設定並啟動 Live Response

Live Response 讓您能直接連線到裝置，以便調查和修復可能的安全問題。

您可以使用 Live Response 來停止可疑的處理序、重新啟動具有擱置更新的裝置、瀏覽資料夾、刪除檔案等。

該頁面將引導您如何進行以下操作：

開啟 Live Response，指定可以連線的裝置。

注意

您需要分別開啟電腦和伺服器的 Live Response。
啟動 Live Response 工作階段。
稽核一般 Live Response 活動。
稽核 Live Response 工作階段。

開啟電腦的 Live Response

限制

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定 的自訂角色才可變更 Live Response 設定。請參閱爲管理員授予 Live Response 的存取權限。

要開啟 Live Response 並指定可以連線的電腦，請執行以下動作：

前往概觀 > 整體設定 > 端點防護 > Live Response。
開啟 允許 Live Response 連線到電腦。

根據預設，Live Response 可連線至所有電腦。
要阻止 Live Response 連線至特定電腦，在 例外項目 下方的可用中選取電腦，然後將它們移至 已排除。
按一下儲存。

開啟伺服器的 Live Response

注意

您必須是超級管理員或具有包含 管理伺服器的 Live Response 設定 的自訂角色才可變更 Live Response 設定。請參閱爲管理員授予 Live Response 的存取權限。

要開啟 Live Response 並指定可以連線的伺服器，請執行以下動作：

前往概觀 > 整體設定 > 伺服器保護 > Live Response。
開啟 允許 Live Response 連線到伺服器。

根據預設，Live Response 可以連線至所有伺服器。
要阻止 Live Response 連線至特定伺服器，在 例外項目 下方的可用中選取伺服器，然後將它們移至 已排除。

啟動 Live Response 工作階段

限制

要啟動 Live Response 工作階段，您必須是超級管理員或具有允許您啟動它的自訂角色。您還必須使用多重要素驗證。我們建議您使用 Sophos ID 登入，因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。請參閱爲管理員授予 Live Response 的存取權限。

若要啟動 Live Response，請執行下列動作：

請前往設備。
選取一個裝置並按一下它以開啟其詳情頁面。
在詳情頁面左側，按一下 Live Response。

與電腦的連線將在另一個瀏覽器索引標籤中開啟。該索引標籤會顯示終端機視窗。

如果新索引標籤未開啟，您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。
在命令提示字元，輸入命令以執行調查或修復。

視您連線的電腦，使用 DOS、UNIX 或 Linux 命令。
完成時，請按一下結束工作階段。雖然索引標籤仍處於打開狀態，但連線已關閉。您可從此處瀏覽 Sophos Central 中的其他地方。雖然索引標籤仍處於打開狀態，但連線已關閉。您可從此處瀏覽 Sophos Central 中的其他地方。

在以下情況下，連線也會關閉：

您關閉索引標籤。
您重新整理索引標籤。
您從這裡瀏覽 Sophos Central 中的其他位置。
30 分鐘內沒有活動。

稽核 Live Response 活動

若要查看一般 Live Response 活動，請檢視稽核記錄。

請前往 日誌紀錄與報告。
在 一般日誌紀錄 下，按一下 稽核日誌紀錄。

稽核記錄顯示工作階段開始和結束的時間、開始工作階段的管理員、工作階段存取的裝置以及工作階段開始時給出的「目的」。

若要查看工作階段的完整詳細資料，請按一下工作階段開始或結束之記錄項目旁的查看工作階段稽核記錄。

稽核 Live Response 工作階段

若要查看特定 Live Response 工作階段中發生事件的完整詳細資料，請檢視工作階段稽核記錄。

限制

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定 和 管理伺服器的 Live Response 設定 的自訂角色才可獲取工作階段稽核記錄。

要檢視稽核記錄，請執行以下操作：

請前往 日誌紀錄與報告。
在端點和伺服器保護記錄下，按一下 Live Response 工作階段稽核。
找到所需的工作階段，然後按一下下載工作階段記錄。工作階段記錄下載為 gzip 壓縮檔案。
解壓縮檔案並加以檢視。

稽核記錄顯示在 Live Response 工作階段中輸入的命令。