Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=Live-Response

Configurar e iniciar Live Response

Debe tener Sophos EDR, XDR o MDR para usar esta función.

Live Response le permite conectar dispositivos para investigar y solucionar posibles problemas de seguridad.

Con Live Response, puede detener procesos sospechosos, reiniciar dispositivos con actualizaciones pendientes, examinar carpetas, eliminar archivos y mucho más.

En esta página se explica cómo hacer lo siguiente:

  • Activar Live Response.

    Nota

    Debe activar Live Response para equipos y servidores por separado.

  • Iniciar una sesión de Live Response.

  • Auditar la actividad general de Live Response.
  • Auditar una sesión de Live Response.

Activar Live Response para ordenadores

Para modificar la configuración de Live Response, debe ser superadministrador o tener un rol personalizado que incluya Administrar configuración de recopilación e investigación de datos para ordenadores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response, haga lo siguiente:

  1. Vaya a Mis productos > Endpoint.
  2. Haga clic en Políticas.

  3. Vaya a Recopilación e investigación de datos y pulse una política para abrir sus detalles.

    La política base se aplica a todos los ordenadores de forma predeterminada. También puede tener políticas personalizadas para grupos de ordenadores que especifique. Consulte Acerca de las políticas.

  4. Haga clic en la pestaña Configuración.

  5. Active Permitir conexiones de Live Response a ordenadores.

    De forma predeterminada, Live Response puede conectarse a todos los equipos.

  6. Haga clic en Guardar.

Activar Live Response para servidores

Para modificar la configuración de Live Response, debe ser superadministrador o tener un rol personalizado que incluya Administrar configuración de recopilación e investigación de datos para servidores. Consulte Dar a los administradores acceso a Live Response.

Para activar Live Response y especificar a qué servidores puede conectarse, haga lo siguiente:

  1. Vaya a Mis productos > Server.
  2. Haga clic en Políticas.

  3. Vaya a Recopilación e investigación de datos y pulse una política para abrir sus detalles.

    La política base se aplica a todos los servidores de forma predeterminada. También puede tener políticas personalizadas para grupos de servidores que especifique. Consulte Acerca de las políticas.

  4. Haga clic en la pestaña Configuración.

  5. Active Permitir conexiones de Live Response a servidores.

    De forma predeterminada, Live Response puede conectarse a todos los servidores.

  6. Haga clic en Guardar.

Iniciar una sesión de Live Response

Para iniciar una sesión de Live Response, debe ser superadministrador o tener un rol personalizado que incluya el permiso Iniciar sesiones de Live Response. Consulte Dar a los administradores acceso a Live Response.

Si utiliza el inicio de sesión federado con un proveedor de identidad compatible que aplica los desafíos de MFA, puede evitar los desafíos de MFA de Sophos Central al iniciar una sesión de Live Response. Para ello, active la opción El proveedor de identidad ha aplicado la autenticación multifactor. Vaya a Mis productos > Configuración general > Proveedores de identidad federados. Consulte Añadir el proveedor de identidad (Entra ID/Open IDC/ADFS).

Iniciar Live Response

Para iniciar Live Response, haga lo siguiente:

  1. Vaya a la página Ordenadores y servidores.
  2. Seleccione un dispositivo y haga clic en él para abrir la página de detalles.

  3. En el panel superior, haga clic en Acciones y seleccione Live Response.

    Se abre una conexión con el ordenador en otra pestaña del explorador. La pestaña muestra una ventana de terminal.

    Si la nueva pestaña no se abre, es posible que su navegador la haya bloqueado. Configure su navegador para que la permita.

  4. En la línea de comandos, introduzca los comandos para realizar la investigación o corrección.

    Utilice comandos de DOS, UNIX o Linux en función del ordenador al que se haya conectado.

  5. Cuando termine, haga clic en Finalizar sesión. La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí. La conexión se cierra, aunque la pestaña permanece abierta. Puede explorar cualquier otro lugar de Sophos Central desde aquí.

La conexión también se cierra en los siguientes casos:

  • Cierra la pestaña.
  • La pestaña se actualiza.
  • Busca en cualquier otro lugar de Sophos Central desde aquí.
  • No hay actividad durante 30 minutos.

Auditar la actividad de Live Response

Para ver la actividad general de Live Response, consulte el registro de auditoría.

  1. Vaya a Informes > Registros.
  2. En Registros generales, haga clic en Registros de auditoría.

El registro de auditoría muestra cuándo se iniciaron y finalizaron las sesiones, el administrador que inició la sesión, el dispositivo al que accedió la sesión y el "propósito" dado cuando se inició la sesión.

Para ver todos los detalles de las sesiones, haga clic en Consulte los registros de auditoría de la sesión junto a una entrada de registro para el inicio o el final de una sesión.

Auditar una sesión de Live Response

Para ver todos los detalles de lo que ocurrido en una sesión específica de Live Response, consulte el registro de auditoría de la sesión.

Restricción

Para obtener los registros de auditoría de la sesión, debe ser superadministrador o tener un rol personalizado que incluya Administrar configuración de Live Response para ordenadores y Administrar configuración de Live Response para servidores.

Para ver el registro de auditoría, haga lo siguiente:

  1. Vaya a Informes > Registros.
  2. En Registros de Endpoint & Server Protection, haga clic en Auditoría de sesiones de Live Response.
  3. Busque la sesión que desee y haga clic en Descargar registro de sesiones. El registro de sesión se descarga como un archivo comprimido gzip.
  4. Extraiga el archivo y ábralo.

El registro de auditoría muestra los comandos introducidos en la sesión de Live Response.