跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=Live-Response

設定並啟動 Live Response

若要使用此整合,您必須擁有 XDR 授權。

Live Response 讓您能直接連線到裝置,以便調查和修復可能的安全問題。

您可以使用 Live Response 來停止可疑的處理序、重新啟動具有擱置更新的裝置、瀏覽資料夾、刪除檔案等。

該頁面將引導您如何進行以下操作:

  • 啟用即時回應。

    注意

    您需要分別開啟電腦和伺服器的 Live Response。

  • 啟動 Live Response 工作階段。

  • 稽核一般 Live Response 活動。
  • 稽核 Live Response 工作階段。

開啟電腦的 Live Response

您必須是超級管理員或具有包含 **管理電腦的 Live Response 設定** 的自訂角色才可變更 Live Response 設定。請參閱 爲管理員授予 Live Response 的存取權限

如需啟用集成,請執行以下操作:

  1. 前往 我的產品 > MDR
  2. 按一下 原則

  3. Go to Data Collection and Investigation and click a policy to open its details.

    基本原則預設適用於所有電腦。您可能還擁有您指定的電腦群組的自訂政策。請參閱 關於策略

  4. 點選“設定”選項卡。

  5. 開啟 允許 Live Response 連線到電腦

    根據預設,Live Response 可連線至所有電腦。

  6. 按一下儲存

要開啟伺服器的 Live Response,請參閱伺服器的 Live Response。

您必須是超級管理員或具有包含 **管理伺服器的 Live Response 設定** 的自訂角色才可變更 Live Response 設定。請參閱 爲管理員授予 Live Response 的存取權限

要開啟 Live Response 並指定可以連線的伺服器,請執行以下動作:

  1. 前往 我的產品 > Server
  2. 按一下 原則

  3. Go to Data Collection and Investigation and click a policy to open its details.

    基本原則預設適用於所有伺服器。您可能還有針對您指定的伺服器組的自訂政策。請參閱 關於策略

  4. 點選“設定”選項卡。

  5. 開啟 允許 Live Response 連線到伺服器

    根據預設,Live Response 可以連線至所有伺服器。

  6. 按一下儲存

啟動 Live Response 工作階段

若要啟動 Live Response 工作階段,您必須是超級管理員或擁有包含\"啟動伺服器的 Live Response 工作階段\"的角色。請參閱 爲管理員授予 Live Response 的存取權限

如果您與強制 MFA 查問的受支援之身分提供者使用同盟登入,則在啟動 Live Response 工作階段時可以避免 Sophos Central MFA 查問。若要這麼做,請開啟 IdP 強制 MFA 選項。按一下「一般設定」圖示一般設定圖示。。在系統管理員下,點選同盟身分識別提供者。請參閱 新增身分識別提供者 (Entra ID/Open IDC/ADFS)

啟動 Live Response

若要啟動 Live Response,請執行下列動作:

  1. 移至我的環境 > 電腦與伺服器
  2. 選取一個裝置並按一下它以開啟其詳情頁面。

  3. 在頂端窗格中,點選操作,然後選擇Live Response

    與該電腦的連線會在另一個瀏覽器標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下 結束工作階段。連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。

在以下情況下,連線也會被關閉:

  • 您關閉索引標籤。
  • 您重新整理索引標籤。
  • 您從這裡瀏覽 Sophos Central 中的其他位置。
  • 30 分鐘內沒有活動。

稽核 Live Response 活動

若要查看一般 Live Response 活動,請檢視稽核記錄。

  1. 請前往 報告> 日誌
  2. 一般日誌紀錄下,點擊稽核日誌紀錄

稽核記錄顯示工作階段開始和結束的時間、開始工作階段的管理員、工作階段存取的裝置以及工作階段開始時給出的「目的」。

若要查看工作階段的完整詳細資料,請按一下工作階段開始或結束之記錄項目旁的查看工作階段稽核記錄

稽核 Live Response 工作階段

若要查看特定 Live Response 工作階段中發生事件的完整詳細資料,請檢視工作階段稽核記錄。

限制條件

您必須是超級管理員或具有包含 管理電腦的 Live Response 設定管理伺服器的 Live Response 設定 的自訂角色才可獲取工作階段稽核記錄。

要檢視稽核記錄,請執行以下操作:

  1. 請前往 報告> 日誌
  2. 端點和伺服器保護記錄下,按一下 Live Response 工作階段稽核
  3. 找到所需的工作階段,然後按一下下載工作階段記錄。工作階段記錄下載為 gzip 壓縮檔案。
  4. 解壓縮檔案並加以檢視。

稽核記錄顯示在 Live Response 工作階段中輸入的命令。