跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=computer-summary

電腦摘要

電腦詳細資訊頁面的 摘要 標籤會顯示以下資訊。

前往 裝置 ,按一下電腦,再按一下您要檢視其詳細資料的電腦。

您所看到的部分取決於您的授權和已設定的功能。

安全健康狀態

在左側窗格中,您可查看安全健康狀態並採取動作。

注意

即使點選此頁面上的其他標籤,也會始終顯示左側的窗格。

圖示會顯示該電腦是否有任何安全警示:

圖示 說明
綠色勾號。 如果有低優先順序警示或沒有警示,則為綠色核取符號。
橙色警告標誌。 如果有中等優先順序警示,則為橙色警告標誌。
紅色警告標誌。 如果有高優先級警示,則顯示為紅色警告標誌。

注意

此處的執行狀況可能與 計算機和伺服器 頁面上顯示的狀態不同。請參閱 計算機和伺服器列表中的執行狀況更改

可以進行的操作

您可以使用左側窗格中的按鈕和連結對電腦進行操作。按一下 更多動作 以顯示擴展的動作清單。

所有動作如下所述。

隔離或從隔離中移除

如果您有 Intercept X Advanced with XDR,則該選項可用。

隔離 會從網路隔離電腦。如果該電腦上有潛在威脅,您可能會想進行這項操作。您仍然可以從 Sophos Central 管理該電腦,並能隨時將其解除隔離。

當電腦被隔離時,您會在電腦圖示和安全狀態下方看到以下狀態訊息。

  • 訊息顯示 由管理員隔離
  • 標記有 解除隔離 的連結。按一下它,將電腦重新連接至網路。

如果電腦已經自動隔離,您將不會看到 隔離 選項。請參閱 裝置隔離

自適應攻擊防護

此功能僅適用於 Windows 裝置。

自適應攻擊防護可為電腦提供額外的保護。這些防護措施的目的是干擾攻擊者的行動。

如果您發現電腦上有可疑活動,並希望在調查時增加安全性,您可以開啟自適應攻擊防護。您只能將其開啟一段固定的時間。

按一下 自適應攻擊防護 並選擇一個時間。預設為 24 小時。最長為 72 小時。功能表現在顯示自適應攻擊防護已開啟。您還會看到兩個新選項:

  • 擴展自適應攻擊防護。按一下此選項可延長自適應攻擊防護的開啟時間。例如,如果您將其開啟 24 小時,可以將其延長至 48 小時或 72 小時。
  • 關閉自適應攻擊防護

注意

開啟自適應攻擊防護會將電腦的健康狀態設定為紅色。此狀態顯示在電腦上和 Sophos Central 中。

注意

自適應攻擊防護也適用於威脅防護原則中。如果您在原則中選擇此選項,當電腦偵測到攻擊時,它會自動開啟。電腦的摘要標籤顯示它已開啟,並允許您延長或關閉它。

立即更新

立即更新 會將電腦更新為最新的 Sophos 軟體。請參閱 電腦重新啟動

删除

删除 會將電腦從 Sophos Central 中删除。它還會删除與該電腦相關的警示。

警告

您必須先解除安裝 Sophos 軟體,然後才能刪除電腦。

您可以在電腦被删除後 30 天內還原它們。移至報告 > 報告 > 端點和伺服器保護 > 還原已删除的裝置並恢復竄改防護密碼

Live Response

Live Response 允許您連線到電腦,以調查和修復可能的安全問題。即使電腦已隔離,您也可以連線到該電腦。

您必須具有帶有XDR授權的Intercept X高級版或帶有MDR授權的Intercept X高級版。

若要使用 Live Response,您必須符合下列條件:

  • 您必須是超級管理員或擁有包括 在電腦上啟動 Live Response 工作階段 權限的自訂角色。
  • 您必須使用多重要素驗證 (MFA) 登入。

我們建議您使用 Sophos ID 登入,因為使用 MFA 的 Microsoft 同盟登入等其他方法可能無法存取 Live Response。

在開始之前,請確保在 我的產品 > 一般設定 > 端點防護 > Live Response 中已啟用了 Live Response。

若要啟動 Live Response,請按以下步驟操作:

  1. 按一下 Live Response

  2. 作業階段目的中,簡要說明您的工作階段。

  3. 按一下 開始

    與該電腦的連線會在另一個瀏覽器標籤中開啟。該索引標籤會顯示終端機視窗。

    如果新索引標籤未開啟,您的瀏覽器可能已封鎖該索引標籤。設定您的瀏覽器以允許該索引標籤。

  4. 在命令提示字元,輸入命令以執行調查或修復。

    根據您連線的電腦使用 DOS、UNIX 或 Linux 命令。

  5. 完成時,請按一下 結束工作階段

    連接已關閉,但標籤仍然保持開啟。您可以從這裡在 Sophos Central 中瀏覽其他地方。

    在以下情況下,連線也會被關閉:

    • 您關閉索引標籤。
    • 您重新整理索引標籤。
    • 您從這裡瀏覽 Sophos Central 中的其他位置。
    • 30 分鐘內沒有活動。

若要查看哪些 Live Response 工作階段已開始或結束,請檢視 Sophos Central 稽核記錄。

變更群組

按一下 更多動作 以查看 變更群組。這讓您可以將電腦新增到群組、將其移動到不同的群組,或將其從目前群組移除。

立即掃描

限制

如果您使用 Sophos XDR Sensor,則此選項不可用。

按一下 更多動作 以查看 立即掃描。這會掃描電腦是否存在威脅。

掃描可能要花一些時間。完成後,您可以在 報告 > 日誌 > 一般日誌 > 事件 頁面上看到「掃描完成」事件和任何成功的清理事件。您可以在 警示 頁面中檢視未成功的清理。

如果電腦處於離線狀態,則在重新連線時會進行掃描。如果電腦掃描已在進行中,則新的掃描請求將被忽略,並且繼續之前的掃描。

診斷

按一下 更多動作 以查看 診斷。這會執行 Sophos 診斷工具,它會收集日誌並將其傳送給 Sophos 支援。如需更多資訊,請參閱 Sophos Diagnostic Utility

建立鑑定快照

按一下更多動作即可查看建立取證快照。您可以從裝置中建立資料的「鑑識快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。如需關鑑識快照的更多資訊,請參閱 取證快照

您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後您可以執行分析。

您需要轉換器來讀取資料 (我們會提供)。

注意

您可以選擇快照中要包含多少資料以及上傳的位置。若要執行此操作,請前往 我的產品 > 一般設定 > 鑑識快照。這些選項可能尚未適用於所有客戶。

若要建立快照,請按以下步驟操作:

  1. 前往威脅圖表的 分析 索引標籤。

    或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。

  2. 按一下 建立鑑定快照

  3. 按照 將取證快照上傳至 AWS S3 桶 中的步驟操作。

您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到產生的快照。

從偵測產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\ 中。

注意

您需要是擁有竄改防護密碼存取權限的管理員,並以管理員身分執行命令提示字元,才能使用已儲存的快照。

重置健康狀態

限制

此選項不適用於 macOS。

按一下 更多動作 以查看 重置健康狀態。這會將健康狀態重置為「健康」。

重置不會清除威脅或修復軟體,但會清除 Sophos Central 和電腦上的警示。

如果您要清除舊問題並專注於目前或未來問題,請執行重置。重置後,沒有問題的電腦將保持「健康」狀態,因此任何目前或未來的保護或惡意軟體問題將更加明顯。

重置不會影響保護。如果電腦有需要處理的問題,它將恢復為不良健康狀態。

近期事件

這會列出關於電腦的近期事件。如需完整清單,請按一下 事件 標籤。

這些圖示顯示每個事件是由哪個 Sophos 代理程式報告的。將滑鼠停留在圖示上以查看其含義。

代理摘要

端點代理程式提供威脅防護以及其他功能,如周邊設備控制、應用程式控制和網頁控制。

摘要顯示以下詳細資訊。還包含可根據需要更新電腦、安裝產品或更改電腦所在群組的連結。

  • 最近一次活動:顯示上次活動發生的時間。
  • 最近一次代理程式更新:顯示電腦是否為最新。
  • 已指派的產品:顯示已安裝的 Sophos 產品 (例如 Intercept X 或 Device Encryption)。顯示各已安裝產品的授權和版本。版本資訊僅適用於 Windows 電腦。
  • 已安裝的元件版本:按一下此項查看 Sophos 組件及其版本的完整清單。這僅適用於 Windows 電腦。
  • 群組:顯示電腦所在群組 (若有)。

裝置加密

Device Encryption 使您能夠管理 Windows 電腦上的 BitLocker 磁碟加密以及 Macs 上的 FileVault 加密。

此摘要顯示:

  • 電腦的所有磁區。
  • 每個磁區的磁區 ID。
  • 加密狀態。
  • 驗證類型。
  • 加密方法。

在 Windows 電腦上,您可以看到 加密開始日期。顯示的資訊取決於裝置。

  • 對於已使用 Sophos Central Device Encryption 加密的電腦,它顯示電腦升級至 Sophos Central Device Encryption 2.1 版的日期和時間。
  • 對於使用其他加密產品加密的電腦,它顯示安裝 Sophos Central Device Encryption 的日期和時間。
  • 對於使用 Sophos Central Encryption 2.1 (或以上版本)加密的新電腦,它顯示加密的日期和時間。

您可採用以軟體或硬體為基礎的加密方式來加密磁區。Device Encryption 對新磁碟區一律使用軟體型加密,即使該磁碟支援支援硬體型加密。

如果磁碟使用硬體型加密,則不予變更。

如果 BitLocker 群組原則設定要求使用硬體型加密,則會使用此加密類型。

取得復原金鑰

您還可以在這裡取得復原金鑰。如果使用者忘記登入憑證,則可以使用此金鑰解鎖電腦。請參閱 加密修復金鑰搜尋

觸發變更密碼/ PIN

要求使用者立即變更 BitLocker 密碼或 PIN。當請求成功發送時,會顯示一則訊息。

在端點上,系統會要求使用者設置新的 BitLocker 密碼或 PIN。如果使用者在未輸入新密碼或 PIN 就關閉對話方塊,則該對話方塊會在 30 秒後再次顯示。直到他們輸入新的密碼或 PIN 為止。當使用者關閉對話方塊 5 次且未變更密碼或 PIN 時,會記錄一個警示。

竄改防護

顯示竄改防護是否已經開啟。

當竄改防護啟用時,本機系統管理員無法在其電腦上進行以下任何變更。他們需要必要的密碼:

  • 變更即時監視掃描、可疑行為偵測 (HIPS)、網頁防護或 Sophos Live Protection 的設定。
  • 關閉竄改防護功能。
  • 解除安裝 Sophos 代理程式。

按一下 停用竄改防護 以管理電腦的竄改防護密碼。如果竄改防護已關閉,我們建議您將其開啟。

更新快取和訊息中繼

Sophos Update Cache 使您的電腦可以從網路中的伺服器快取取得 Sophos Central 更新,而不是直接從 Sophos。您也可以指定伺服器作為訊息中繼來與 Sophos Central 進行通訊。

這表明已經為電腦設置了快取。其顯示正在使用哪個伺服器。

Windows 防火牆

Windows 防火牆在該電腦上已啟用並進行管理。其還顯示:

  • 是否使用了 Windows 群組原則。
  • 啟用中的網路設定檔。
  • 如果其他已註冊的防火牆已安裝並啟用。