するには、次の手順を実行します。

  1. デバイス」に移動します。
  2. デバイスを選択し、クリックして詳細ページを開きます。
  3. 詳細ページの左側で、「Live Response」をクリックします。

    コンピュータへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。

    新しいタブが開かない場合は、ブラウザによってブロックされている可能性があります。許可されるようブラウザを設定します。

  4. コマンドプロンプトで、調査または修復を実行するコマンドを入力します。
  5. 終了したら、「セッションの終了」をクリックします。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。
    タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。

次の場合にも、接続は閉じます。

  • ユーザーがタブを閉じた。
  • ユーザーがタブをリフレッシュした。
  • ユーザーが、ここから Sophos Central の他の場所を参照した。
  • 30分間アクティビティがない。

Live Response アクティビティの監査

Live Response の一般的なアクティビティを表示するには、監査ログを表示します。

  1. ログとレポート」を参照します。
  2. 一般ログ」で、「監査ログ」をクリックします。

監査ログには、セッションの開始および終了日時、セッションを開始した管理者、セッションでアクセスされたデバイス、およびセッションの開始時に指定された「目的」が表示されます。

セッションの詳細を表示するには、セッションの開始または終了のログエントリの横にある「セッション監査ログを参照してください」をクリックします。

Live Response セッションの監査

特定の Live Response セッションでのアクティビティの詳細を参照するには、セッション監査ログを表示します。

制約事項 セッション監査ログを表示するには、スーパー管理者であるか、「コンピュータの Live Response 設定を管理する」および「サーバーの Live Response 設定を管理する」の両方を含むカスタムロールが割り当てられている必要があります。

監査ログを表示するには、次の手順を実行します。

  1. ログとレポート」を参照します。
  2. エンドポイントプロテクションとサーバープロテクションのログ」で、 「Live Response セッションの監査」をクリックします。
  3. 目的のセッションを参照して、「セッションログのダウンロード」をクリックします。
    セッションログは、gzip 圧縮ファイルとしてダウンロードされます。
  4. ファイルを展開して表示します。

監査ログには、Live Response セッションで入力したコマンドが表示されます。