Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=Live-Response

Configurar e iniciar o Live Response

Você precisa ter o Sophos EDR, XDR ou MDR para usar esse recurso.

O Live Response permite que você se conecte a dispositivos para investigar e remediar possíveis problemas de segurança.

Utilizando o Live Response, você pode interromper processos suspeitos, reiniciar dispositivos com atualizações pendentes, procurar pastas, eliminar arquivos e muito mais.

A página descreve como:

  • Ativar o Live Response.

    Nota

    Você precisa ativar o Live Response para computadores e servidores separadamente.

  • Iniciar uma sessão do Live Response.

  • Auditar a atividade geral do Live Response.
  • Auditar uma sessão do Live Response.

Ativar o Live Response para computadores

Para alterar configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações de Coleta e investigação de dados para computadores. Consulte Dar acesso para administradores ao Live Response.

Para iniciar o Live Response, proceda da seguinte forma:

  1. Vá para Meus produtos > Endpoint.
  2. Clique em Policies.

  3. Vá para Coleta e investigação de dados e clique em uma política para abrir seus detalhes.

    A política de base se aplica a todos os computadores por padrão. Você também pode ter políticas personalizadas para grupos de computadores que você especificar. Consulte Sobre Políticas.

  4. Clique na guia de Configurações.

  5. Ative Permitir conexões do Live Response aos computadores.

    Por padrão, o Live Response pode se conectar a todos os computadores.

  6. Clique em Salvar.

Ativar o Live Response para servidores

Para alterar configurações do Live Response, você deve ser um Super Admin ou ter uma função personalizada que inclua Gerenciar configurações de Coleta e investigação de dados para servidores. Consulte Dar acesso para administradores ao Live Response.

Para ativar o Live Response e especificar os servidores aos quais ele pode se conectar, faça como se segue:

  1. Vá para Meus produtos > Server.
  2. Clique em Policies.

  3. Vá para Coleta e investigação de dados e clique em uma política para abrir seus detalhes.

    A política de base se aplica a todos os servidores por padrão. Você também pode ter políticas personalizadas para grupos de servidores que você especificar. Consulte Sobre Políticas.

  4. Clique na guia de Configurações.

  5. Ative Permitir conexões do Live Response aos servidores.

    Por padrão, o Live Response pode se conectar a todos os servidores.

  6. Clique em Salvar.

Iniciar uma sessão do Live Response

Para iniciar uma sessão do Live Response, você deve ser um Super Admin ou ter uma função personalizada com a permissão Iniciar sessões do Live Response. Consulte Dar acesso para administradores ao Live Response.

Se você estiver usando o início de sessão federado com um provedor de identidade compatível que impõe desafios de MFA, poderá evitar desafios de MFA do Sophos Central ao iniciar uma sessão do Live Response. Para fazer isso, ative a opção Imposição de MFA pelo IdP. Clique no ícone Configurações gerais Ícone de Configurações gerais.. Em Administração, clique em Provedores de identidade federados. Consulte Add the identity provider (Entra ID/Open IDC/ADFS).

Iniciar o Live Response

Para iniciar o Live Response, proceda da seguinte forma:

  1. Vá para Meu ambiente > Computadores e Servidores.
  2. Selecione um dispositivo e clique nele para abrir sua página de detalhes.

  3. No painel superior, clique em Ações e selecione Live Response.

    Uma conexão com o computador abre em outra guia do navegador. A guia mostra uma janela de terminal.

    Se a nova guia não abrir, o seu navegador talvez a tenha bloqueada. Configure seu navegador para permiti-la.

  4. No prompt de comando, insira os comandos para executar sua investigação ou correção.

    Use os comandos DOS, UNIX ou Linux dependendo do computador ao qual você se conectou.

  5. Quando terminar, clique em Encerrar sessão. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui. A conexão é fechada, embora a guia permaneça aberta. Você pode navegar para outros lugares no Sophos Central partindo daqui.

A conexão também é fechada nos seguintes casos:

  • Você fecha a guia.
  • Você atualiza a guia.
  • Você navega para outro lugar no Sophos Central partindo daqui.
  • Não há atividade durante 30 minutos.

Auditar a atividade do Live Response

Para ver a atividade geral do Live Response, consulte o log de auditoria.

  1. Vá para Relatórios > Logs.
  2. Em Logs gerais, clique em Logs de auditoria.

O log de auditoria mostra quando as sessões foram iniciadas e terminadas, o administrador que iniciou a sessão, o dispositivo o qual a sessão acessou e a "Finalidade" dada quando a sessão foi iniciada.

Para ver os detalhes completos das sessões, clique em Consulte os logs de auditoria da sessão ao lado de uma entrada de log para o início ou o fim de uma sessão.

Auditar uma sessão do Live Response

Para ver os detalhes completos do que aconteceu em uma sessão específica do Live Response, exiba o log de auditoria da sessão.

Restrição

Para obter logs de auditoria de sessão, você deve ser um Super Admin ou ter uma função que inclua Gerenciar configurações do Live Response para computadores e Gerenciar configurações do Live Response para servidores.

Para visualizar o log de auditoria, proceda da seguinte forma:

  1. Vá para Relatórios > Logs.
  2. Em Logs do Endpoint & Server Protection, clique em Auditoria da sessão do Live Response.
  3. Localize a sessão desejada e clique em Download do log de sessão. O log de sessão é baixado como um arquivo compactado gzip.
  4. Extraia o arquivo e exiba-o.

O log de auditoria mostra os comandos inseridos na sessão do Live Response.