Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=Live-Response

Configurer et démarrer Live Response

Vous devez avoir Sophos EDR, XDR ou MDR pour utiliser cette fonction.

Live Response vous permet de vous connecter aux appareils à analyser et à résoudre les éventuels problèmes de sécurité.

Grâce à Live Response, vous pouvez arrêter les processus suspects, redémarrer les appareils avec des mises à jour en attente, parcourir des dossiers, supprimer des fichiers, etc.

Cette page vous indique la marche à suivre :

  • Activer Live Response.

    Remarque

    Vous devez activer Live Response pour les ordinateurs et les serveurs séparément.

  • Démarrer une session Live Response.

  • Auditer l’activité générale de Live Response.
  • Auditer une session Live Response.

Activer Live Response pour les ordinateurs

Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs. Voir Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response, procédez de la manière suivante :

  1. Allez dans Mes produits > Endpoint.
  2. Cliquez sur Stratégies.

  3. Allez dans Collecte de données et investigation et cliquez sur une stratégie pour ouvrir ses détails.

    La stratégie de base s'applique par défaut à tous les ordinateurs. Vous avez peut-être également des stratégies personnalisées pour des groupes d'ordinateurs que vous spécifiez. Voir À propos des stratégies.

  4. Cliquez sur l’onglet Paramètres.

  5. Activez Autoriser les connexions Live Response aux ordinateurs.

    Par défaut, Live Response peut se connecter à tous les ordinateurs.

  6. Cliquez sur Enregistrer.

Activer Live Response pour serveurs

Pour changer les paramètres de Live Response, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut la gestion des paramètres Live Response pour les serveurs. Voir Donner l’accès à Live Response aux administrateurs.

Pour activer Live Response et indiquer les serveurs auxquels il peut se connecter, procédez comme suit :

  1. Allez dans Mes produits > Serveur.
  2. Cliquez sur Stratégies.

  3. Allez dans Collecte de données et investigation et cliquez sur une stratégie pour ouvrir ses détails.

    La stratégie de base s'applique à tous les serveurs par défaut. Vous avez peut-être également des stratégies personnalisées pour des groupes de serveurs que vous spécifiez. Voir À propos des stratégies.

  4. Cliquez sur l’onglet Paramètres.

  5. Activez Autoriser les connexions Live Response aux serveurs.

    Par défaut, Live Response peut se connecter à tous les serveurs.

  6. Cliquez sur Enregistrer.

Démarrer une session Live Response

Pour commencer une session Live Response, vous devez être un super administrateur ou avoir un rôle comprenant le démarrage des sessions Live Response sur les serveurs. Voir Donner l’accès à Live Response aux administrateurs.

Si vous utilisez une connexion fédérée avec un fournisseur d’identités pris en charge qui applique les challenges d’authentification multifacteur(MFA), vous pouvez éviter les challenges MFA de Sophos Central lors du démarrage d’une session Live Response. Pour ce faire, activez l’option Le fournisseur d’identité a appliqué l’authentification multifacteur. Cliquez sur l’icône Paramètres généraux Icône Paramètres généraux.. Sous Administration, cliquez sur Fournisseurs d’identités fédérés. Voir Ajouter le fournisseur d’identité (Entra ID/Open IDC/ADFS).

Démarrer Live Response

Pour démarrer Live Response, procédez comme suit :

  1. Allez dans Mon environnement > Ordinateurs et serveurs.
  2. Sélectionnez un appareil et cliquez dessus pour ouvrir sa page d’informations.

  3. Dans le volet supérieur, cliquez sur Actions et sélectionnez Live Response.

    Une connexion à l’ordinateur s’ouvre dans un autre onglet du navigateur. L’onglet affiche une fenêtre de terminal.

    Si le nouvel onglet ne s’ouvre pas, votre navigateur l’a peut-être bloqué. Configurez votre navigateur de façon à l’autoriser.

  4. À l’invite de commande, saisissez les commandes pour effectuer votre analyse ou votre action de correction.

    Utilisez les commandes DOS, UNIX ou Linux en fonction de l’ordinateur auquel vous vous êtes connecté.

  5. Lorsque vous avez terminé, cliquez sur Terminer la session. La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici. La connexion est terminée même si l’onglet reste ouvert. Vous pouvez naviguer dans Sophos Central à partir d’ici.

La connexion est également terminée dans les cas suivants :

  • Vous fermez l’onglet.
  • Vous actualisez l’onglet.
  • Vous naviguez dans Sophos Central à partir d’ici.
  • Il n’y a pas d’activité pendant 30 minutes.

Auditer l’activité Live Response

Pour afficher l’activité générale de Live Response, consultez le journal d’audit.

  1. Allez dans Rapports > Journaux.
  2. Sous Journaux généraux, cliquez sur Journaux d’audit.

Le journal d’audit indique l’heure de début et de fin des sessions, l’identité de l’administrateur qui les a démarrées, l’appareil auquel la session a accédé et le « but » donné lors du démarrage de la session.

Pour afficher tous les détails des sessions, cliquez sur Voir les journaux d’audit de session correspondant à l’entrée de journal pour le début ou la fin d’une session.

Auditer une session Live Response

Retrouvez plus de renseignements sur ce qui s’est passé dans une session Live Response spécifique dans le journal d’audit de la session.

Restriction

Pour obtenir les journaux d’audit de session, vous devez être un super administrateur ou avoir un rôle personnalisé qui inclut Gérer les paramètres Live Response pour les ordinateurs et Gérer les paramètres Live Response pour les serveurs.

Pour afficher le journal d’audit, procédez comme suit :

  1. Allez dans Rapports > Journaux.
  2. Sous Journaux Endpoint & Server Protection, cliquez sur Audit de session Live Response.
  3. Recherchez la session souhaitée et cliquez sur Télécharger le journal de la session. Le journal de la session est téléchargé sous forme de fichier compressé gzip.
  4. Procédez à l’extraction du fichier et consultez-le.

Le journal d’audit affiche les commandes saisies dans la session Live Response.