跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=Live-Response

設定並啟動 Live Response

您必須擁有 Sophos EDR、XDR 或 MDR 才能使用此功能。

Live Response 讓您能直接連線到裝置,以便調查和修復可能的安全問題。

您可以使用 Live Response 來停止可疑的處理序、重新啟動具有擱置更新的裝置、瀏覽資料夾、刪除檔案等。

該頁面將引導您如何進行以下操作:

  • 開啟 Live Response。

    注意

    您需要分別開啟電腦和伺服器的 Live Response。

  • 啟動 Live Response 工作階段。

  • 稽核一般 Live Response 活動。
  • 稽核 Live Response 工作階段。

開啟電腦的 Live Response

要變更Live Response設置,您必須是超級管理員或擁有包含管理電腦資料收集和調查設置的自訂 角色。請參見 爲管理員授予 Live Response 的存取權限.

若要啟用 Live Response,請依照以下步驟操作:

  1. 前往「我的產品」 > 「端點」。
  2. 按一下原則

  3. 前往「資料蒐集與調查」,然後點選一項原則以開啟其詳細資訊。

    此基本原則預設適用於所有電腦。您也可以針對指定的電腦群組設定自訂原則。請參見 關於策略

  4. 點選“設定”選項卡。

  5. 開啟 允許 Live Response 連線到電腦

    根據預設,Live Response 可連線至所有電腦。

  6. 按一下 儲存

開啟伺服器的 Live Response

若要變更 Live Response 設定,您必須具備超級管理員權限,或擁有包含『管理 伺服器的資料收集與調查設定』權限的自訂 角色。請參見 爲管理員授予 Live Response 的存取權限.

要開啟 Live Response 並指定可以連線的伺服器,請執行以下動作:

  1. 前往「我的產品」 > 「伺服器」
  2. 按一下原則

  3. 前往「資料蒐集與調查」,然後點選一項原則以開啟其詳細資訊。

    此基本原則預設適用於所有伺服器。您也可以針對指定的伺服器群組設定自訂原則。請參見 關於策略

  4. 點選“設定”選項卡。

  5. 開啟 允許 Live Response 連線到伺服器

    根據預設,Live Response 可以連線至所有伺服器。

  6. 按一下 儲存

啟動 Live Response 工作階段

若要啟動 Live Response 會話,您必須是超級管理員,或擁有具備『啟動 Live Response 會話』權限的自訂角色。請參見 爲管理員授予 Live Response 的存取權限.

如果您與強制 MFA 查問的受支援之身分提供者使用同盟登入,則在啟動 Live Response 工作階段時可以避免 Sophos Central MFA 查問。若要這麼做,請開啟 IdP 強制 MFA 選項。按一下工作列中的「整體設定」整體設定圖示。。前往「存取 控制」 > 「登入與身分識別」 > ,然後按一下「聯邦身分識別提供者」。請參見 新增身分識別提供者 (Entra ID/Open IDC/ADFS)

啟動 Live Response

若要啟動 Live Response,請按以下步驟操作:

  1. 前往「我的環境」 > 「電腦與伺服器」。
  2. 選取一個裝置並按一下它以開啟其詳情頁面。

  3. 在頂端窗格中,點選操作,然後選擇Live Response

    與該電腦的連線會在另一個瀏覽器標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下 結束工作階段。連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。

在以下情況下,連線也會被關閉:

  • 您關閉索引標籤。
  • 您重新整理索引標籤。
  • 您從這裡瀏覽 Sophos Central 中的其他位置。
  • 30 分鐘內沒有活動。

稽核 Live Response 活動

若要查看一般 Live Response 活動,請檢視稽核記錄。

  1. 請前往 報告> 日誌
  2. 一般日誌紀錄下,點擊稽核日誌紀錄

稽核記錄顯示工作階段開始和結束的時間、開始工作階段的管理員、工作階段存取的裝置以及工作階段開始時給出的「目的」。

若要查看工作階段的完整詳細資料,請按一下工作階段開始或結束之記錄項目旁的查看工作階段稽核記錄

稽核 Live Response 工作階段

若要查看特定 Live Response 工作階段中發生事件的完整詳細資料,請檢視工作階段稽核記錄。

限制

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定管理伺服器的 Live Response 設定 的自訂角色才可獲取工作階段稽核記錄。

要檢視稽核記錄,請執行以下操作:

  1. 請前往 報告> 日誌
  2. 端點和伺服器保護記錄下,按一下 Live Response 工作階段稽核
  3. 找到所需的工作階段,然後按一下下載工作階段記錄。工作階段記錄下載為 gzip 壓縮檔案。
  4. 解壓縮檔案並加以檢視。

稽核記錄顯示在 Live Response 工作階段中輸入的命令。