Live Response のセットアップと開始
Live Response を使用すると、デバイスに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。
Live Response を使用して、疑わしいプロセスを停止したり、アップデートが保留中のデバイスを再起動したり、フォルダを参照したり、ファイルを削除したりできます。
このページでは、次の操作方法について説明しています。
-
Live Response をオンにして、接続できるデバイスを指定。
注
コンピュータ向け Live Response とサーバー向け Live Response は、個別にオンにする必要があります。
-
Live Response セッションの開始。
- Live Response の一般的なアクティビティの監査。
- Live Response セッションの監査。
コンピュータ向け Live Response をオンにする方法
Live Response の設定を変更するには、スーパー管理者であるか、または「コンピュータの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。
Live Response をオンにして、接続できるコンピュータを指定するには、次の手順を実行します。
- 「マイプロダクト > 全般設定 > エンドポイントプロテクション > Live Response」を参照します。
-
「コンピュータへの Live Response 接続を許可する」をオンにします。
デフォルトで、Live Response はすべてのコンピュータに接続できます。
-
Live Response が特定のコンピュータに接続できないようにするには、「除外」を参照し、「選択可能」でコンピュータを選択して「除外済み」に移動します。
- 「保存」をクリックします。
サーバー向け Live Response をオンにする
Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。
Live Response をオンにして、接続できるサーバーを指定するには、次の手順を実行します。
- 「マイプロダクト > 全般設定 > サーバープロテクション > Live Response」を参照します。
-
「サーバーへの Live Response 接続を許可する」をオンにします。
デフォルトで、Live Response はすべてのサーバーに接続できます。
-
Live Response が特定のサーバーに接続できないようにするには、「除外」を参照し、「選択可能」でサーバーを選択して「除外済み」に移動します。
Live Response セッションの開始
Live Response セッションを開始するには、スーパー管理者であるか、またはセッションを開始する権限のあるカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。
フェデレーションサインインを、MFA チャレンジを適用する対応している IdP とともに使用している場合は、Live Response セッションの開始時に Sophos Central MFA チャレンジを回避できます。これを行うには、「IdP によって MFA を適用する」オプションをオンにします。「マイプロダクト > 全般設定 > フェデレーション IdP」の順に選択します。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。
Live Response の開始
Live Response を開始するには、次の手順を実行します。
- 「デバイス」に移動します。
- デバイスを選択し、クリックして詳細ページを開きます。
-
詳細ページの左側で、「Live Response」をクリックします。
コンピュータへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。
新しいタブが開かない場合は、ブラウザによってブロックされている可能性があります。許可されるようブラウザを設定します。
-
コマンドプロンプトで、調査または修復を実行するコマンドを入力します。
接続先コンピュータに応じて、DOS、UNIX、または Linux コマンドを使用してください。
-
終了したら、「セッションの終了」をクリックします。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。
次の場合にも、接続は閉じます。
- ユーザーがタブを閉じた。
- ユーザーがタブをリフレッシュした。
- ユーザーが、ここから Sophos Central の他の場所を参照した。
- 30分間アクティビティがない。
Live Response アクティビティの監査
Live Response の一般的なアクティビティを表示するには、監査ログを表示します。
- 「レポート > ログ」に移動します。
- 「一般ログ」で、「監査ログ」をクリックします。
監査ログには、セッションの開始および終了日時、セッションを開始した管理者、セッションでアクセスされたデバイス、およびセッションの開始時に指定された「目的」が表示されます。
セッションの詳細を表示するには、セッションの開始または終了のログエントリの横にある「セッション監査ログを参照してください」をクリックします。
Live Response セッションの監査
特定の Live Response セッションでのアクティビティの詳細を参照するには、セッション監査ログを表示します。
制限事項
セッション監査ログを表示するには、スーパー管理者であるか、「コンピュータの Live Response 設定を管理する」および「サーバーの Live Response 設定を管理する」の両方を含むカスタムロールが割り当てられている必要があります。
監査ログを表示するには、次の手順を実行します。
- 「レポート > ログ」に移動します。
- 「エンドポイントプロテクションとサーバープロテクションのログ」で、 「Live Response セッションの監査」をクリックします。
- 目的のセッションを参照して、「セッションログのダウンロード」をクリックします。セッションログは、
gzip
圧縮ファイルとしてダウンロードされます。 - ファイルを展開して表示します。
監査ログには、Live Response セッションで入力したコマンドが表示されます。