伺服器摘要
在伺服器詳細資訊頁面的 摘要 索引標籤中,您可以查看伺服器的詳細資訊。
若要設定密碼,請依照以下方式操作:
-
前往「我的環境」 > 「電腦與伺服器」。
或者,前往「我的產品」 > 「Server」 > 「伺服器」。
-
按一下您想查看詳細資訊的伺服器名稱。
- 按一下「摘要」索引標籤。
您可以在此管理該伺服器。您所看到的部分取決於您的授權和已設定的功能。
安全健康狀態
在上方面板中,您可以查看安全健康狀態並執行相關操作。
注意
即使您在此頁面中切換到其他索引標籤,上方面板仍會持續顯示。
為您顯示伺服器是否有任何安全警示的圖示:
| 圖示 | 說明 |
|---|---|
 | 如果有低優先順序警示或沒有警示,則為綠色核取符號。 |
 | 如果有中等優先順序警示,則為橙色警告標誌。 |
 | 如果有高優先順序警示,則為紅色警告標誌。 |
注意
此處顯示的健康狀態,可能與電腦與伺服器頁面中顯示的狀態不同。請參閱 電腦與伺服器清單中的健康狀態變更。
可以進行的操作
您可以對該伺服器執行相關操作。
按一下 動作* 以查看可用的操作項目。所有動作如下所述。
注意
某些動作僅適用於 Windows 伺服器。
隔離或從隔離中移除
只有在您擁有 Sophos XDR – Server 授權時,才能使用此操作。
隔離 會從網路隔離伺服器。如果伺服器上可能存在潛在威脅,您可能會想執行此操作。您仍然可以從 Sophos Central 管理伺服器並且可以隨時從隔離中移除它。
注意
如果伺服器提供關鍵服務,您可能會選擇不隔離它。您也可以改用「自適應攻擊防護」。請參見 自適應攻擊防護。
當伺服器被隔離時,您會在電腦圖示和安全狀態下方看到以下狀態訊息。
- 訊息顯示 由管理員隔離。
- 標記有 解除隔離 的連結。按一下它將伺服器重新連線至網路。
自適應攻擊防護
此功能僅適用於 Windows 裝置。
自適應攻擊防護可為伺服器提供額外的保護。這些防護措施的目的是干擾攻擊者的行動。
如果您發現伺服器上有可疑活動,並希望在調查時增加安全性,您可以開啟自適應攻擊防護。您只能將其開啟一段固定的時間。
按一下 自適應攻擊防護 並選擇一個時間。預設為 24 小時。最長為 72 小時。功能表現在顯示自適應攻擊防護已開啟。您還會看到兩個新選項:
- 擴展自適應攻擊防護。按一下此選項可延長自適應攻擊防護的開啟時間。例如,如果您將其開啟 24 小時,可以將其延長至 48 小時或 72 小時。
- 關閉自適應攻擊防護。
注意
自適應攻擊防護也適用於伺服器威脅防護原則中。如果您在原則中選擇此選項,當伺服器偵測到攻擊時該功能會自動開啟。伺服器的摘要標籤會顯示此功能已經啟用,並允許您延長或關閉它。
刪除
删除 會將伺服器從 Sophos Central 中删除。
警告
您應先解除安裝 Sophos 軟體,再刪除伺服器。
您可以在伺服器被删除後 30 天內還原它們。前往 報告 > 報告 > 端點和伺服器保護 > 還原已删除的裝置並恢復竄改防護密碼。
掃描
限制
如果您使用 Sophos XDR Sensor,則此選項不可用。
掃描 可立即掃描伺服器。
掃描可能要花一些時間。完成時,您將在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描『掃描我的電腦』完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。移至我的環境 > 警示。
若伺服器離線,則會在其恢復上線時進行掃描。如果電腦掃描已經在執行,則將略過新掃描請求,並將執行之前的掃描。
鎖定
限制
如果您使用 Sophos XDR Sensor,則此選項不可用。
鎖定 可防止未經授權的軟體在伺服器上執行。
此選項會建立伺服器上已安裝軟體的清單,檢查其安全性,並僅允許該軟體在未來執行。
如果您之後需要對伺服器進行變更,可以解鎖伺服器,或使用伺服器原則中的伺服器鎖定偏好設定。
解除鎖定:解除鎖定伺服器。此按鈕僅在您之前鎖定了伺服器時可用。
診斷
診斷 將執行 Sophos Diagnostic Utility,該公用程式會收集記錄並將其傳送至 Sophos 支援。
如需更多資訊,請參閱 Sophos Diagnostic Utility。
建立鑑定快照
您可以從裝置中建立資料的「鑑識快照」。請參見 鑑識快照。
這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後,您可以進行自己的分析。
您需要轉換器(我們提供)來讀取資料(請參見 轉換鑑識快照)。
注意
您可以選擇快照中需要的資料量以及上傳位置。為此,按一下工作列中的「整體設定」![整體設定圖示。![。前往產品和服務 > 端點,然後按一下取證快照。這些選項目前可能尚未提供給所有客戶使用。
如欲建立快照:
-
前往威脅圖表的 分析 標籤。
或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。
-
按一下 建立鑑識快照。
- 按照中的步驟操作 。。
您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到產生的快照。
從偵測結果產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\。
若要存取已儲存的快照,您必須是具備竄改防護密碼存取權限的系統管理員,並以系統管理員身分執行命令提示字元。
重設安全狀態
重置健全狀態 會將健全狀態重置為「健康」。
重置不會清除威脅或修復軟體,但會清除 Sophos Central 和伺服器上的警示。
如果您要清除舊問題並專注於目前或未來問題,請執行重置。重置後,沒有問題的伺服器會保持「健康」,因此任何目前或未來的保護或惡意軟體問題都將更加明顯。
重置不會影響保護。如果伺服器有需要採取行動的問題,它會回到不健康狀態。
Live Response
Live Response 使您能夠連線到伺服器,以便調查和修復可能的安全問題。即使伺服器已隔離,您也可以連線到該伺服器。
若要使用 Live Response,您必須符合下列條件:
-
您必須是超級管理員或擁有包括 啟動伺服器上的 Live Response 工作階段 權限的自訂角色。
-
您必須使用多重要素驗證 (MFA) 登入。
我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。
在開始之前,請確保在中開啟了 Live Response。若要執行此操作,請前往 我的產品 > Server > 原則,並確認您的 資料收集與調查 原則設定。
若要啟動 Live Response,請按以下步驟操作:
- 按一下 Live Response。
- 在 工作階段用途 中,摘要說明您此次工作階段的目的。
-
按一下 開始。
與伺服器的連線將在另一個瀏覽器索引標籤中打開。該索引標籤會顯示終端機視窗。
-
在命令提示字元,輸入命令以執行調查或修復。
根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。
-
完成時,請按一下 結束工作階段。
連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。
在以下情況下,連線也會被關閉:
- 您關閉索引標籤。
- 您重新整理索引標籤。
- 您從這裡瀏覽 Sophos Central 中的其他位置。
- 30 分鐘內沒有活動。
若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。
近期事件
這會列出關於伺服器的近期事件。
如需完整清單,請按一下 事件 索引標籤。
代理摘要
摘要顯示以下詳細資訊。
注意
某些詳細資訊僅適用於 Windows 伺服器。
- 最近一次的 Sophos Central 活動:伺服器與 Sophos Central 的上次通訊。
- 最近一次代理程式更新:上次更新 Sophos 代理時。立即更新 更新 Sophos 代理。請參見 伺服器重新啟動。
- MDR 託管:顯示該伺服器是否由 MDR 管理。
-
已指派的產品:
- 軟體 會顯示已安裝的 Sophos 產品:Endpoint、XDR 或 XDR Sensor。
- 版本 會顯示各個元件所安裝的版本。
-
IPv4 位址
- IPv6 位址
- 作業系統:如果顯示為「Sophos Security VM」,則伺服器為安裝了 Sophos 安全虛擬機器主機。
- 鎖定狀態:顯示伺服器鎖定的狀態,這可防止未經授權的軟體在伺服器上執行。
- 群組:顯示伺服器所屬的群組 (如果有)。變更群組 允許您將電腦新增至群組、移動至其他群組,或者從當前群組移除。一台伺服器僅可位於一個群組中。
- 竄改防護:這會顯示是否在伺服器上啟用了 竄改防護。按一下 停用竄改防護 可管理伺服器的竄改防護密碼。請參見 竄改防護。
更新快取和訊息中繼狀態
若您在網路上使用更新快取或訊息中繼站,會看見此狀態資訊。
如果伺服器被用作更新快取或者訊息中繼站,您會看見:
- 快取的狀態以及上次更新的時間。其還顯示將其用作快取的電腦數量。
- 中繼的狀態以及正在使用它的電腦數量。
或者,如果伺服器從其他地方設定的快取獲得更新,您會看見該快取或中繼站所在位置的詳細資訊。請參見 管理更新快取和訊息中繼。
Windows 防火牆
Windows 防火牆處於活動狀態,其在電腦上進行管理。其還顯示:
- 是否正在使用 Windows 群組原則。
- 啟用中的網路設定檔。
- 如果其他已註冊的防火牆已安裝並啟用。