Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=server-summary

Riepilogo del server

La scheda Riepilogo nella pagina dei dettagli di un server consente di visualizzare i dettagli del server.

Per visualizzare la scheda, procedere come segue:

  1. Selezionare Il mio ambiente > Computer e server.

    In alternativa, selezionare Prodotti > Server > Server.

  2. Cliccare sul nome del server per il quale si desidera visualizzare i dettagli.

  3. Cliccare sulla scheda Riepilogo.

Da questa schermata è possibile gestire il server. Le sezioni visualizzate dipendono dalle licenze di cui si è in possesso e dalle funzionalità impostate.

Stato di integrità della sicurezza

Nel primo riquadro in alto, è possibile visualizzare lo stato di integrità della sicurezza e intraprendere azioni.

Nota

Il riquadro in alto è sempre visibile, anche quando si clicca su altre schede della pagina.

Un’icona indica se nel server sono presenti avvisi di sicurezza:

Icona Descrizione
Simbolo di spunta verde. Simbolo di spunta verde, se non sono presenti avvisi, oppure se gli avvisi sono di priorità bassa.
Simbolo di avviso arancione. Simbolo di avviso arancione se sono presenti avvisi di priorità media.
Simbolo di avviso rosso. Simbolo di avviso rosso se sono presenti avvisi di priorità alta.

Nota

Lo stato di integrità indicato qui potrebbe essere diverso da quello visualizzato nella pagina Computer e server. Vedere Cambiamenti dello stato di integrità nell’elenco di computer e server.

Azioni disponibili

È possibile intraprendere azioni sul server.

Cliccare su Azioni* per visualizzare le azioni disponibili. Tutte le azioni sono descritte di seguito.

Nota

Alcune azioni sono disponibili solamente per i server Windows.

Isola o rimuovi dall'isolamento

Questa azione può essere utilizzata solo in presenza di una licenza Sophos XDR - Server.

Isola isola il server dalla rete. Questa opzione può essere utile se vengono rilevate potenziali minacce sul computer. Il server può continuare a essere gestito da Sophos Central e può essere rimosso dallo stato di isolamento in qualsiasi momento.

Nota

Se un server ospita servizi critici, potrebbe essere preferibile non isolarlo. Come alternativa, è possibile utilizzare la Protezione adattiva contro gli attacchi. Vedere Protezione adattiva contro gli attacchi.

Quando si isola un server, sotto l’icona e lo stato di sicurezza del server viene visualizzato il seguente messaggio di stato:

  • Il messaggio Isolato da un Amministratore.
  • Un link Rimuovi dall'isolamento. Cliccare su questo link per connettere nuovamente il server alla rete.

Protezione adattiva contro gli attacchi

Questa funzionalità è disponibile solo per i dispositivi Windows.

La Protezione adattiva contro gli attacchi applica ulteriori livelli di protezione al server. Queste protezioni sono progettate per bloccare le azioni di un utente malintenzionato.

Se si notano attività sospette sul server e si desidera applicare un maggiore livello di sicurezza mentre si conducono indagini, è possibile attivare la Protezione adattiva contro gli attacchi. Può essere attivata solo per un periodo di tempo prestabilito.

Cliccare su Protezione adattiva contro gli attacchi e selezionare un periodo di tempo. L’impostazione predefinita è 24 ore. Il massimo è 72 ore. Il menu indicherà ora che la Protezione adattiva contro gli attacchi è attiva. Verranno visualizzate anche due nuove opzioni:

  • Estendi la Protezione adattiva contro gli attacchi. Cliccare su questa opzione per estendere il periodo di tempo durante il quale la Protezione adattiva contro gli attacchi sarà attiva. Ad esempio, se è stata attivata per 24 ore, sarà possibile estenderne la durata fino a 48 o 72 ore.
  • Disattiva la Protezione adattiva contro gli attacchi.

Nota

La Protezione adattiva contro gli attacchi è disponibile anche nei criteri di protezione contro le minacce per server. Se viene selezionata in un criterio, si attiverà automaticamente quando viene rilevato un attacco su un server. La scheda Riepilogo del server mostrerà che è attiva e permetterà di estenderla o disattivarla.

Elimina

Elimina elimina il server da Sophos Central.

Avviso

Occorre disinstallare i software Sophos prima di eliminare un server.

I server possono essere ripristinati per 30 giorni dopo la loro eliminazione. Selezionare Report > Report > Endpoint Protection e Server Protection > Ripristina i dispositivi eliminati e recupera le password del Blocco rimozione.

Scansione

Restrizione

Questa opzione non è disponibile se si utilizza Sophos XDR Sensor.

Scansione esegue immediatamente la scansione del server.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione 'Scansione del computer' completata", più eventuali altri eventi di rimozione nella pagina Report > Log > Log generali > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi. Selezionare Il mio ambiente > Avvisi.

Se il server è offline, la scansione verrà eseguita quando tornerà online. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata, e si proseguirà con la scansione originale.

Isola

Restrizione

Questa opzione non è disponibile se si utilizza Sophos XDR Sensor.

Isola impedisce l’esecuzione di software non autorizzato sul server.

Questa opzione compila un elenco dei software già installati nel server, verifica che siano sicuri e autorizza solamente l’esecuzione dei software elencati.

Se dovesse essere necessario apportare modifiche al server in un secondo momento, occorrerà sbloccarlo oppure adoperare le preferenze di Server Lockdown all’interno del criterio del server.

Sblocca: Sblocca il server. Questo pulsante è disponibile quando il server è stato precedentemente bloccato.

Diagnosi

Esegui diagnosi esegue Sophos Diagnostic Utility, che raccoglie i log e li invia al Supporto Sophos.

Per maggiori informazioni, vedere Sophos Diagnostic Utility.

Crea snapshot di analisi approfondita

È possibile creare uno "snapshot di analisi approfondita" dei dati ottenuti dal dispositivo. Vedere Snapshot di analisi approfondita.

Lo snapshot fornisce dati sull'attività del dispositivo, attingendoli da un log di Sophos, e li salva sul dispositivo stesso. È anche possibile salvarlo nel bucket S3 Amazon Web Services (AWS) specificato. L'utente può quindi svolgere le proprie analisi.

È richiesto un convertitore (che viene fornito da noi) per la lettura dei dati (vedere Conversione di snapshot di analisi approfondita).

Nota

È possibile scegliere la quantità di dati che si desidera includere negli snapshot e dove caricarli. Per farlo, cliccare sull’icona Impostazioni generali Icona Impostazioni generali.. Sotto Generale, cliccare su Snapshot di analisi approfondita. Queste opzioni potrebbero non essere ancora disponibili per tutti i clienti.

Per creare uno snapshot:

  1. Aprire la scheda Analizza di un grafico delle minacce.

    In alternativa, nella pagina dei dettagli del dispositivo, aprire la scheda Stato.

  2. Cliccare su Crea snapshot di analisi approfondita.

  3. Seguire i passaggi descritti in Caricamento di snapshot di analisi approfondita su un bucket S3 AWS.

È possibile trovare gli snapshot generati in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Gli snapshot generati dai rilevamenti si trovano in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Per accedere agli snapshot salvati, è necessario essere un amministratore con accesso alla password del blocco rimozione ed eseguire un prompt dei comandi con privilegi di amministratore.

Reimposta stato di integrità

Reimposta stato di integrità ripristina lo stato di integrità come “Integro”.

La reimpostazione non elimina le minacce e non risolve i problemi del software, ma cancella gli avvisi in Sophos Central e sul server.

Eseguire una reimpostazione se si desidera cancellare i problemi meno recenti e concentrarsi su quelli attuali o futuri. Un server senza problemi rimarrà “Integro” dopo la reimpostazione, quindi qualsiasi problema di protezione o malware attuale o futuro sarà più evidente.

La reimpostazione non influisce sulla protezione. Se il server presenta problemi che richiedono un’azione, tornerà a uno stato di integrità pessimo.

Live Response

Live Response permette di effettuare la connessione al server per svolgere indagini e risolvere eventuali problemi di sicurezza. È possibile connettersi al server anche se è isolato.

Per utilizzare Live Response, è necessario soddisfare le seguenti condizioni:

  • Occorre essere Super Amministratore o avere un ruolo personalizzato che include Avvia sessioni di Live Response su server.

  • È necessario accedere con l’autenticazione a fattori multipli (Multi-Factor Authentication, MFA).

Consigliamo di effettuare l'accesso con un Sophos ID, perché altri metodi, ad esempio l'accesso federato Microsoft con MFA, potrebbero non consentire l'accesso a Live Response.

Prima di cominciare, assicurarsi che Live Response sia attivata. Per farlo, selezionare Prodotti > Server > Criteri e controllare il proprio criterio Raccolta dei dati e Indagini.

Per avviare Live Response, procedere come segue:

  1. Cliccare su Live Response.
  2. In Scopo della sessione, fornire una breve descrizione dello scopo della sessione.

  3. Cliccare su Avvia.

    Una connessione al server viene aperta in un'altra scheda del browser. La scheda mostra una finestra terminale.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

    Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.

  5. Al termine, cliccare su Termina sessione.

    La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

    La connessione viene terminata anche nei seguenti casi:

    • Se si chiude la scheda.
    • Se si aggiorna la scheda.
    • Se da qui si naviga altrove in Sophos Central.
    • Se non c'è nessuna attività per 30 minuti.

Per visualizzare le sessioni di Live Response che sono state iniziate o terminate, consultare il log di controllo di Sophos Central.

Eventi recenti

Questa opzione elenca gli eventi recenti del server.

Per un elenco completo, cliccare sulla scheda Eventi.

Riepilogo agente

Il riepilogo indica i dettagli elencati di seguito.

Nota

Alcuni dettagli sono disponibili solamente per i server Windows.

  • Ultima attività Sophos Central: l'ultima volta che il server ha comunicato con Sophos Central.
  • Ultimo aggiornamento agente: l'ultima volta che è stato aggiornato l'agente Sophos. Aggiorna ora aggiorna l'agente Sophos. Vedere Riavvii dei server.
  • Gestito da MDR: indica se il server è gestito da MDR.

  • Prodotti assegnati:

    • Software mostra il prodotto Sophos installato: Endpoint, XDR o XDR Sensor.
    • Versioni indica quale versione di ciascun componente è installata.

  • Indirizzo IPv4

  • Indirizzo IPv6
  • Sistema operativo: se viene visualizzato come "Sophos Security VM", il server è un host su cui è installata una VM di sicurezza Sophos.
  • Stato di lockdown: indica lo stato di Server Lockdown, che impedisce l'esecuzione di software non autorizzato sui server.
  • Gruppo: indica il gruppo di appartenenza del server (se il server appartiene a un gruppo). Modifica gruppo consente di aggiungere il server a un gruppo, trasferirlo in un gruppo diverso oppure rimuoverlo dal gruppo attuale. Un server può appartenere a un solo gruppo.
  • Blocco rimozione: Indica se nel computer sia o meno abilitato Blocco rimozione, ovvero il blocco rimozione. Cliccare su Disattiva Blocco rimozione per gestire la password di tamper protection per il server. Vedere Blocco rimozione.

Aggiorna cache e stato del relay dei messaggi

Se nella rete si utilizzano cache degli aggiornamenti o relay dei messaggi, verranno visualizzate le informazioni relative a questo stato.

Se il server viene utilizzato come cache degli aggiornamenti o relay dei messaggi, verranno visualizzati:

  • Lo stato della cache e quando è stato effettuato l’ultimo aggiornamento. Specifica anche il numero di computer che lo utilizzano come cache.
  • Lo stato del relay e il numero di computer che lo usano.

In alternativa, se il server riceve aggiornamenti da una cache (oppure se utilizza un relay) che è stata impostata su un percorso diverso, verranno visualizzati i dettagli relativi all’ubicazione della cache o del relay in questione. Vedere Gestisci cache degli aggiornamenti e relay dei messaggi.

Windows Firewall

Windows Firewall è attivo e gestito nel computer. Indica anche:

  • Se viene utilizzato il criterio di gruppo Windows.
  • I profili di rete attivi.
  • Se sono installati altri firewall registrati e se sono attivi.