Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Live-Response

Configurar e iniciar o Live Response

O Live Response permite que você se conecte a dispositivos para investigar e remediar possíveis problemas de segurança.

Utilizando o Live Response, você pode interromper processos suspeitos, reiniciar dispositivos com atualizações pendentes, procurar pastas, eliminar arquivos e muito mais.

A página descreve como:

  • Ativar o Live Response e especificar os dispositivos aos quais ele pode se conectar, conforme descrito abaixo.

    Nota

    Você precisa ativar o Live Response para computadores e servidores separadamente.

  • Iniciar uma sessão do Live Response.

  • Auditar a atividade geral do Live Response.
  • Auditar uma sessão do Live Response.

Ativar o Live Response para computadores

Para alterar configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações do Live Response para computadores. Consulte Dar acesso para administradores ao Live Response.

Para ativar o Live Response e especificar os computadores aos quais ele pode se conectar, faça como se segue:

  1. Vá para Meus produtos > Configurações gerais > Endpoint Protection > Live Response.

  2. Ative Permitir conexões do Live Response aos computadores.

    Por padrão, o Live Response pode se conectar a todos os computadores.

  3. Para impedir que o Live Response se conecte a computadores específicos, procure em Exclusões, selecione os computadores em Disponível e mova-os para Excluído.

  4. Clique em Salvar.

Ativar o Live Response para servidores

Para alterar configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações do Live Response para servidores. Consulte Dar acesso para administradores ao Live Response.

Para ativar o Live Response e especificar os servidores aos quais ele pode se conectar, faça como se segue:

  1. Vá para Meus produtos > Configurações gerais > Server Protection > Live Response.

  2. Ative Permitir conexões do Live Response aos servidores.

    Por padrão, o Live Response pode se conectar a todos os servidores.

  3. Para impedir que o Live Response se conecte a servidores específicos, procure em Exclusões, selecione os servidores em Disponível e mova-os para Excluído.

Iniciar uma sessão do Live Response

Para iniciar uma sessão do Live Response, você precisa ser um Super Admin ou ter uma função personalizada que permita iniciar uma sessão. Consulte Dar acesso para administradores ao Live Response.

Se você estiver usando o início de sessão federado com um provedor de identidade compatível que impõe desafios de MFA, poderá evitar desafios de MFA do Sophos Central ao iniciar uma sessão do Live Response. Para fazer isso, ative a opção Imposição de MFA pelo IdP. Vá para Meus produtos > Configurações gerais > Provedores de identidade federados. Consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).

Iniciar o Live Response

Para iniciar o Live Response, proceda da seguinte forma:

  1. Vá para Dispositivos.
  2. Selecione um dispositivo e clique nele para abrir sua página de detalhes.

  3. À esquerda da página de detalhes, clique em Live Response.

    Uma conexão com o computador abre em outra guia do navegador. A guia mostra uma janela de terminal.

    Se a nova guia não abrir, o seu navegador talvez a tenha bloqueada. Configure seu navegador para permiti-la.

  4. No prompt de comando, insira os comandos para executar sua investigação ou correção.

    Use os comandos DOS, UNIX ou Linux dependendo do computador ao qual você se conectou.

  5. Quando terminar, clique em Encerrar sessão. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui.

A conexão também é fechada nos seguintes casos:

  • Você fecha a guia.
  • Você atualiza a guia.
  • Você navega para outro lugar no Sophos Central partindo daqui.
  • Não há atividade durante 30 minutos.

Auditar a atividade do Live Response

Para ver a atividade geral do Live Response, consulte o log de auditoria.

  1. Vá para Relatórios > Logs.
  2. Em Logs gerais, clique em Logs de auditoria.

O log de auditoria mostra quando as sessões foram iniciadas e terminadas, o administrador que iniciou a sessão, o dispositivo o qual a sessão acessou e a "Finalidade" dada quando a sessão foi iniciada.

Para ver os detalhes completos das sessões, clique em Consulte os logs de auditoria da sessão ao lado de uma entrada de log para o início ou o fim de uma sessão.

Auditar uma sessão do Live Response

Para ver os detalhes completos do que aconteceu em uma sessão específica do Live Response, exiba o log de auditoria da sessão.

Restrição

Para obter logs de auditoria de sessão, você deve ser um Super Admin ou ter uma função que inclua Gerenciar configurações do Live Response para computadores e Gerenciar configurações do Live Response para servidores.

Para visualizar o log de auditoria, proceda da seguinte forma:

  1. Vá para Relatórios > Logs.
  2. Em Logs do Endpoint & Server Protection, clique em Auditoria da sessão do Live Response.
  3. Localize a sessão desejada e clique em Download do log de sessão. O log de sessão é baixado como um arquivo compactado gzip.
  4. Extraia o arquivo e exiba-o.

O log de auditoria mostra os comandos inseridos na sessão do Live Response.