跳至內容

設定並啟動 Live Response

Live Response 讓您能直接連線到裝置,以便調查和修復可能的安全問題。

您可以使用 Live Response 來停止可疑的處理序、重新啟動具有擱置更新的裝置、瀏覽資料夾、刪除檔案等。

該頁面將引導您如何進行以下操作:

  • 開啟 Live Response,指定可以連線的裝置。

    注意

    您需要分別開啟電腦和伺服器的 Live Response。

  • 啟動 Live Response 工作階段。

  • 稽核一般 Live Response 活動。
  • 稽核 Live Response 工作階段。

開啟電腦的 Live Response

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定 的自訂角色才可變更 Live Response 設定。請參閱爲管理員授予 Live Response 的存取權限

要開啟 Live Response 並指定可以連線的電腦,請執行以下動作:

  1. 前往 我的產品 > 一般設定 > Endpoint Protection > Live Response
  2. 開啟 允許 Live Response 連線到電腦

    根據預設,Live Response 可連線至所有電腦。

  3. 要阻止 Live Response 連線至特定電腦,在 例外項目 下方的 可用 中選取電腦,然後將它們移至 已排除

  4. 按一下儲存

打開伺服器的實時響應

您必須是超級管理員或具有包含 管理伺服器的 Live Response 設定 的自訂角色才可變更 Live Response 設定。請參閱爲管理員授予 Live Response 的存取權限

要開啟 Live Response 並指定可以連線的伺服器,請執行以下動作:

  1. 前往 我的產品 > 一般設定 > Server Protection > Live Response
  2. 開啟 允許 Live Response 連線到伺服器

    根據預設,Live Response 可以連線至所有伺服器。

  3. 要阻止 Live Response 連線至特定伺服器,在 例外項目 下方的 可用 中選取伺服器,然後將它們移至 已排除

啟動 Live Response 工作階段

要啟動 Live Response 工作階段,您必須是超級管理員或具有允許您啟動它的自訂角色。請參閱爲管理員授予 Live Response 的存取權限

如果您與強制 MFA 查問的受支援之身分提供者使用同盟登入,則在啟動 Live Response 工作階段時可以避免 Sophos Central MFA 查問。若要這麼做,請開啟 IdP 強制 MFA 選項。移至我的產品 > 一般設定 > 同盟身分識別提供者。請參閱添加身份提供者(Entra ID/Open IDC/ADFS)

啟動 Live Response

若要啟動 Live Response,請執行下列動作:

  1. 請前往 設備
  2. 選取一個裝置並按一下它以開啟其詳情頁面。
  3. 在詳情頁面左側,按一下 Live Response

    與電腦的連線將在另一個瀏覽器索引標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    視您連線的電腦,使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下結束工作階段。雖然索引標籤仍處於打開狀態,但連線已關閉。您可從此處瀏覽 Sophos Central 中的其他地方。雖然索引標籤仍處於打開狀態,但連線已關閉。您可從此處瀏覽 Sophos Central 中的其他地方。

在以下情況下,連線也會關閉:

  • 您關閉索引標籤。
  • 您重新整理索引標籤。
  • 您從這裡瀏覽 Sophos Central 中的其他位置。
  • 30 分鐘內沒有活動。

稽核 Live Response 活動

若要查看一般 Live Response 活動,請檢視稽核記錄。

  1. 請前往 報告> 日誌
  2. 一般日誌紀錄 下,按一下 稽核日誌紀錄

稽核記錄顯示工作階段開始和結束的時間、開始工作階段的管理員、工作階段存取的裝置以及工作階段開始時給出的「目的」。

若要查看工作階段的完整詳細資料,請按一下工作階段開始或結束之記錄項目旁的查看工作階段稽核記錄

稽核 Live Response 工作階段

若要查看特定 Live Response 工作階段中發生事件的完整詳細資料,請檢視工作階段稽核記錄。

限制

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定管理伺服器的 Live Response 設定 的自訂角色才可獲取工作階段稽核記錄。

要檢視稽核記錄,請執行以下操作:

  1. 請前往 報告> 日誌
  2. 端點和伺服器保護記錄下,按一下 Live Response 工作階段稽核
  3. 找到所需的工作階段,然後按一下下載工作階段記錄。工作階段記錄下載為 gzip 壓縮檔案。
  4. 解壓縮檔案並加以檢視。

稽核記錄顯示在 Live Response 工作階段中輸入的命令。