Aller au contenu

Configurer et démarrer Live Response

Live Response vous permet de vous connecter aux appareils à analyser et à résoudre les éventuels problèmes de sécurité.

Grâce à Live Response, vous pouvez arrêter les processus suspects, redémarrer les appareils avec des mises à jour en attente, parcourir des dossiers, supprimer des fichiers, etc.

Cette page vous indique la marche à suivre :

  • Activer Live Response et indiquer les appareils auxquels il peut se connecter.

    Remarque

    Vous devez activer Live Response pour les ordinateurs et les serveurs séparément.

  • Démarrer une session Live Response.

  • Auditer l’activité générale de Live Response.
  • Auditer une session Live Response.

Activer Live Response pour les ordinateurs

Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs. Voir Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response et indiquer les ordinateurs auxquels il peut se connecter, procédez comme suit :

  1. Allez dans Mes produits > Paramètres généraux > Endpoint Protection > Live Response.
  2. Activez Autoriser les connexions Live Response aux ordinateurs.

    Par défaut, Live Response peut se connecter à tous les ordinateurs.

  3. Pour empêcher Live Response de se connecter à des ordinateurs spécifiques, regardez sous Exclusions, sélectionnez les ordinateurs dans Disponible et déplacez-les vers Exclus.

  4. Cliquez sur Enregistrer.

Activer Live Response pour serveurs

Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les serveurs. Voir Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response et indiquer les serveurs auxquels il peut se connecter, procédez comme suit :

  1. Allez dans Mes produits > Paramètres généraux > Server Protection > Live Response.
  2. Activez Autoriser les connexions Live Response aux serveurs.

    Par défaut, Live Response peut se connecter à tous les serveurs.

  3. Pour empêcher Live Response de se connecter à des serveurs spécifiques, regardez sous Exclusions, sélectionnez les serveurs dans Disponible et déplacez-les vers Exclus.

Démarrer une session Live Response

Pour démarrer une session Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé vous autorisant à la démarrer. Voir Donner l’accès à Live Response aux administrateurs.

Si vous utilisez une connexion fédérée avec un fournisseur d’identités pris en charge qui applique les challenges d’authentification multifacteur(MFA), vous pouvez éviter les challenges MFA de Sophos Central lors du démarrage d’une session Live Response. Pour ce faire, activez l’option Le fournisseur d’identité a appliqué l’authentification multifacteur. Allez dans Mes produits > Paramètres généraux > Fournisseurs d’identités fédérés. Voir Ajouter le fournisseur d’identité (Entra ID/Open IDC/ADFS).

Démarrer Live Response

Pour démarrer Live Response, procédez comme suit :

  1. Rendez-vous sur Appareils.
  2. Sélectionnez un appareil et cliquez dessus pour ouvrir sa page d’informations.
  3. Cliquez sur Live Response sur la partie gauche de la page d’informations.

    Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.

    Si le nouvel onglet ne s’ouvre pas, votre navigateur l’a peut-être bloqué. Configurez votre navigateur de façon à l’autoriser.

  4. À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.

    Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.

  5. Lorsque vous avez terminé, cliquez sur Terminer la session. La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici. La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.

La connexion est également terminée dans les cas suivants :

  • Vous fermez l’onglet.
  • Vous actualisez l’onglet.
  • Vous naviguez dans Sophos Central à partir d’ici.
  • Il n’y a pas d’activité pendant 30 minutes.

Auditer l’activité Live Response

Pour afficher l’activité générale de Live Response, consultez le journal d’audit.

  1. Allez dans Rapports > Journaux.
  2. Sous Journaux généraux, cliquez sur Journaux d’audit.

Le journal d’audit indique l’heure de début et de fin des sessions, l’identité de l’administrateur qui les a démarrées, l’appareil auquel la session a accédé et le « but » donné lors du démarrage de la session.

Pour afficher tous les détails des sessions, cliquez sur Voir les journaux d’audit de session correspondant à l’entrée de journal pour le début ou la fin d’une session.

Auditer une session Live Response

Retrouvez plus de renseignements sur ce qui s’est passé dans une session Live Response spécifique dans le journal d’audit de la session.

Restriction

Pour obtenir les journaux d’audit de session, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs et Gérer les paramètres Live Response pour les serveurs.

Pour afficher le journal d’audit, procédez comme suit :

  1. Allez dans Rapports > Journaux.
  2. Sous Journaux Endpoint & Server Protection, cliquez sur Audit de session Live Response.
  3. Recherchez la session souhaitée et cliquez sur Télécharger le journal de la session. Le journal de la session est téléchargé sous forme de fichier compressé gzip.
  4. Procédez à l’extraction du fichier et consultez-le.

Le journal d’audit affiche les commandes saisies dans la session Live Response.