Vai al contenuto

Impostazione e avvio di Live Response

Live Response abilita la connessione diretta ai computer, a scopo di indagine e risoluzione di potenziali problemi di sicurezza.

Utilizzando Live Response è possibile interrompere i processi sospetti, riavviare i dispositivi con aggiornamenti in sospeso, sfogliare le cartelle, eliminare i file e altro ancora.

Questa pagina fornisce informazioni su come eseguire le seguenti operazioni:

  • Attivare Live Response e specificare a quali dispositivi può connettersi.

    Nota

    Live Response deve essere attivata separatamente per computer e server.

  • Avviare una sessione di Live Response.

  • Controllare l'attività generale di Live Response.
  • Controllare una sessione di Live Response.

Attivazione di Live Response per i computer

Restrizione

Per modificare le impostazioni di Live Response occorre essere Super amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per computer. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali computer può connettersi, procedere come indicato di seguito:

  1. Selezionare Panoramica > Impostazioni globali > Endpoint Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai computer.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i computer.

  3. Se si desidera impedire la connessione di Live Response a computer specifici, guardare nelle Esclusioni, selezionare i computer in Disponibile, e spostarli nel campo Esclusi.

  4. Cliccare su Salva.

Attivazione di Live Response per i server

Nota

Per modificare le impostazioni di Live Response occorre essere Super amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per server. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali server può connettersi, procedere come indicato di seguito:

  1. Selezionare Panoramica > Impostazioni globali > Server Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai server.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i server.

  3. Se si desidera impedire la connessione di Live Response a server specifici, guardare nelle Esclusioni, selezionare i server in Disponibile, e spostarli nel campo Esclusi.

Avvio di una sessione di Live Response

Restrizione

Per avviare una sessione di Live Response occorre essere Super Amministratore o un utente con un ruolo personalizzato che ne consente l'avvio. Inoltre, è necessario accedere con l'autenticazione a fattori multipli (Multi-Factor Authentication, MFA). Consigliamo di effettuare l'accesso con un Sophos ID, perché altri metodi, ad esempio l'accesso federato Microsoft con MFA, potrebbero non consentire l'accesso a Live Response. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per avviare Live Response, procedere come segue:

  1. Aprire Dispositivi.
  2. Selezionare un dispositivo e cliccarci sopra per aprirne la pagina dei dettagli.
  3. Sulla sinistra nella pagina dei dettagli, cliccare su Live Response.

    Viene aperta una connessione al computer in un'altra scheda del browser. La scheda mostra una finestra terminale.

    Se la nuova scheda non si apre, è possibile che il browser l'abbia bloccata. Configurare il browser in modo che la autorizzi.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

    Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.

  5. Al termine, cliccare su Termina sessione. La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central. La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

La connessione viene terminata anche nei seguenti casi:

  • Se si chiude la scheda.
  • Se si aggiorna la scheda.
  • Se da qui si naviga altrove in Sophos Central.
  • Se non c'è nessuna attività per 30 minuti.

Controllo dell'attività di Live Response

Per visualizzare l'attività generale di Live Response, visualizzare il log di controllo.

  1. Aprire Log e report.
  2. Sotto Log generali, cliccare su Log di audit.

Il log di controllo mostra quando le sessioni sono iniziate e terminate, l'amministratore che ha avviato la sessione, il dispositivo a cui ha avuto accesso la sessione e lo "Scopo" indicato quando la sessione è stata avviata.

Per visualizzare i dettagli completi delle sessioni, cliccare su Vedi log di controllo della sessione accanto a una voce di log per l'inizio o la fine di una sessione.

Controllo di una sessione di Live Response

Per visualizzare i dettagli completi degli eventi di una sessione di Live Response specifica, visualizzare il log di controllo della sessione.

Restrizione

Per accedere ai log di controllo della sessione, occorre essere Super Amministratore o avere un ruolo personalizzato che include sia Gestisci impostazioni di Live Response per computer che Gestisci impostazioni di Live Response per server.

Per visualizzare il log di controllo, procedere come segue:

  1. Aprire Log e report.
  2. In Log di Endpoint Protection e Server Protection, cliccare su Controllo sessione di Live Response.
  3. Individuare la sessione desiderata e cliccare su Scarica log della sessione. Il log della sessione viene scaricato come file compresso gzip.
  4. Estrarre il file e visualizzarlo.

Il log di controllo mostra i comandi immessi nella sessione di Live Response.

Torna su