跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=computer-summary

電腦摘要

電腦詳細資料頁面中的 摘要 索引標籤會顯示以下資訊。

  1. 前往「我的環境」 > 「電腦與伺服器」。

    或者,前往 我的產品 > Endpoint > 電腦

  2. 按一下您想查看詳細資訊的電腦名稱。

  3. 按一下 摘要

您所看到的部分取決於您的授權和已設定的功能。

安全健康狀態

在上方面板中,您可以查看安全健康狀態並採取相應動作。

注意

即使您在此頁面中切換到其他索引標籤,上方面板仍會持續顯示。

圖示會顯示該電腦是否有任何安全警示:

圖示 說明
綠色核取符號。 如果有低優先順序警示或沒有警示,則為綠色核取符號。
橙色警告標誌。 如果有中等優先順序警示,則為橙色警告標誌。
紅色警告標誌。 如果有高優先順序警示,則為紅色警告標誌。

注意

此處顯示的健康狀態,可能與電腦與伺服器頁面中顯示的狀態不同。請參閱 電腦與伺服器清單中的健康狀態變更

可以進行的操作

您可以從上方面板對該電腦執行相關操作。按一下 動作

所有動作如下所述。

隔離或從隔離中移除

如果您有 Sophos XDR,則該選項可用。

管理員隔離 會從網路隔離電腦。如果伺服器上可能存在潛在威脅,您可能會想執行此操作。您仍然可以從 Sophos Central 管理該電腦,並能隨時將其解除隔離。

當電腦被隔離時,您會在電腦圖示和安全狀態下方看到以下狀態訊息。

  • 訊息顯示 由管理員隔離
  • 標記有 解除隔離 的連結。按一下它,將電腦重新連接至網路。

如果電腦已經自動隔離,您將不會看到 管理員隔離 選項。請參見 裝置隔離

自適應攻擊防護

此功能僅適用於 Windows 裝置。

自適應攻擊防護可為電腦提供額外的保護。這些防護措施的目的是干擾攻擊者的行動。

如果您發現電腦上有可疑活動,並希望在調查時增加安全性,您可以開啟自適應攻擊防護。您只能將其開啟一段固定的時間。

按一下 自適應攻擊防護 並選擇一個時間。預設為 24 小時。最長為 72 小時。功能表現在顯示自適應攻擊防護已開啟。您還會看到兩個新選項:

  • 擴展自適應攻擊防護。按一下此選項可延長自適應攻擊防護的開啟時間。例如,如果您將其開啟 24 小時,可以將其延長至 48 小時或 72 小時。
  • 關閉自適應攻擊防護

注意

開啟自適應攻擊防護會將電腦的健康狀態設定為紅色。此狀態顯示在電腦上和 Sophos Central 中。

注意

自適應攻擊防護也適用於威脅防護原則中。如果您在原則中選擇此選項,當電腦偵測到攻擊時,它會自動開啟。電腦的摘要標籤顯示它已開啟,並允許您延長或關閉它。

更新

更新 會將電腦更新至最新的 Sophos 軟體版本。請參見 電腦重新啟動

刪除

删除 會將電腦從 Sophos Central 中删除。它還會删除與該電腦相關的警示。

警告

您必須先解除安裝 Sophos 軟體,然後才能刪除電腦。

您可以在電腦被删除後 30 天內還原它們。前往 報告 > 報告 > 端點和伺服器保護 > 還原已删除的裝置並恢復竄改防護密碼

Live Response

Live Response 允許您連線到電腦,以調查和修復可能的安全問題。即使電腦已隔離,您也可以連線到該電腦。

您必須擁有 Sophos XDR 授權或 Sophos MDR 授權。

若要使用 Live Response,您必須符合下列條件:

  • 您必須是超級管理員或擁有包括 在電腦上啟動 Live Response 工作階段 權限的自訂角色。
  • 您必須使用多重要素驗證 (MFA) 登入。

我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。

在開始之前,請確保在中開啟了 Live Response。若要執行此操作,請前往 我的產品 > Endpoint > 原則,並確認您的 資料收集與調查 原則設定。

若要啟動 Live Response,請按以下步驟操作:

  1. 按一下 Live Response

  2. 作業階段目的 中,簡要說明您的工作階段。

  3. 按一下 開始

    與該電腦的連線會在另一個瀏覽器標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下 結束工作階段

    連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。

    在以下情況下,連線也會被關閉:

    • 您關閉索引標籤。
    • 您重新整理索引標籤。
    • 您從這裡瀏覽 Sophos Central 中的其他位置。
    • 30 分鐘內沒有活動。

若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。

變更群組

變更群組 可讓您將電腦新增至某個群組、移動至其他群組,或從目前的群組中移除。

掃描

限制

如果您使用 Sophos XDR Sensor,則此選項不可用。

掃描 會對電腦進行威脅掃描。

掃描可能要花一些時間。完成後,您可以在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。移至我的環境 > 警示

如果電腦處於離線狀態,則在重新連線時會進行掃描。如果電腦掃描已在進行中,則新的掃描請求將被忽略,並且繼續之前的掃描。

診斷

按一下 更多動作 以查看 診斷。這會執行 Sophos 診斷工具,它會收集日誌並將其傳送給 Sophos 支援。如需更多資訊,請參閱 Sophos Diagnostic Utility

建立鑑定快照

您可以從裝置中建立資料的「鑑識快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。有關取證快照的更多資訊,請參閱 鑑識快照

您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後您可以執行分析。

您需要轉換器來讀取資料 (我們會提供)。

注意

您可以選擇快照中需要的資料量以及上傳位置。為此,按一下工作列中的「整體設定」![整體設定圖示。![。前往產品和服務 > 端點,然後按一下取證快照。這些選項目前可能尚未提供給所有客戶使用。

若要建立快照,請按以下步驟操作:

  1. 前往威脅圖表的 分析 標籤。

    或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。

  2. 按一下 建立鑑識快照

  3. 按照中的步驟操作

您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到產生的快照。

從偵測結果產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\

注意

若要存取已儲存的螢幕截圖,您必須是具備竄改防護密碼存取權限的系統管理員,並以系統管理員身分執行命令提示字元。

重設安全狀態

限制

此選項不適用於 macOS。

重置健全狀態 會將健全狀態重置為「健康」。

重置不會清除威脅或修復軟體,但會清除 Sophos Central 和電腦上的警示。

如果您要清除舊問題並專注於目前或未來問題,請執行重置。重置後,沒有問題的電腦將保持「健康」狀態,因此任何目前或未來的保護或惡意軟體問題將更加明顯。

重置不會影響保護。如果電腦有需要處理的問題,它將恢復為不良健康狀態。

近期事件

這會列出關於電腦的近期事件。如需完整清單,請按一下 事件 索引標籤。

這些圖示顯示每個事件是由哪個 Sophos 代理程式報告的。將滑鼠游標停留在圖示上,即可查看其代表的意義。

代理摘要

端點代理程式提供威脅防護以及其他功能,如周邊設備控制、應用程式控制和網頁控制。

摘要顯示以下詳細資訊。還包含可根據需要更新電腦、安裝產品或更改電腦所在群組的連結。

  • 最近一次活動:顯示上次活動發生的時間。
  • 最近一次代理程式更新:顯示電腦是否為最新。
  • MDR 託管:顯示該電腦是否由 MDR 管理。

  • 已指派的產品

    • 軟體 會顯示已安裝的 Sophos 產品。這些產品可能包括 Endpoint、XDR 或 XDR Sensor (視 Agent 模式而定)、Encryption,或 ZTNA。
    • 版本 會顯示各項產品所安裝的版本。這僅適用於 Windows 電腦。

  • 已安裝的元件版本:按一下此項查看 Sophos 組件及其版本的完整清單。這僅適用於 Windows 電腦。

  • 群組:顯示電腦所在群組 (若有)。

Device Encryption

Device Encryption 使您能夠管理 Windows 電腦上的 BitLocker 磁碟加密以及 Macs 上的 FileVault 加密。

此摘要顯示:

  • 電腦的所有磁區。
  • 每個磁區的磁區 ID。
  • 加密狀態。
  • 驗證類型。
  • 加密方法。

在 Windows 電腦上,您可以看到 加密開始日期。顯示的資訊取決於裝置。

  • 對於已使用 Sophos Central Device Encryption 加密的電腦,它顯示電腦升級至 Sophos Central Device Encryption 2.1 版的日期和時間。
  • 對於使用其他加密產品加密的電腦,它顯示安裝 Sophos Central Device Encryption 的日期和時間。
  • 對於使用 Sophos Central Encryption 2.1 (或以上版本)加密的新電腦,它顯示加密的日期和時間。

您可採用以軟體或硬體為基礎的加密方式來加密磁區。Device Encryption 對新磁碟區一律使用軟體型加密,即使該磁碟支援支援硬體型加密。

如果磁碟使用硬體型加密,則不予變更。

如果 BitLocker 群組原則設定要求使用硬體型加密,則會使用此加密類型。

取回修復金鑰

您還可以在這裡取得復原金鑰。如果使用者忘記登入憑證,則可以使用此金鑰解鎖電腦。請參見 加密修復金鑰搜尋

觸發密碼/ PIN 的變更

要求使用者立即變更 BitLocker 密碼或 PIN。當請求成功發送時,會顯示一則訊息。

在端點上,系統會要求使用者設置新的 BitLocker 密碼或 PIN。如果使用者在未輸入新密碼或 PIN 就關閉對話方塊,則該對話方塊會在 30 秒後再次顯示。直到他們輸入新的密碼或 PIN 為止。當使用者關閉對話方塊 5 次且未變更密碼或 PIN 時,會記錄一個警示。

竄改防護

顯示竄改防護是否已經開啟。

當竄改防護啟用時,本機系統管理員無法在其電腦上進行以下任何變更。他們需要必要的密碼:

  • 變更即時監視掃描、可疑行為偵測 (HIPS)、網頁防護或 Sophos Live Protection 的設定。
  • 關閉竄改防護功能。
  • 解除安裝 Sophos 代理程式。

按一下 停用竄改防護 以管理電腦的竄改防護密碼。如果竄改防護已關閉,我們建議您將其開啟。

Update Cache and Message Relay

Sophos Update Cache 使您的電腦可以從網路中的伺服器快取取得 Sophos Central 更新,而不是直接從 Sophos。您也可以指定伺服器作為訊息中繼來與 Sophos Central 進行通訊。

這表明已經為電腦設置了快取。其顯示正在使用哪個伺服器。

Windows 防火牆

Windows 防火牆在該電腦上已啟用並進行管理。其還顯示:

  • 是否使用了 Windows 群組原則。
  • 啟用中的網路設定檔。
  • 如果其他已註冊的防火牆已安裝並啟用。