ライブレスポンス

Secureworks® Taegis™ XDR のライブレスポンスを使用すると、Sophos Endpoint Agent デバイスに直接接続して、潜在的なセキュリティ問題を調査および修復できます。ライブレスポンスでは、以下のことが可能です。

• 不審なプロセスの停止
• 保留中のアップデートがあるデバイスの再起動
• フォルダーの参照やファイルの削除
• 調査や修復のためのカスタムコマンドの実行

ライブレスポンスは、コンピューターとサーバーごとに有効化でき、アクセス可能なデバイスの指定や、すべてのアクティビティおよびセッションの監査が可能です。

ライブレスポンスの有効化

ライブレスポンスは、Sophos Central からコンピューターとサーバーごとに個別に有効化する必要があります。これらの設定を変更できるのは、XDR テナント管理者のみです。

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェント → サマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。

エンドポイントエージェントのサマリーからSophos Centralを開く

注意

Secureworks® Taegis™ XDR テナントからSSO経由で Sophos Central にアクセスする場合、ユーザーアカウントのロールは Sophos Central 内の特定の権限にマッピングされます。詳細は ユーザーロールのマッピング ドキュメントをご参照ください。

コンピューター向けライブレスポンスサーバー向けライブレスポンス

1. My Products → Endpoint → Policies に移動します。

   

   ポリシー設定の場所

2. Data Collection and Investigation 機能に移動し、ポリシーを選択して詳細を開きます。

   

   データ収集と調査ポリシー

   注意

   ベースポリシーはデフォルトですべてのコンピューターに適用されます。指定したコンピューターグループ用のカスタムポリシーを持つこともできます。

3. Settings タブを選択します。

4. Allow Live Response connections to computers を有効にします。

   

   ライブレスポンスの有効化

   注意

   選択すると、デフォルトですべてのコンピューターにライブレスポンスで接続できます。

5. Save を押します。

1. My Products → Server → Policies に移動します。

   

   ライブレスポンス設定の場所

2. Data Collection and Investigation 機能に移動し、ポリシーを選択して詳細を開きます。

   

   データ収集と調査ポリシー

   注意

   ベースポリシーはデフォルトですべてのサーバーに適用されます。指定したサーバーグループ用のカスタムポリシーを持つこともできます。

3. Settings タブを選択します。

4. Allow Live Response connections to servers を有効にします。

   

   ライブレスポンスの有効化

   注意

   選択すると、デフォルトですべてのサーバーにライブレスポンスで接続できます。

5. Save を押します。

ライブレスポンスセッションの開始

以下の手順で、Sophos Agent デバイス上でライブレスポンスセッションを開始します。

注意

セッションを開始するには、XDR テナントで テナント管理者 権限が必要です。ロールの詳細は ユーザーロール をご参照ください。

1. Taegis メニューから Endpoint Agents → Summary を選択します。
2. エージェントエントリを選択してサイドドロワーの概要を表示するか、すべてのエージェント情報を新しいタブで表示します。

3. Agent Details で Sophos Live Response を選択します。

   

   Sophos Live Response セッションの開始

   注意

   歯車 アイコンをクリックすると、Sophos Central テナントに接続し、Sophos Central 内のポリシーを表示できます。Data Collection and Investigation 機能に移動して、ライブレスポンス設定を構成してください。

   

   データ収集と調査ポリシー

4. 新しいブラウザタブが開き、ターミナルウィンドウが表示されます。タブが開かない場合は、ブラウザのポップアップ許可設定を確認してください。

5. 指示に従い、監査要件 を満たすためにライブレスポンスセッション開始の理由を記録します。

   

   ライブレスポンスセッション開始時のプロンプト

   注意

   Settings ボタンをクリックすると、Sophos Central テナントに接続し、Sophos Central 内のポリシーを表示できます。Data Collection and Investigation 機能に移動して、ライブレスポンス設定を構成してください。

   

   データ収集と調査ポリシー

6. コマンドプロンプトで、トリアージや修復のためのコマンドを入力します。

   ヒント

   接続しているデバイスのオペレーティングシステムに応じて、DOS、UNIX、またはLinuxコマンドを使用してください。

7. 完了したら End Session を選択します。

   注意

   以下の場合もセッションは終了します:

   • タブを閉じた場合
   • タブをリフレッシュした場合
   • セッションタブから XDR の他の場所に移動した場合
   • 30分間アクティビティがなかった場合

ライブレスポンスアクティビティの監査

Sophos Central で一般的なライブレスポンスアクティビティを確認したり、特定のセッションの詳細を表示したりできます。

一般的なライブレスポンスアクティビティの表示

1. Reports → Logs に移動します。
2. General Logs で Audit Logs を選択します。
3. セッションの開始・終了時刻、各セッションを開始した管理者、アクセスしたデバイス、セッション開始時に入力した「目的」を確認します。
4. セッションの詳細を確認するには、ログエントリの横にある See session audit logs をクリックします。

特定のライブレスポンスセッションの監査

セッション監査ログにアクセスするには、XDR テナントで テナント管理者 権限が必要です。

1. Reports → Logs に移動します。
2. Endpoint & Server Protection Logs で Live Response session audit を選択します。
3. 確認したいセッションを見つけて Download session log を選択します。
4. セッションログはgzip圧縮ファイルとしてダウンロードされます。
5. ファイルを展開して内容を確認します。

監査ログには、ライブレスポンスセッション中に入力されたすべてのコマンドが記録されます。