ライブレスポンス

Secureworks® Taegis™ XDR のライブレスポンスを使用すると、Sophos Endpoint Agent デバイスに直接接続して、潜在的なセキュリティ問題を調査および修復できます。ライブレスポンスでは、以下のことが可能です。

• 不審なプロセスの停止
• 保留中のアップデートがあるデバイスの再起動
• フォルダーの参照やファイルの削除
• 調査や修復のためのカスタムコマンドの実行

ライブレスポンスは、コンピューターやサーバーごとに有効化でき、アクセス可能なデバイスを指定し、すべてのアクティビティやセッションを監査できます。

ライブレスポンスの有効化

ライブレスポンスは、Sophos Central でコンピューターとサーバーごとに個別に有効化する必要があります。これらの設定を変更できるのは、XDR テナント管理者のみです。

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェント > サマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。この方法を利用するには、TaegisでアクティブなテナントがSophos Centralのお客様テナントである必要があります。

エンドポイントエージェントのサマリーからSophos Centralを開く

注意

Secureworks® Taegis™ XDR テナントからSSO経由で Sophos Central にアクセスする場合、ユーザーアカウントのロールは Sophos Central の特定の権限にマッピングされます。詳細は ユーザーロールのマッピング ドキュメントをご参照ください。

コンピューター向けライブレスポンスサーバー向けライブレスポンス

1. My Products → Endpoint → Policies に移動します。

   

   ポリシー設定の場所

2. Data Collection and Investigation 機能に移動し、ポリシーを選択して詳細を開きます。

   

   データ収集と調査ポリシー

   注意

   ベースポリシーはデフォルトですべてのコンピューターに適用されます。指定したコンピューターグループ用のカスタムポリシーを持つこともできます。

3. Settings タブを選択します。

4. Allow Live Response connections to computers を有効にします。

   

   ライブレスポンスの有効化

   注意

   選択すると、デフォルトですべてのコンピューターにライブレスポンスで接続できます。

5. Save を押します。

1. My Products → Server → Policies に移動します。

   

   ライブレスポンス設定の場所

2. Data Collection and Investigation 機能に移動し、ポリシーを選択して詳細を開きます。

   

   データ収集と調査ポリシー

   注意

   ベースポリシーはデフォルトですべてのサーバーに適用されます。指定したサーバーグループ用のカスタムポリシーを持つこともできます。

3. Settings タブを選択します。

4. Allow Live Response connections to servers を有効にします。

   

   ライブレスポンスの有効化

   注意

   選択すると、デフォルトですべてのサーバーにライブレスポンスで接続できます。

5. Save を押します。

ライブレスポンスセッションの開始

Sophos Agent デバイスでライブレスポンスセッションを開始するには、以下の手順に従ってください。

注意

セッションを開始するには、XDR テナントで テナント管理者 権限が必要です。ロールの詳細は ユーザーロール をご参照ください。

1. Taegis メニューから Endpoint Agents → Summary を選択します。
2. エージェントエントリを選択してサイドドロワーの概要を表示するか、すべてのエージェント情報を新しいタブで表示します。

3. Agent Details で Sophos Live Response を選択します。

   

   Sophosライブレスポンスセッションの開始

   注意

   歯車 アイコンをクリックすると、Sophos Central テナントに接続し、Sophos Central のポリシーを表示できます。Data Collection and Investigation 機能に移動してライブレスポンス設定を構成してください。

   

   データ収集と調査ポリシー

4. 新しいブラウザタブが開き、ターミナルウィンドウが表示されます。タブが開かない場合は、ブラウザのポップアップ許可設定を確認してください。

5. セッション開始時に、監査要件を満たすため、ライブレスポンスセッションを開始する理由を記録します。

   

   ライブレスポンスセッションの理由入力画面

   注意

   Settings ボタンをクリックすると、Sophos Central テナントに接続し、Sophos Central のポリシーを表示できます。Data Collection and Investigation 機能に移動してライブレスポンス設定を構成してください。

   

   データ収集と調査ポリシー

6. コマンドプロンプトで、トリアージや修復のためのコマンドを入力します。

   ヒント

   接続先デバイスのオペレーティングシステムに応じて、DOS、UNIX、またはLinuxコマンドを使用してください。

7. 完了したら End Session を選択します。

   注意

   以下の場合もセッションは終了します：

   • タブを閉じた場合
   • タブをリフレッシュした場合
   • セッションタブから XDR の他の場所に移動した場合
   • 30分間アクティビティがなかった場合

ライブレスポンスアクティビティの監査

Sophos Central でライブレスポンスの一般的なアクティビティを確認したり、特定のセッションの詳細を表示したりできます。

一般的なライブレスポンスアクティビティの表示

1. Reports → Logs に移動します。
2. General Logs で Audit Logs を選択します。
3. セッションの開始・終了時刻、各セッションを開始した管理者、アクセスしたデバイス、セッション開始時に入力した「目的」を確認します。
4. セッションの詳細を確認するには、ログエントリ横の See session audit logs をクリックします。

特定のライブレスポンスセッションの監査

セッション監査ログにアクセスするには、XDR テナントで テナント管理者 権限が必要です。

1. Reports → Logs に移動します。
2. Endpoint & Server Protection Logs で Live Response session audit を選択します。
3. 確認したいセッションを見つけて Download session log を選択します。
4. セッションログはgzip圧縮ファイルとしてダウンロードされます。
5. ファイルを展開して内容を確認します。

監査ログには、ライブレスポンスセッション中に入力されたすべてのコマンドが記録されます。