Pular para o conteúdo

Configurar e iniciar o Live Response

O Live Response permite que você se conecte a dispositivos para investigar e remediar possíveis problemas de segurança.

Utilizando o Live Response, você pode interromper processos suspeitos, reiniciar dispositivos com atualizações pendentes, procurar pastas, eliminar arquivos e muito mais.

A página descreve como:

  • Ativar o Live Response e especificar os dispositivos aos quais ele pode se conectar, conforme descrito abaixo.

    Nota

    Você precisa ativar o Live Response para computadores e servidores separadamente.

  • Iniciar uma sessão do Live Response.

  • Auditar a atividade geral do Live Response.
  • Auditar uma sessão do Live Response.

Ativar o Live Response para computadores

Restrição

Para alterar as configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações do Live Response para computadores. Consulte Dar acesso para administradores ao Live Response.

Para ativar o Live Response e especificar os computadores aos quais ele pode se conectar, faça como se segue:

  1. Vá para Apresentação > Configurações globais > Proteção de Endpoint > Live Response.
  2. Ative Permitir conexões do Live Response aos computadores.

    Por padrão, o Live Response pode se conectar a todos os computadores.

  3. Para impedir que o Live Response se conecte a computadores específicos, procure em Exclusões, selecione os computadores em Disponíveis e mova-os para Excluídos.

  4. Clique em Salvar.

Ativar o Live Response para servidores

Nota

Para alterar as configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações do Live Response para servidores. Consulte Dar acesso para administradores ao Live Response.

Para ativar o Live Response e especificar os servidores aos quais ele pode se conectar, faça como se segue:

  1. Vá para Apresentação > Configurações globais > Server Protection > Live Response.
  2. Ative Permitir conexões do Live Response aos servidores.

    Por padrão, o Live Response pode se conectar a todos os servidores.

  3. Para impedir que o Live Response se conecte a servidores específicos, procure em Exclusões, selecione os servidores em Disponíveis e mova-os para Excluídos.

Iniciar uma sessão do Live Response

Restrição

Para iniciar uma sessão do Live Response, você precisa ser um Super Admin ou ter uma função personalizada que permita iniciar uma sessão. Você também deve fazer login com a autenticação multifator (MFA). Recomendamos fazer login com um Sophos ID, pois outros métodos, como o logon federado da Microsoft com MFA, talvez não permitam que você acesse o Live Response. Consulte Dar acesso para administradores ao Live Response.

Para iniciar o Live Response, proceda da seguinte forma:

  1. Vá para Dispositivos.
  2. Selecione um dispositivo e clique nele para abrir sua página de detalhes.
  3. À esquerda da página de detalhes, clique em Live Response.

    Uma conexão com o computador abre em outra guia do navegador. A guia mostra uma janela de terminal.

    Se a nova guia não abrir, o seu navegador talvez a tenha bloqueada. Configure seu navegador para permiti-la.

  4. No prompt de comando, insira os comandos para executar sua investigação ou correção.

    Use os comandos DOS, UNIX ou Linux dependendo do computador ao qual você se conectou.

  5. Quando terminar, clique em Encerrar sessão. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui.

A conexão também é fechada nos seguintes casos:

  • Você fecha a guia.
  • Você atualiza a guia.
  • Você navega para outro lugar no Sophos Central partindo daqui.
  • Não há atividade durante 30 minutos.

Auditar a atividade do Live Response

Para ver a atividade geral do Live Response, consulte o log de auditoria.

  1. Vá para Logs e Relatórios.
  2. Em Logs Gerais, clique em Logs de Auditoria.

O log de auditoria mostra quando as sessões foram iniciadas e terminadas, o administrador que iniciou a sessão, o dispositivo o qual a sessão acessou e a "Finalidade" dada quando a sessão foi iniciada.

Para ver os detalhes completos das sessões, clique em Consulte os logs de auditoria da sessão ao lado de uma entrada de log para o início ou o fim de uma sessão.

Auditar uma sessão do Live Response

Para ver os detalhes completos do que aconteceu em uma sessão específica do Live Response, exiba o log de auditoria da sessão.

Restrição

Para obter os logs de auditoria da sessão, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações do Live Response para computadores e Gerenciar configurações do Live Response para servidores.

Para visualizar o log de auditoria, proceda da seguinte forma:

  1. Vá para Logs e Relatórios.
  2. Em Logs do Endpoint & Server Protection, clique em Auditoria da sessão do Live Response.
  3. Localize a sessão desejada e clique em Download do log de sessão. O log de sessão é baixado como um arquivo compactado gzip.
  4. Extraia o arquivo e exiba-o.

O log de auditoria mostra os comandos inseridos na sessão do Live Response.

Voltar ao topo