伺服器摘要
在伺服器詳細資訊頁面的 摘要 索引標籤中,您可以查看伺服器的詳細資訊。
若要設定密碼,請依照以下方式操作:
-
前往 我的環境 > 電腦與伺服器。
或者,前往 我的產品 > Server > 伺服器。
-
按一下您想查看詳細資訊的伺服器名稱。
- 按一下「摘要」索引標籤。
您可以在此管理該伺服器。您所看到的部分取決於您的授權和已設定的功能。
安全健康狀態
在上方面板中,您可以查看安全健康狀態並執行相關操作。
注意
即使您在此頁面中切換到其他索引標籤,上方面板仍會持續顯示。
為您顯示伺服器是否有任何安全警示的圖示:
| 圖示 | 說明 |
|---|---|
 | 如果有低優先順序警示或沒有警示,則為綠色核取符號。 |
 | 如果有中等優先順序警示,則為橙色警告標誌。 |
 | 如果有高優先級警示,則顯示為紅色警告標誌。 |
注意
此處顯示的健康狀態,可能與「電腦與伺服器」頁面中顯示的狀態不同。請參閱 電腦與伺服器清單中的健康狀態變更。
可以進行的操作
您可以對該伺服器執行相關操作。
按一下 動作* 以查看可用的操作項目。所有動作如下所述。
注意
某些動作僅適用於 Windows 伺服器。
隔離或從隔離中移除
只有在您擁有 Sophos XDR – Server 授權時,才能使用此操作。
隔離 會從網路隔離伺服器。如果伺服器上可能存在潛在威脅,您可能會想執行此操作。您仍然可以從 Sophos Central 管理伺服器並且可以隨時從隔離中移除它。
注意
如果伺服器提供關鍵服務,您可能會選擇不隔離它。您也可以改用「自適應攻擊防護」。請參閱 自適應攻擊防護。
當伺服器被隔離時,您會在電腦圖示和安全狀態下方看到以下狀態訊息。
- 訊息顯示 由管理員隔離。
- 標記有 解除隔離 的連結。按一下它將伺服器重新連線至網路。
自適應攻擊防護
此功能僅適用於 Windows 裝置。
自適應攻擊防護可為伺服器提供額外的保護。這些防護措施的目的是干擾攻擊者的行動。
如果您發現伺服器上有可疑活動,並希望在調查時增加安全性,您可以開啟自適應攻擊防護。您只能將其開啟一段固定的時間。
按一下 自適應攻擊防護 並選擇一個時間。預設為 24 小時。最長為 72 小時。功能表現在顯示自適應攻擊防護已開啟。您還會看到兩個新選項:
- 擴展自適應攻擊防護。按一下此選項可延長自適應攻擊防護的開啟時間。例如,如果您將其開啟 24 小時,可以將其延長至 48 小時或 72 小時。
- 關閉自適應攻擊防護。
注意
自適應攻擊防護也適用於伺服器威脅防護原則中。如果您在原則中選擇此選項,當伺服器偵測到攻擊時該功能會自動開啟。伺服器的摘要標籤會顯示此功能已經啟用,並允許您延長或關閉它。
删除
删除 會將伺服器從 Sophos Central 中删除。
警告
您應先解除安裝 Sophos 軟體,再刪除伺服器。
您可以在伺服器被删除後 30 天內還原它們。前往 報告 > 報告 > 端點和伺服器保護 > 還原已删除的裝置並恢復竄改防護密碼。
掃描
限制
如果您使用 Sophos XDR Sensor,則此選項不可用。
掃描 可立即掃描伺服器。
掃描可能要花一些時間。完成時,您將在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描『掃描我的電腦』完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。前往 我的環境 > 警示。
若伺服器離線,則會在其恢復上線時進行掃描。如果電腦掃描已經在執行,則將略過新掃描請求,並將執行之前的掃描。
鎖定
限制
如果您使用 Sophos XDR Sensor,則此選項不可用。
鎖定 可防止未經授權的軟體在伺服器上執行。
此選項會建立伺服器上已安裝軟體的清單,檢查其安全性,並僅允許該軟體在未來執行。
如果您之後需要對伺服器進行變更,可以解鎖伺服器,或使用伺服器原則中的伺服器鎖定偏好設定。
解除鎖定:解除鎖定伺服器。此按鈕僅在您之前鎖定了伺服器時可用。
診斷
診斷 將執行 Sophos Diagnostic Utility,該公用程式會收集記錄並將其傳送至 Sophos 支援。
如需更多資訊,請參閱 Sophos Diagnostic Utility。
建立鑑識快照
您可以從裝置中建立資料的「鑑識快照」。請參閱 取證快照。
這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後,您可以進行自己的分析。
您需要使用轉換工具 (由我們提供) 才能讀取資料,請參閱 轉換取證快照。
注意
您可以選擇快照中需要的資料量以及上傳位置。爲此,按一下「一般設定」圖示
。在 一般 區段下,按一下 鑑識快照。這些選項目前可能尚未提供給所有客戶使用。
如欲建立快照:
-
前往威脅圖表的 分析 索引標籤。
或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。
-
按一下 建立鑑識快照。
- 按照 將取證快照上傳至 AWS S3 桶 中的步驟操作。
您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到產生的快照。
從偵測結果產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\。
若要存取已儲存的快照,您必須是具備竄改防護密碼存取權限的系統管理員,並以系統管理員身分執行命令提示字元。
重置健康狀態
重置健全狀態 會將健全狀態重置為「健康」。
重置不會清除威脅或修復軟體,但會清除 Sophos Central 和伺服器上的警示。
如果您要清除舊問題並專注於目前或未來問題,請執行重置。重置後,沒有問題的伺服器會保持「健康」,因此任何目前或未來的保護或惡意軟體問題都將更加明顯。
重置不會影響保護。如果伺服器有需要採取行動的問題,它會回到不健康狀態。
Live Response
Live Response 使您能夠連線到伺服器,以便調查和修復可能的安全問題。即使伺服器已隔離,您也可以連線到該伺服器。
若要使用 Live Response,您必須符合下列條件:
-
您必須是超級管理員或擁有包括 啟動伺服器上的 Live Response 工作階段 權限的自訂角色。
-
您必須使用多重要素驗證 (MFA) 登入。
我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。
在開始之前,請確保在中開啟了 Live Response。若要執行此操作,請前往 我的產品 > Server > 原則,並確認您的 資料收集與調查 原則設定。
若要啟動 Live Response,請按以下步驟操作:
- 按一下 Live Response。
- 在 工作階段用途 中,摘要說明您此次工作階段的目的。
-
按一下 開始。
與伺服器的連線將在另一個瀏覽器索引標籤中打開。該索引標籤會顯示終端機視窗。
-
在命令提示字元,輸入命令以執行調查或修復。
根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。
-
完成時,請按一下 結束工作階段。
連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。
在以下情況下,連線也會被關閉:
- 您關閉索引標籤。
- 您重新整理索引標籤。
- 您從這裡瀏覽 Sophos Central 中的其他位置。
- 30 分鐘內沒有活動。
若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。
近期事件
這會列出關於伺服器的近期事件。
如需完整清單,請按一下 事件 索引標籤。
代理程式摘要
摘要顯示以下詳細資訊。
注意
某些詳細資訊僅適用於 Windows 伺服器。
- 最近一次的 Sophos Central 活動:伺服器與 Sophos Central 的上次通訊。
- 最近一次代理程式更新:上次更新 Sophos 代理時。立即更新 更新 Sophos 代理。請參閱 伺服器重新啟動。
- MDR 託管:顯示該伺服器是否由 MDR 管理。
-
已指派的產品:
- 軟體 會顯示已安裝的 Sophos 產品:Endpoint、XDR 或 XDR Sensor。
- 版本 會顯示各個元件所安裝的版本。
-
IPv4 位址
- IPv6 位址
- 作業系統:如果顯示為「Sophos Security VM」,則伺服器為安裝了 Sophos 安全虛擬機器主機。
- 鎖定狀態:顯示伺服器鎖定的狀態,這可防止未經授權的軟體在伺服器上執行。
- 群組:顯示伺服器所屬的群組 (如果有)。變更群組 允許您將電腦新增至群組、移動至其他群組,或者從當前群組移除。一台伺服器僅可位於一個群組中。
- 竄改防護:這會顯示是否在伺服器上啟用了 竄改防護。按一下 停用竄改防護 可管理伺服器的竄改防護密碼。請參閱 竄改防護。
更新快取和訊息中繼狀態
若您在網路上使用更新快取或訊息中繼站,會看見此狀態資訊。
如果伺服器被用作更新快取或者訊息中繼站,您會看見:
- 快取的狀態以及上次更新的時間。其還顯示將其用作快取的電腦數量。
- 中繼的狀態以及正在使用它的電腦數量。
或者,如果伺服器從其他地方設定的快取獲得更新,您會看見該快取或中繼站所在位置的詳細資訊。請參閱 管理更新快取和訊息中繼。
Windows 防火牆
Windows 防火牆處於活動狀態,其在電腦上進行管理。其還顯示:
- 是否正在使用 Windows 群組原則。
- 啟用中的網路設定檔。
- 如果其他已註冊的防火牆已安裝並啟用。