주요 콘텐츠로 건너뛰기

Live Response 설정 및 시작

Live Response를 통해 장치에 연결하여 가능한 보안 문제를 조사하고 해결할 수 있습니다.

Live Response를 사용하여 의심스러운 프로세스 중지, 보류 중인 업데이트가 있는 장치 다시 시작, 폴더 찾아보기, 파일 삭제 등의 작업을 수행할 수 있습니다.

이 페이지에서 다음 작업을 수행하는 방법을 설명합니다.

  • Live Response를 켜고 연결할 수 있는 장치를 지정합니다.

    참고

    컴퓨터 및 서버용 Live Response를 별도로 켜야 합니다.

  • Live Response 세션을 시작합니다.

  • 전체적인 Live Response 활동을 감사합니다.
  • Live Response 세션을 감사합니다.

컴퓨터용 Live Response 켜기

Live Response 설정을 변경하려면, 귀하가 Super Admin이거나 컴퓨터용 Live Response 설정 관리을 포함하는 사용자 지정 역할이 있어야 합니다. 관리자에게 Live Response에 대한 액세스 권한 부여 를 참조하십시오.

다음과 같이 Live Response를 켜고 연결할 수 있는 컴퓨터를 지정합니다.

  1. 나의 제품 > 일반 설정 > Endpoint Protection > Live Response로 이동합니다.
  2. 컴퓨터와의 Live Response 연결 허용를 켭니다.

    기본적으로 Live Response는 모든 컴퓨터에 연결할 수 있습니다.

  3. Live Response가 특정 컴퓨터에 연결되지 않도록 하려면, 제외를 살펴보고 사용 가능에서 컴퓨터를 선택한 후 제외됨로 옮깁니다.

  4. 저장을 클릭합니다.

서버용 Live Response를 설정하려면

Live Response 설정을 변경하려면, 귀하가 Super Admin이거나 서버용 Live Response 설정 관리을 포함하는 사용자 지정 역할이 있어야 합니다. 관리자에게 Live Response에 대한 액세스 권한 부여 를 참조하십시오.

다음과 같이 Live Response를 켜고 연결할 수 있는 서버를 지정합니다.

  1. 나의 제품 > 일반 설정 > Server Protection > Live Response로 이동합니다.
  2. 서버와의 Live Response 연결 허용를 켭니다.

    기본적으로 Live Response는 모든 서버에 연결할 수 있습니다.

  3. Live Response가 특정 서버에 연결되지 않도록 하려면, 제외를 살펴보고 사용 가능에서 서버를 선택한 후 제외됨로 옮깁니다.

Live Response 세션 시작

Live Response 세션을 시작하려면 슈퍼 관리자이거나 이 세션을 시작할 수 있게 하는 사용자 지정 역할이 있어야 합니다. 관리자에게 Live Response에 대한 액세스 권한 부여 를 참조하십시오.

MFA 챌린지를 적용하는 지원되는 ID 공급자와 페더레이션 로그인을 사용하는 경우, Live Response 세션을 시작할 때 Sophos Central MFA 챌린지를 피할 수 있습니다. 이렇게 하려면 IdP 적용 MFA 옵션을 켭니다. 나의 제품 > 일반 설정 > 연결된 ID 공급자을 클릭합니다. ID 공급자 추가(Entra ID/Open IDC/ADFS)을 참조하십시오.

Live Response 시작

Live Response를 시작하려면 다음과 같이 하십시오.

  1. 장치로 이동합니다.
  2. 장치를 선택하고 클릭하여 세부 정보 페이지를 엽니다.
  3. 세부 정보 페이지 왼쪽에서 Live Response을 클릭합니다.

    컴퓨터에 대한 연결이 다른 브라우저 탭에서 열립니다. 탭에 터미널 창이 표시됩니다.

    새 탭이 열리지 않으면 브라우저에서 차단했을 수도 있습니다. 브라우저가 해당 탭을 허용하도록 구성합니다.

  4. 명령 프롬프트에서 조사 또는 수정을 수행할 명령을 입력합니다.

    연결한 컴퓨터에 따라 DOS, UNIX 또는 Linux 명령을 사용합니다.

  5. 작업을 마치면 세션 종료을 클릭합니다. 탭이 열린 상태로 유지되지만 연결은 닫힙니다. 여기에서 Sophos Central의 다른 위치를 찾아볼 수 있습니다. 탭이 열린 상태로 유지되지만 연결은 닫힙니다. 여기에서 Sophos Central의 다른 위치를 찾아볼 수 있습니다.

다음과 같은 경우 연결도 닫힙니다.

  • 탭을 닫습니다.
  • 탭을 새로 고칩니다.
  • 여기에서 Sophos Central의 다른 위치를 찾아봅니다.
  • 30분 동안 활동이 없습니다.

Live Response 활동 감사

전체적인 Live Response 활동을 보려면 감사 로그를 확인합니다.

  1. 보고서 > 로그로 이동합니다.
  2. 일반 로그 아래에서, 감사 로그을 클릭합니다.

감사 로그에는 세션이 시작되고 종료된 시간, 세션을 시작한 관리자, 세션에 액세스한 장치, 세션 시작 시 지정된 "목적"이 표시됩니다.

세션의 전체 세부 정보를 보려면 세션 시작 또는 종료 시 로그 항목 옆에 있는 세션 감사 로그 보기를 클릭합니다.

Live Response 세션 감사

특정 Live Response 세션에서 발생한 이벤트에 대한 전체 세부 정보를 확인하려면 세션 감사 로그를 확인하십시오.

제한

세션 감사 로그를 가져오려면 Super Admin이거나 컴퓨터용 Live Response 설정 관리서버용 Live Response 설정 관리을 포함하는 사용자 지정 역할이 있어야 합니다.

감사 로그를 보려면 다음과 같이 하십시오.

  1. 보고서 > 로그로 이동합니다.
  2. 엔드포인트 및 서버 보호 로그에서 Live Response 세션 감사를 클릭합니다.
  3. 원하는 세션을 찾아 세션 로그 다운로드를 클릭합니다. 세션 로그는 gzip 압축 파일로 다운로드됩니다.
  4. 파일 압축을 풀고 확인합니다.

감사 로그에는 Live Response 세션에 입력한 명령이 표시됩니다.