跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=computer-summary

電腦摘要

電腦詳細資料頁面中的 摘要 索引標籤會顯示以下資訊。

  1. 前往 我的環境 > 電腦與伺服器

    或者,前往 我的產品 > Endpoint > 電腦

  2. 按一下您想查看詳細資訊的電腦名稱。

  3. 按一下 摘要

您所看到的部分取決於您的授權和已設定的功能。

安全健康狀態

在上方面板中,您可以查看安全健康狀態並採取相應動作。

注意

即使您在此頁面中切換到其他索引標籤,上方面板仍會持續顯示。

圖示會顯示該電腦是否有任何安全警示:

圖示 說明
綠色勾號。 如果有低優先順序警示或沒有警示,則為綠色核取符號。
橙色警告標誌。 如果有中等優先順序警示,則為橙色警告標誌。
紅色警告標誌。 如果有高優先級警示,則顯示為紅色警告標誌。

注意

此處顯示的健康狀態,可能與「電腦與伺服器」頁面中顯示的狀態不同。請參閱 電腦與伺服器清單中的健康狀態變更

可以進行的操作

您可以從上方面板對該電腦執行相關操作。按一下 動作

所有動作如下所述。

隔離或從隔離中移除

如果您有 Sophos XDR,則該選項可用。

管理員隔離 會從網路隔離電腦。如果伺服器上可能存在潛在威脅,您可能會想執行此操作。您仍然可以從 Sophos Central 管理該電腦,並能隨時將其解除隔離。

當電腦被隔離時,您會在電腦圖示和安全狀態下方看到以下狀態訊息。

  • 訊息顯示 由管理員隔離
  • 標記有 解除隔離 的連結。按一下它,將電腦重新連接至網路。

如果電腦已經自動隔離,您將不會看到 管理員隔離 選項。請參閱 裝置隔離

自適應攻擊防護

此功能僅適用於 Windows 裝置。

自適應攻擊防護可為電腦提供額外的保護。這些防護措施的目的是干擾攻擊者的行動。

如果您發現電腦上有可疑活動,並希望在調查時增加安全性,您可以開啟自適應攻擊防護。您只能將其開啟一段固定的時間。

按一下 自適應攻擊防護 並選擇一個時間。預設為 24 小時。最長為 72 小時。功能表現在顯示自適應攻擊防護已開啟。您還會看到兩個新選項:

  • 擴展自適應攻擊防護。按一下此選項可延長自適應攻擊防護的開啟時間。例如,如果您將其開啟 24 小時,可以將其延長至 48 小時或 72 小時。
  • 關閉自適應攻擊防護

注意

開啟自適應攻擊防護會將電腦的健康狀態設定為紅色。此狀態顯示在電腦上和 Sophos Central 中。

注意

自適應攻擊防護也適用於威脅防護原則中。如果您在原則中選擇此選項,當電腦偵測到攻擊時,它會自動開啟。電腦的摘要標籤顯示它已開啟,並允許您延長或關閉它。

更新

更新 會將電腦更新至最新的 Sophos 軟體版本。請參閱 電腦重新啟動

删除

删除 會將電腦從 Sophos Central 中删除。它還會删除與該電腦相關的警示。

警告

您必須先解除安裝 Sophos 軟體,然後才能刪除電腦。

您可以在電腦被删除後 30 天內還原它們。前往 報告 > 報告 > 端點和伺服器保護 > 還原已删除的裝置並恢復竄改防護密碼

Live Response

Live Response 允許您連線到電腦,以調查和修復可能的安全問題。即使電腦已隔離,您也可以連線到該電腦。

您必須擁有 Sophos XDR 授權或 Sophos MDR 授權。

若要使用 Live Response,您必須符合下列條件:

  • 您必須是超級管理員或擁有包括 在電腦上啟動 Live Response 工作階段 權限的自訂角色。
  • 您必須使用多重要素驗證 (MFA) 登入。

我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。

在開始之前,請確保在中開啟了 Live Response。若要執行此操作,請前往 我的產品 > Endpoint > 原則,並確認您的 資料收集與調查 原則設定。

若要啟動 Live Response,請按以下步驟操作:

  1. 按一下 Live Response

  2. 作業階段目的 中,簡要說明您的工作階段。

  3. 按一下 開始

    與該電腦的連線會在另一個瀏覽器標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下 結束工作階段

    連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。

    在以下情況下,連線也會被關閉:

    • 您關閉索引標籤。
    • 您重新整理索引標籤。
    • 您從這裡瀏覽 Sophos Central 中的其他位置。
    • 30 分鐘內沒有活動。

若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。

變更群組

變更群組 可讓您將電腦新增至某個群組、移動至其他群組,或從目前的群組中移除。

掃描

限制

如果您使用 Sophos XDR Sensor,則此選項不可用。

掃描 會對電腦進行威脅掃描。

掃描可能要花一些時間。完成後,您可以在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。前往 我的環境 > 警示

如果電腦處於離線狀態,則在重新連線時會進行掃描。如果電腦掃描已在進行中,則新的掃描請求將被忽略,並且繼續之前的掃描。

診斷

按一下 更多動作 以查看 診斷。這會執行 Sophos 診斷工具,它會收集日誌並將其傳送給 Sophos 支援。如需更多資訊,請參閱 Sophos Diagnostic Utility

建立鑑識快照

您可以從裝置中建立資料的「鑑識快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。如需關鑑識快照的更多資訊,請參閱 取證快照

您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後您可以執行分析。

您需要轉換器來讀取資料 (我們會提供)。

注意

您可以選擇快照中需要的資料量以及上傳位置。爲此,按一下「一般設定」圖示一般設定圖示。。在 一般 區段下,按一下 鑑識快照。這些選項目前可能尚未提供給所有客戶使用。

若要建立快照,請按以下步驟操作:

  1. 前往威脅圖表的 分析 索引標籤。

    或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。

  2. 按一下 建立鑑識快照

  3. 按照 將取證快照上傳至 AWS S3 桶 中的步驟操作。

您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到產生的快照。

從偵測結果產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\

注意

若要存取已儲存的螢幕截圖,您必須是具備竄改防護密碼存取權限的系統管理員,並以系統管理員身分執行命令提示字元。

重置健康狀態

限制

此選項不適用於 macOS。

重置健全狀態 會將健全狀態重置為「健康」。

重置不會清除威脅或修復軟體,但會清除 Sophos Central 和電腦上的警示。

如果您要清除舊問題並專注於目前或未來問題,請執行重置。重置後,沒有問題的電腦將保持「健康」狀態,因此任何目前或未來的保護或惡意軟體問題將更加明顯。

重置不會影響保護。如果電腦有需要處理的問題,它將恢復為不良健康狀態。

近期事件

這會列出關於電腦的近期事件。如需完整清單,請按一下 事件 索引標籤。

這些圖示顯示每個事件是由哪個 Sophos 代理程式報告的。將滑鼠游標停留在圖示上,即可查看其代表的意義。

代理程式摘要

端點代理程式提供威脅防護以及其他功能,如周邊設備控制、應用程式控制和網頁控制。

摘要顯示以下詳細資訊。還包含可根據需要更新電腦、安裝產品或更改電腦所在群組的連結。

  • 最近一次活動:顯示上次活動發生的時間。
  • 最近一次代理程式更新:顯示電腦是否為最新。
  • MDR 託管:顯示該電腦是否由 MDR 管理。

  • 已指派的產品

    • 軟體 會顯示已安裝的 Sophos 產品。這些產品可能包括 Endpoint、XDR 或 XDR Sensor (視 Agent 模式而定)、Encryption,或 ZTNA。
    • 版本 會顯示各項產品所安裝的版本。這僅適用於 Windows 電腦。

  • 已安裝的元件版本:按一下此項查看 Sophos 組件及其版本的完整清單。這僅適用於 Windows 電腦。

  • 群組:顯示電腦所在群組 (若有)。

裝置加密

Device Encryption 使您能夠管理 Windows 電腦上的 BitLocker 磁碟加密以及 Macs 上的 FileVault 加密。

此摘要顯示:

  • 電腦的所有磁區。
  • 每個磁區的磁區 ID。
  • 加密狀態。
  • 驗證類型。
  • 加密方法。

在 Windows 電腦上,您可以看到 加密開始日期。顯示的資訊取決於裝置。

  • 對於已使用 Sophos Central Device Encryption 加密的電腦,它顯示電腦升級至 Sophos Central Device Encryption 2.1 版的日期和時間。
  • 對於使用其他加密產品加密的電腦,它顯示安裝 Sophos Central Device Encryption 的日期和時間。
  • 對於使用 Sophos Central Encryption 2.1 (或以上版本)加密的新電腦,它顯示加密的日期和時間。

您可採用以軟體或硬體為基礎的加密方式來加密磁區。Device Encryption 對新磁碟區一律使用軟體型加密,即使該磁碟支援支援硬體型加密。

如果磁碟使用硬體型加密,則不予變更。

如果 BitLocker 群組原則設定要求使用硬體型加密,則會使用此加密類型。

取得復原金鑰

您還可以在這裡取得復原金鑰。如果使用者忘記登入憑證,則可以使用此金鑰解鎖電腦。請參閱 加密修復金鑰搜尋

觸發變更密碼/ PIN

要求使用者立即變更 BitLocker 密碼或 PIN。當請求成功發送時,會顯示一則訊息。

在端點上,系統會要求使用者設置新的 BitLocker 密碼或 PIN。如果使用者在未輸入新密碼或 PIN 就關閉對話方塊,則該對話方塊會在 30 秒後再次顯示。直到他們輸入新的密碼或 PIN 為止。當使用者關閉對話方塊 5 次且未變更密碼或 PIN 時,會記錄一個警示。

竄改防護

顯示竄改防護是否已經開啟。

當竄改防護啟用時,本機系統管理員無法在其電腦上進行以下任何變更。他們需要必要的密碼:

  • 變更即時監視掃描、可疑行為偵測 (HIPS)、網頁防護或 Sophos Live Protection 的設定。
  • 關閉竄改防護功能。
  • 解除安裝 Sophos 代理程式。

按一下 停用竄改防護 以管理電腦的竄改防護密碼。如果竄改防護已關閉,我們建議您將其開啟。

更新快取和訊息中繼

Sophos Update Cache 使您的電腦可以從網路中的伺服器快取取得 Sophos Central 更新,而不是直接從 Sophos。您也可以指定伺服器作為訊息中繼來與 Sophos Central 進行通訊。

這表明已經為電腦設置了快取。其顯示正在使用哪個伺服器。

Windows 防火牆

Windows 防火牆在該電腦上已啟用並進行管理。其還顯示:

  • 是否使用了 Windows 群組原則。
  • 啟用中的網路設定檔。
  • 如果其他已註冊的防火牆已安裝並啟用。