コンピュータのサマリー
コンピュータの詳細ページの「サマリー」タブには次の情報が表示されます。
「デバイス」を参照した後、「コンピュータ」をクリックし、詳細を表示するコンピュータをクリックします。
表示されるセクションは、お持ちのライセンスや設定されている機能によって異なります。
セキュリティ状態
左側の領域にセキュリティ状態が表示されるので対処できます。
注
左側の領域は常に表示されます。ページ内の他のタブをクリックしても閉じません。
アイコンによってコンピュータで警告が発生しているかどうかが示されます:
アイコン | 説明 |
---|---|
緑色のチェックマーク: 危険度の低い警告が発生している、またはまったく警告が発生していない状態。 | |
オレンジ色の警告マーク: 優先度が中程度の警告が発生している状態。 | |
赤色の警告マーク: 優先度の高い警告が発生している状態。 |
実行可能なアクション
左側の領域にあるボタンとリンクを使って、コンピュータで対処できます。アクションの拡張リストを表示するには、「その他のアクション」をクリックします。
各アクションの詳細は、以下を参照してください。
隔離および隔離の解除
このオプションは、Intercept X Advanced with XDR を導入している場合に使用できます。
「隔離」は、ネットワークからコンピュータを隔離します。この操作は、コンピュータに潜在的な脅威がある場合などに実行できます。隔離したコンピュータは、引き続き Sophos Central で管理することが可能で、いつでも復元できます。
コンピュータが隔離されると、コンピュータのアイコンとセキュリティ状態の下に次の情報が表示されます。
- 「管理者によって隔離されました」というメッセージ。
- 「隔離したコンピュータの復元」というリンク。クリックすると、コンピュータがネットワークに再接続されます。
注
既にコンピュータが自動的に隔離されている場合は、「隔離」オプションは表示されません。詳細は、デバイスの隔離を参照してください。
適応型攻撃防御
適応型攻撃防御は、コンピュータに追加の保護を適用します。これらの保護は、攻撃者の行動を妨害するように設計されています。
コンピュータ上で疑わしいアクティビティが発生し、調査中にセキュリティを強化する必要がある場合は、適応型攻撃防御をオンにすることができます。オンにできるのは一定時間のみです。
「適応型攻撃防御」をクリックし、時間を選択します。デフォルトは 24時間です。最大値は 72時間です。メニューに適応型攻撃防御がオンになっていることが表示されます。次の 2つの新しいオプションも表示されます。
- 適応型攻撃防御を延長する。これをクリックすると、適応型攻撃防御がオンになる時間が延長されます。たとえば、24時間に対してオンにした場合は、48時間または 72時間に延長できます。
- 適応型攻撃防御をオフにする。
注
適応型攻撃防御は、脅威対策ポリシーでも使用できます。ポリシーで選択すると、コンピュータで攻撃が検出されると自動的にオンになります。コンピュータの「サマリー」タブには、コンピュータの電源が入っていることが表示され、機能を延長したり、オフにしたりできます。
今すぐアップデート
「今すぐアップデート」は、コンピュータを最新のソフォスのソフトウェアでアップデートします。詳細は、コンピュータの再起動を参照してください。
削除
「削除」は、Sophos Central からコンピュータを削除します。削除したコンピュータに関連付けられている警告も削除されます。
警告
コンピュータを削除する前に、ソフォスのソフトウェアをアンインストールする必要があります。
Live Response
「Live Response」を使用することで、コンピュータに接続して、セキュリティ問題の可能性のある事象を調査して修復できます。隔離されているコンピュータであっても、接続することはできます。
Live Response を使用するには、次の条件を満たす必要があります。
- スーパー管理者であるか、または「コンピュータで Live Response セッションを開始する」を含むカスタムロールが割り当てられている必要があります。
- 多要素認証 (MFA) を使用してサインインする必要があります。
Sophos ID を使用してサインインすることを推奨します。これは、MFA を使用した Microsoft フェデレーション サインインなどの他の方法では、Live Response にアクセスできない場合があるためです。
開始する前に、「マイプロダクト > 全般設定 > エンドポイントプロテクション > Live Response」で Live Response がオンになっていることを確認してください。
Live Response を開始するには、次の手順を実行します。
-
「Live Response」をクリックします。
-
「セッションの目的」で、セッションの目的を⼊⼒します。
-
「開始」をクリックします。
コンピュータへの接続が、別のブラウザタブで表示されます。タブに、ターミナルウィンドウが表示されます。
新しいタブが開かない場合は、ブラウザによってブロックされている可能性があります。許可されるようブラウザを設定します。
-
コマンドプロンプトで、調査または修復を実行するコマンドを入力します。
接続先コンピュータに応じて、DOS、UNIX、または Linux コマンドを使用してください。
-
終了したら、「セッションの終了」をクリックします。
タブは開いた状態のままですが、接続は閉じました。ここから Sophos Central の他の場所を参照できます。
次の場合にも、接続は閉じます。
- ユーザーがタブを閉じた。
- ユーザーがタブをリフレッシュした。
- ユーザーが、ここから Sophos Central の他の場所を参照した。
- 30分間アクティビティがない。
開始または終了した Live Response セッションを参照するには、Sophos Central 監査ログを表示してください。
グループの変更
「グループの変更」を表示するには、「その他のアクション」をクリックします。コンピュータをグループに追加したり、別のグループに移動したり、現在のグループから削除することができます。
今すぐ検索
制限事項
Sophos XDR Sensor を使用している場合、このオプションは使用できません。
「今すぐ検索」を表示するには、「その他のアクション」をクリックします。コンピュータ上の脅威を検索します。
検索には多少時間がかかることがあります。完了すると、「レポート > ログ > 一般ログ > イベント」ページに、「検索が完了しました」というイベントと、成功したクリーンアップのイベントが表示されます。クリーンアップの失敗に関する警告は、「警告」ページに表示されます。
コンピュータがオフラインの場合は、オンラインに復帰したときに検索が実行されます。コンピュータの検索がすでに実行中の場合、新しい検索リクエストは無視され、すでに実行中の検索が続行されます。
診断
「診断」を表示するには、「その他のアクション」をクリックします。Sophos Diagnostic Utility が実行されます。ログが収集され、ソフォスサポートに送信されます。詳細は、Sophos Diagnostic Utility を参照してください。
フォレンジック分析のスナップショットの作成
「フォレンジック分析のスナップショットの作成」を表示するには、「その他のアクション」をクリックします。デバイスから、フォレンジック分析のスナップショットを作成できます。スナップショットは、デバイスのアクティビティに関するソフォスのログからデータを取得し、デバイスに保存します。フォレンジック分析のスナップショットの詳細は、フォレンジック分析のスナップショットを参照してください。
指定した Amazon Web Services (AWS) S3 バケットに保存することもできます。これを用いて解析を行うことができます。
データの読み取りにはコンバータ (ソフォスで提供) が必要です。
注
スナップショットに必要なデータの量とアップロード先を選択できます。これを行うには、「マイプロダクト > 全般設定 > フォレンジック分析のスナップショット」の順に選択します。ヘルプの公開時点では、これらの機能がリリースされていないこともあります。
スナップショットを作成するには、次の手順を実行します。
-
脅威グラフの「解析」タブを参照します。
または、デバイスの詳細ページで、「状態」タブを開きます。
-
「フォレンジック分析のスナップショットの作成」をクリックします。
-
フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードの手順に従ってください。
生成したスナップショットは、%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
にあります。
検出から生成されたスナップショットは、%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
にあります。
注
保存したスナップショットにアクセスするには、タンパープロテクションのパスワードにアクセスできる管理者であり、コマンドプロンプトを管理者権限で実行する必要があります。
セキュリティ状態のリセット
制限事項
このオプションは、macOS では利用できません。
「セキュリティ状態のリセット」を表示するには、「その他のアクション」をクリックします。これは、セキュリティ状態を「正常」にリセットします。
リセットしても、脅威のクリーンアップやソフトウェアの修正は行われませんが、Sophos Central とコンピュータで警告が消去されます。
古い問題を消去して、現在または今後の問題に専念する場合は、リセットを実行してください。問題のないコンピュータの状態は、リセット後も「正常」のままなので、現在または今後の保護やマルウェアの問題がより明確になります。
リセットは、保護には影響を与えません。対処が必要な問題がコンピュータにある場合、セキュリティ状態は「問題あり」に戻ります。
最近のイベント
このリストには、コンピュータで最近発生したイベントが表示されます。詳細なリストを表示するには、「イベント」タブをクリックします。
各イベントをレポートしたソフォスエージェントの種類が、次のようなアイコンで表示されます。アイコンをマウスオーバーすると、アイコンの説明が表示されます。
エージェントのサマリー
エンドポイントエージェントは、脅威対策、および周辺機器コントロール、アプリケーション コントロール、Web コントロールなどの機能を提供します。
サマリーには、次の詳細が表示されます。コンピュータのアップデート、製品のインストール、コンピュータが所属するグループの変更を行うリンクも必要に応じて表示されます。
- 前回同期: 前回ネットワークに接続した日時が表示されます。
- 前回のエージェント更新: コンピュータが最新の状態であるかどうかが表示されます。
- 割り当て済み製品: インストールされているソフォスの製品が表示されます (たとえば、Intercept X やデバイス暗号化など)。インストールされている各製品のライセンスとバージョン番号が表示されます。バージョン情報は、Windows コンピュータのみで利用できます。
- インストール済みコンポーネントのバージョン: クリックすると、ソフォス製品のコンポーネントとそのバージョン番号の一覧が表示されます。この機能は、Windows コンピュータのみに対応しています。
- グループ: コンピュータが所属するグループが表示されます (該当する場合)。
デバイス暗号化
デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されている暗号化機能を管理できます。
このサマリーには次の項目が表示されます。
- コンピュータのすべてのボリューム。
- 各ボリュームのボリューム ID。
- 暗号化の状態。
- 認証の種類。
- 暗号化方式。
Windows コンピュータの場合は、「暗号化の実行日」が表示されます。表示される情報は、デバイスによって異なります。
- Sophos Central Device Encryption で既に暗号化されているコンピュータの場合、Sophos Central Device Encryption バージョン 2.1 にアップグレードされた日時が表示されます。
- 別の暗号化製品を使用して暗号化されたコンピュータの場合、Sophos Central Device Encryption がインストールされた日時が表示されます。
- Sophos Central Encryption 2.1 以降で暗号化された新しいコンピュータの場合、暗号化された日時が表示されます。
ボリュームは、ソフトウェアベースまたはハードウェアベースで暗号化することができます。デバイス暗号化では、ハードウェアベースの暗号化がサポートされているドライブであっても、新しいボリュームに対しては、常にソフトウェアベースの暗号化が用いられます。
ドライブがハードウェアベースの暗号化で暗号化されている場合、ドライブは変更されません。
BitLocker のグループポリシーの設定でハードウェアベースの暗号化が義務付けられている場合は、その設定が使用されます。
復旧鍵の取得
ここでは復旧鍵を取得することもできます。この機能を使用して、ユーザーがログイン情報を忘れた際にコンピュータのロックを解除できます。詳細は、暗号化復旧鍵の検索を参照してください。
パスワード/PIN の変更の実行
BitLocker のパスワードまたは PIN を、直ちに変更するようユーザーに要求します。この要求の送信に成功すると、メッセージが表示されます。
BitLocker の新しいパスワードまたは PIN を設定するよう、エンドポイントでユーザーにメッセージが表示されます。ユーザーが新しいパスワードや PIN を入力せずにダイアログを閉じると、30秒後にダイアログが再表示されます。これは、新しいパスワードまたは PIN を入力すると停止します。パスワードや PIN を変更せずにダイアログを 5回閉じると、警告がログに記録されます。
タンパープロテクション
タンパープロテクションがオンになっているかどうかが表示されます。
タンパープロテクションがオンになっている場合、ローカル管理者は、次のような設定をコンピュータで変更できません。適切なパスワードが必要になります。
- オンアクセス検索、疑わしい動作の検知 (HIPS)、Web Protection、または Sophos Live Protection に関する設定の変更。
- タンパー プロテクションの無効化。
- ソフォスのエージェントソフトウェアのアンインストール。
「タンパープロテクションを無効化する」をクリックすると、コンピュータのタンパープロテクションのパスワードが管理できます。タンパープロテクションがオフになっている場合は、オンにすることを推奨します。
削除したコンピュータのタンパープロテクションのパスワードを復旧できます。詳細は、削除したデバイスの復旧を参照してください。
アップデートキャッシュとメッセージリレー
アップデートキャッシュは、Sophos Central のアップデートを直接ソフォスから取得せず、社内ネットワーク上のサーバーのキャッシュから各コンピュータに取り込むことができる機能です。また、メッセージリレー経由で Sophos Central と通信を行うサーバーを指定することもできます。
コンピュータに対してキャッシュが設定されたことが表示されます。どのサーバーが使用されているかも表示されます。
Windows ファイアウォール
Windows ファイアウォールがアクティブで、このコンピュータで管理されています。次の事柄も表示されます。
- Windows のグループポリシーが使用されているかどうか。
- 有効なネットワークプロファイル。
- 他の登録済みファイアウォールがあり、それが有効かどうか。