Vai al contenuto

Impostazione e avvio di Live Response

Live Response abilita la connessione diretta ai computer, a scopo di indagine e risoluzione di potenziali problemi di sicurezza.

Utilizzando Live Response è possibile interrompere i processi sospetti, riavviare i dispositivi con aggiornamenti in sospeso, sfogliare le cartelle, eliminare i file e altro ancora.

Questa pagina fornisce informazioni su come eseguire le seguenti operazioni:

  • Attivare Live Response e specificare a quali dispositivi può connettersi.

    Nota

    Live Response deve essere attivata separatamente per computer e server.

  • Avviare una sessione di Live Response.

  • Controllare l'attività generale di Live Response.
  • Controllare una sessione di Live Response.

Attivazione di Live Response per i computer

Per modificare le impostazioni di Live Response occorre essere Super Amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per computer. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali computer può connettersi, procedere come indicato di seguito:

  1. Selezionare Prodotti > Impostazioni generali > Endpoint Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai computer.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i computer.

  3. Se si desidera impedire la connessione di Live Response a computer specifici, guardare nelle Esclusioni, selezionare i computer in Disponibile, e spostarli nel campo Esclusi.

  4. Cliccare su Salva.

Attivare Live Response per i server

Per modificare le impostazioni di Live Response occorre essere Super Amministratore o avere un ruolo personalizzato che include Gestisci impostazioni di Live Response per server. Vedere Come concedere agli amministratori l’accesso a Live Response.

Per attivare Live Response e specificare a quali server può connettersi, procedere come indicato di seguito:

  1. Selezionare Prodotti > Impostazioni generali > Server Protection > Live Response.
  2. Attivare Autorizza connessioni Live Response ai server.

    Per impostazione predefinita, Live Response è in grado di connettersi a tutti i server.

  3. Se si desidera impedire la connessione di Live Response a server specifici, guardare nelle Esclusioni, selezionare i server in Disponibile, e spostarli nel campo Esclusi.

Avvio di una sessione di Live Response

Per avviare una sessione di Live Response occorre essere Super Amministratore o un utente con un ruolo personalizzato che ne consente l'avvio. Vedere Come concedere agli amministratori l’accesso a Live Response.

Se si utilizza l’accesso federato con un provider di identità supportato che applica le richieste di MFA, è possibile avviare una sessione di Live Response senza richieste di MFA da parte di Sophos Central. Per farlo, attivare l’opzione MFA implementata dal provider di identità. Selezionare Prodotti > Impostazioni generali > Provider di identità federati. Vedere Aggiunta del provider di identità (Entra ID/Open IDC/ADFS).

Avvio di Live Response

Per avviare Live Response, procedere come segue:

  1. Selezionare Dispositivi.
  2. Selezionare un dispositivo e cliccarci sopra per aprirne la pagina dei dettagli.
  3. Sulla sinistra nella pagina dei dettagli, cliccare su Live Response.

    Viene aperta una connessione al computer in un'altra scheda del browser. La scheda mostra una finestra terminale.

    Se la nuova scheda non si apre, è possibile che il browser l'abbia bloccata. Configurare il browser in modo che la autorizzi.

  4. Al prompt dei comandi, digitare comandi per eseguire l'indagine o la correzione.

    Utilizzare comandi DOS, UNIX o Linux, a seconda del computer a cui si è connessi.

  5. Al termine, cliccare su Termina sessione. La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central. La connessione viene terminata, anche se la scheda rimane aperta. Da qui è possibile navigare altrove in Sophos Central.

La connessione viene terminata anche nei seguenti casi:

  • Se si chiude la scheda.
  • Se si aggiorna la scheda.
  • Se da qui si naviga altrove in Sophos Central.
  • Se non c'è nessuna attività per 30 minuti.

Controllo dell'attività di Live Response

Per visualizzare l'attività generale di Live Response, visualizzare il log di controllo.

  1. Selezionare Report > Log.
  2. Sotto Log generali, cliccare su Log di audit.

Il log di controllo mostra quando le sessioni sono iniziate e terminate, l'amministratore che ha avviato la sessione, il dispositivo a cui ha avuto accesso la sessione e lo "Scopo" indicato quando la sessione è stata avviata.

Per visualizzare i dettagli completi delle sessioni, cliccare su Vedi log di controllo della sessione accanto a una voce di log per l'inizio o la fine di una sessione.

Controllo di una sessione di Live Response

Per visualizzare i dettagli completi degli eventi di una sessione di Live Response specifica, visualizzare il log di controllo della sessione.

Restrizione

Per accedere ai log di controllo della sessione, occorre essere Super Amministratore o avere un ruolo personalizzato che include sia Gestisci impostazioni di Live Response per computer che Gestisci impostazioni di Live Response per server.

Per visualizzare il log di controllo, procedere come segue:

  1. Selezionare Report > Log.
  2. In Log di Endpoint Protection e Server Protection, cliccare su Controllo sessione di Live Response.
  3. Individuare la sessione desiderata e cliccare su Scarica log della sessione. Il log della sessione viene scaricato come file compresso gzip.
  4. Estrarre il file e visualizzarlo.

Il log di controllo mostra i comandi immessi nella sessione di Live Response.