伺服器資料收集和調查原則
伺服器資料收集和調查原則可讓您將資料從伺服器上傳到我們的Data Lake。它還允許您使用Live Response來存取和調查伺服器。
要檢視或編輯原則,請執行以下動作:
- 前往 「我的產品」 > “伺服器”。
- 按一下原則。
-
前往 「資料收集與調查」,點擊某項原則以開啟其詳細資料。
基本 原則預設適用於所有裝置。您也可以為指定的設備群組設定自訂策略。請參見 關於策略。
-
點選“設定”選項卡。
接下來,配置下面的設定。
Live Response
!!! info 「要變更Live Response設置,您必須是超級管理員或擁有管理伺服器資料收集和調查設置的自訂 角色。請參見 爲管理員授予 Live Response 的存取權限."
允許Live Response連接到伺服器:此設定可讓您直接連接到伺服器,以調查和修復可能存在的安全性問題。
您可以使用 Live Response 來停止可疑程序、重新啟動有待更新的伺服器、瀏覽資料夾、刪除檔案等。
如果您擁有Sophos MDR,則預設會啟用Live Response。否則,預設情況下是關閉的。
有關使用Live Response的信息,請參閱 設定並啟動 Live Response。
如果您啟用了Live Response,但又想阻止對敏感伺服器的訪問,請將它們放入一個群組中,並套用一個關閉Live Response的原則。
!!! note “傳統Live Response排除項”
如果您在引入資料收集和調查策略之前設定了Live Response排除項,我們會自動將排除的伺服器移至已關閉Live Response的自訂策略。
Data Lake 上傳
!!! info 「要更改資料上傳設置,您必須是超級管理員或擁有伺服器資料收集和調查管理設置的自訂 角色。請參見 新增自訂角色."
上傳到 Data Lake:此設定允許伺服器將安全資料上傳到Sophos Data Lake。您可以使用 Live Discover 或我們的 AI 助理查詢這些資料。
Data Lake 上傳預設為開啟狀態。
如果要封鎖某些伺服器上傳數據,請將它們放入一個群組中,並套用原則關閉Data Lake上傳功能。
!!! note “舊版上傳排除項目”
如果您在引入資料收集和調查策略之前設定了Data Lake上傳排除項,我們會自動將排除的伺服器移至自訂策略,並關閉Data Lake上傳功能。
Note
若您的環境規模龐大,當 Data Lake 上傳開啟時,可能會出現網路流量突然增加的情況。
Note
您可以將其他Sophos產品和第三方產品的資料上傳到我們的Data Lake。列表請參見 產品。
例外項目
您可以新增事件集合排除項。這會停止收集 Sophos 日誌和 Data Lake 的事件,進而影響效能。
如果 Sophos 支援要求您這麼做,請僅使用此排除項類型。
Warning
新增排除項會降低您抵禦安全漏洞的保護能力。
有關使用排除項的協助,請參閱 安全使用排除項。
限制
全域排除項中不提供事件收集功能。
若要建立事件集合掃描排除項,請執行下列操作:
- 點選 「新增排除項」。
-
在 「新增排除項 」對話方塊中,執行下列操作:
-
選擇要排除的項目類型。
- 檔案/資料夾:您可以排除某個文件或資料夾。您可使用萬用字元。有關通配符範例,請參閱 萬用字元範例。
- 流程:您可以從應用程式中排除任何執行的處理程序。有關流程排除的更多信息,請參閱 處理例外項目 (Windows)。
-
在 「值」中,指定要排除的項目。
- 點擊 “新增” 或 “新增另一個” 以新增其他排除項。
-
-
按一下 儲存。