コンテンツにスキップ

Live Response のセットアップと開始

Live Response を使用すると、デバイスに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。

Live Response を使用して、疑わしいプロセスを停止したり、アップデートが保留中のデバイスを再起動したり、フォルダを参照したり、ファイルを削除したりできます。

このページでは、次の操作方法について説明しています。

  • Live Response をオンにして、接続できるデバイスを指定。

    コンピュータ向け Live Response とサーバー向け Live Response は、個別にオンにする必要があります。

  • Live Response セッションの開始。

  • Live Response の一般的なアクティビティの監査。
  • Live Response セッションの監査。

コンピュータ向け Live Response をオンにする方法

Live Response の設定を変更するには、スーパー管理者であるか、または「コンピュータの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。

Live Response をオンにして、接続できるコンピュータを指定するには、次の手順を実行します。

  1. マイプロダクト > 全般設定 > エンドポイントプロテクション > Live Response」を参照します。
  2. コンピュータへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのコンピュータに接続できます。

  3. Live Response が特定のコンピュータに接続できないようにするには、「除外」を参照し、「選択可能」でコンピュータを選択して「除外済み」に移動します。

  4. 保存」をクリックします。

サーバー向け Live Response をオンにする

Live Response の設定を変更するには、スーパー管理者であるか、または「サーバーの Live Response 設定を管理する」を含むカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。

Live Response をオンにして、接続できるサーバーを指定するには、次の手順を実行します。

  1. マイプロダクト > 全般設定 > サーバープロテクション > Live Response」を参照します。
  2. サーバーへの Live Response 接続を許可する」をオンにします。

    デフォルトで、Live Response はすべてのサーバーに接続できます。

  3. Live Response が特定のサーバーに接続できないようにするには、「除外」を参照し、「選択可能」でサーバーを選択して「除外済み」に移動します。

Live Response セッションの開始

Live Response セッションを開始するには、スーパー管理者であるか、またはセッションを開始する権限のあるカスタムロールが割り当てられている必要があります。管理者への Live Response へのアクセスの許可 を参照してください。

フェデレーションサインインを、MFA チャレンジを適用する対応している IdP とともに使用している場合は、Live Response セッションの開始時に Sophos Central MFA チャレンジを回避できます。これを行うには、「IdP によって MFA を適用する」オプションをオンにします。「マイプロダクト > 全般設定 > フェデレーション IdP」の順に選択します。詳細は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。

Live Response の開始

Live Response を開始するには、次の手順を実行します。

  1. デバイス」に移動します。
  2. デバイスを選択し、クリックして詳細ページを開きます。
  3. 詳細ページの左側で、「Live Response」をクリックします。

    コンピュータへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。

    新しいタブが開かない場合は、ブラウザによってブロックされている可能性があります。許可されるようブラウザを設定します。

  4. コマンドプロンプトで、調査または修復を実行するコマンドを入力します。

    接続先コンピュータに応じて、DOS、UNIX、または Linux コマンドを使用してください。

  5. 終了したら、「セッションの終了」をクリックします。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。

次の場合にも、接続は閉じます。

  • ユーザーがタブを閉じた。
  • ユーザーがタブをリフレッシュした。
  • ユーザーが、ここから Sophos Central の他の場所を参照した。
  • 30分間アクティビティがない。

Live Response アクティビティの監査

Live Response の一般的なアクティビティを表示するには、監査ログを表示します。

  1. レポート > ログ」に移動します。
  2. 一般ログ」で、「監査ログ」をクリックします。

監査ログには、セッションの開始および終了日時、セッションを開始した管理者、セッションでアクセスされたデバイス、およびセッションの開始時に指定された「目的」が表示されます。

セッションの詳細を表示するには、セッションの開始または終了のログエントリの横にある「セッション監査ログを参照してください」をクリックします。

Live Response セッションの監査

特定の Live Response セッションでのアクティビティの詳細を参照するには、セッション監査ログを表示します。

制限事項

セッション監査ログを表示するには、スーパー管理者であるか、「コンピュータの Live Response 設定を管理する」および「サーバーの Live Response 設定を管理する」の両方を含むカスタムロールが割り当てられている必要があります。

監査ログを表示するには、次の手順を実行します。

  1. レポート > ログ」に移動します。
  2. エンドポイントプロテクションとサーバープロテクションのログ」で、 「Live Response セッションの監査」をクリックします。
  3. 目的のセッションを参照して、「セッションログのダウンロード」をクリックします。セッションログは、gzip 圧縮ファイルとしてダウンロードされます。
  4. ファイルを展開して表示します。

監査ログには、Live Response セッションで入力したコマンドが表示されます。