跳至內容

電腦摘要

電腦詳細資訊頁面中的 摘要 標籤顯示以下資訊。

移至裝置 ,然後按一下電腦,再按一下您要檢視其詳細資料的電腦。

您所看到的部份取決於您的授權和設定的功能。

安全性健全狀態

在左側窗格中,您可查看安全狀態並採取動作。

注意

即使按一下此頁面上的其他標籤,也會始終顯示左側的窗格。

為您顯示電腦是否有任何安全警示的圖示:

圖示 說明
綠色核取符號。 如果有低優先順序警示或沒有警示,則為綠色核取符號。
橙色警告標誌。 如果有中等優先順序警示,則為橙色警告標誌。
紅色警告標誌。 如果有高優先順序警示,則為紅色警告標誌。

可以進行的操作

您可以使用左窗格中的按鈕和連結在電腦上執行動作。按一下更多動作以顯示擴展的動作清單。

所有動作如下所述。

隔離或從隔離中移除

如果您有 Intercept X Advanced with XDR,則該選項可用。

隔離 會從網路隔離電腦。如果電腦有潛在威脅,您可能要執行該動作。您仍可從 Sophos Central 管理,並隨時移除隔離。

隔離電腦後,您會在電腦圖示和安全狀態下看到以下內容。

  • 訊息 被管理員隔離
  • 標記為 移除隔離 的連結。按一下它將電腦重新連接至網路。

注意

如果電腦已自動將其本身隔離,您將不會看到 隔離 選項。請參閱裝置隔離

立即更新

馬上更新將使用最新的 Sophos 軟體更新電腦。請參閱電腦重新啟動

刪除

刪除會將電腦從 Sophos Central 中刪除。它還偵測與電腦有關的警示。

則警告

您必須先解除安裝 Sophos 軟體,再刪除電腦。

Live Response

Live Response 可使您連線到電腦,以便調查和修復可能的安全問題。即使電腦已隔離,您也可以連線到該電腦。

若要使用 Live Response,您必須符合下列條件:

  • 您必須是超級管理員或具有包含啟動電腦上的 Live Response 工作階段的自訂角色。
  • 您必須使用多重要素驗證 (MFA) 登入。

我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。

在開始之前,請確保在 我的產品 > 一般設定 > 端點防護 > Live Response 中開啟了 Live Response。

若要啟動 Live Response,請執行下列動作:

  1. 按一下 Live Response

  2. 作業階段目的中,簡要說明您的工作階段。

  3. 按一下 開始

    與電腦的連線將在另一個瀏覽器索引標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    視您連線的電腦,使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下結束工作階段

    雖然索引標籤仍處於打開狀態,但連線已關閉。您可從此處瀏覽 Sophos Central 中的其他地方。

    在以下情況下,連線也會關閉:

    • 您關閉索引標籤。
    • 您重新整理索引標籤。
    • 您從這裡瀏覽 Sophos Central 中的其他位置。
    • 30 分鐘內沒有活動。

若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。

變更群組

按一下更多動作即可查看變更群組。這使您可以將計算機新增至群組、移動至其他群組,或者從目前群組移除。

立即掃描

限制

如果您使用 Sophos XDR Sensor,則此選項不可用。

按一下更多動作即可查看立即掃描。這會掃描電腦是否存在威脅。

掃描可能要花一些時間。完成時,您可以在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。

若電腦離線,則會在其恢復上線時對其進行掃描。如果電腦掃描已經在執行,則將略過新掃描請求,並將執行之前的掃描。

診斷

按一下更多動作即可查看診斷。這將執行 Sophos Diagnostic Utility,該公用程式會收集記錄並將其傳送至 Sophos 支援。如欲瞭解更多詳情,請參閱 Sophos Diagnostic Utility

建立鑑定快照

按一下更多動作即可查看建立取證快照。您可以從裝置中建立資料的「取證快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。有關取證快照的更多資訊,請參閱 取證快照

您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後,您便可以執行分析。

您需要轉換器(我們提供)來讀取資料。

注意

您可以選擇快照中需要的資料量以及上傳位置。要執行此操作,請移至 我的產品 > 一般設定 > 取證快照。這些選項可能尚未適用於所有客戶。

若要建立快照,請執行以下操作:

  1. 前往威脅圖表的 分析 標籤。

    或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。

  2. 按一下 建立鑑定快照

  3. 按照 將取證快照上傳至 AWS S3 貯體 中的步驟操作。

您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到您產生的快照。

從偵測生成的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\ 中。

注意

您必須是具有竄改防護密碼存取權限的管理員,並以管理員身份執行命令提示字元,才能存取儲存的快照。

重設安全狀態

限制

此選項不適用於 macOS。

按一下更多動作即可查看重設健全狀態。這會將健全狀態重設為「健康」。

重設不會清除威脅或修復軟體,但會清除 Sophos Central 和電腦上的警示。

如果您要清除舊問題並專注於目前或未來問題,請執行重設。重設後,沒有問題的電腦會保持「健全」,因此任何目前或未來的保護或惡意軟體問題都將更加明顯。

重置不會影響保護。如果電腦有需要採取行動的問題,它會回到不良健全狀態。

近期事件

這會列出關於電腦的近期事件。如需完整清單,請點選事件標籤。

圖示表示每個事件是由哪個 Sophos 代理報告。將滑鼠懸停在圖標上即可查看其含義。

代理摘要

端點代理提供威脅防護和其他功能,例如周邊控管、應用程式控管和網頁控管。

摘要顯示以下詳細資訊。它還包含可根據需要更新電腦、安裝產品或更改電腦所在群組的連結。

  • 最近一次活動:顯示上次活動發生的時間。
  • 最近一次代理程式更新:顯示電腦是否為最新。
  • 已指派的產品:顯示已安裝的 Sophos 產品(例如, Intercept X 或 Device Encryption)。顯示各已安裝產品的授權和版本號。版本資訊僅適用於 Windows 電腦。
  • 已安裝的組件版本:按一下此項查看 Sophos 組件及其版本號的完整清單。這僅適用於 Windows 電腦。
  • 群組:顯示電腦所在群組(如果有)。

裝置加密

Device Encryption 使您能夠管理 Windows 電腦上的 BitLocker 磁碟機加密以及 Macs 上的 FileVault 加密。

此摘要顯示:

  • 電腦的所有磁區。
  • 每個磁區的磁區 ID。
  • 加密狀態。
  • 驗證類型。
  • 加密方法。

對於 Windows 電腦,您可以參閱 加密開始日期。顯示的資訊取決於裝置。

  • 對於已使用 Sophos Central Device Encryption 加密的電腦,它顯示電腦升級至 Sophos Central Device Encryption 2.1 版的日期和時間。
  • 對於使用其他加密產品加密的電腦,它顯示安裝 Sophos Central Device Encryption 的日期和時間。
  • 對於使用 Sophos Central Encryption 2.1(或更高版本)加密的新電腦,它顯示加密的日期和時間。

您可採用基於軟體或基於硬體的加密方式對磁區加密。裝置加密對新磁區一律使用基於軟體的加密,即使磁碟機支援基於硬體的加密。

若磁碟機使用基於硬體的加密,則不予變更。

若 BitLocker 群組策略設定要求使用基於硬體的加密,則會使用此加密類型。

取回修復金鑰

您還可以在這裡取得修復金鑰。如果使用者忘記了其登入認證,則可以使用此功能解鎖電腦。請參閱加密修復金鑰搜尋

觸發密碼/ PIN 的變更

要求使用者立即變更 BitLocker 密碼或 PIN。成功傳送要求後,會顯示一則訊息。

在端點上,會要求使用者設定新的 BitLocker 密碼或 PIN。若使用者未輸入新密碼或 PIN 就關閉對話方塊,對話方塊會在 30 秒後再度出現。這會在其輸入新密碼或 PIN 時停止。使用者關閉對話方塊五次且未變更密碼或 PIN 之後,會記錄警示。

竄改防護

這會顯示是否開啟了竄改防護。

開啟竄改防護後,本機管理員無法在其電腦上進行任何以下變更。他們需要必要的密碼:

  • 變更即時監視掃描、可疑行為偵測 (HIPS)、網頁防護或 Sophos Live Protection 的設定。
  • 關閉竄改防護功能。
  • 解除安裝 Sophos 代理軟體。

按一下 停用竄改防護 可管理電腦的竄改防護密碼。如果竄改防護已關閉,我們建議您將其開啟。

您可以爲已刪除的電腦復原防篡改保護密碼。請參閱復原刪除的裝置

Update Cache and Message Relay

Sophos Update Cache 使您的電腦可以從您網路伺服器上的快取,而非直接從 Sophos 獲取 Sophos Central 更新。您還可以指定伺服器作為訊息中繼與 Sophos Central 進行通訊。

這表明已經為電腦設定了快取。其顯示正在使用的伺服器。

Windows 防火牆

Windows 防火牆處於使用中,其在電腦上進行管理。該電腦亦必須:

  • 是否正使用了 Windows 群組策略。
  • 活動的網路配置檔案。
  • 如果其他已註冊的防火牆已安裝並處於活動狀態。