Política de protección contra amenazas

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

Restricción Esta página de ayuda describe la configuración de la política para usuarios de estaciones de trabajo. Para los servidores se aplican diferentes ajustes de políticas.

Para configurarla:

  • Crear una política Protección contra amenazas.
  • Abra la ficha Configuración de la política y establezca las opciones como se describe abajo. Asegúrese de que la política esté activada.

Puede usar la configuración recomendada o cambiarla.

Si cambia alguna de las opciones de esta política y quiere saber cuál es el valor predeterminado, cree una nueva política. No es necesario guardarla, pero muestra los valores predeterminados.

Nota El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.
Nota Si una opción está bloqueada, su partner ha aplicado la configuración global. Todavía puede dejar de detectar aplicaciones, exploits y ransomware yendo a la lista de eventos.

Usar configuración recomendada

Haga clic en Usar configuración recomendada si desea usar las opciones que recomendamos. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

En caso de que cambiemos nuestras recomendaciones en el futuro, se actualizaría automáticamente su política con la nueva configuración.

La configuración recomendada ofrece:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección del malware más reciente conocido por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.
Aviso Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.

Live Protection

Live Protection compara los archivos sospechosos con el último malware de la base de datos de SophosLabs.

Puede seleccionar estas opciones:

  • Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online. Esta opción comprueba los archivos durante el escaneado en tiempo real.
  • Usar Live Protection durante los escaneados programados

Deep Learning

El Deep Learning utiliza el Machine Learning avanzado para detectar amenazas. Puede identificar programas maliciosos conocidos y nuevos y aplicaciones no deseadas sin utilizar firmas.

El Deep Learning solo está disponible con Sophos Intercept X.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real escanea los archivos cuando los usuarios intentan acceder a los mismos. Permite el acceso si el archivo está limpio.

Los archivos locales se escanean por defecto. También puede seleccionar esta opción:

  • Archivos remotos: Esta opción escanea los archivos en recursos compartidos de red.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos. Puede seleccionar estas opciones:

  • Escanear descargas en progreso
  • Bloquear el acceso a sitios web maliciosos: Esto deniega el acceso a sitios web que albergan programas maliciosos.
  • Detectar archivos de baja reputación: Esta opción avisa si una descarga tiene una reputación baja. La reputación se basa en el origen de un archivo, con qué frecuencia se descarga y otros factores. Puede especificar:
    • El Acción para descargas de baja reputación: Si selecciona Preguntar, los usuarios verán un aviso cuando descarguen un archivo de reputación baja. Pueden optar por permitir el archivo o eliminarlo. Esta es la opción predeterminada.
    • El Nivel de reputación: Si selecciona Estricto, se detectan archivos de reputación media y reputación baja. La opción predeterminada es Recomendado.

Remediación

Las opciones de remediación son:

  • Limpiar malware automáticamente: Sophos Central intentará limpiar el malware detectado automáticamente.

    Si la limpieza se realiza correctamente, la alerta del malware detectado se elimina de la lista de alertas. La detección y la limpieza aparecen en la lista de eventos.

    Nota Siempre limpiamos los archivos PE (portables ejecutables) como aplicaciones, bibliotecas y archivos de sistema, incluso si desactiva la limpieza automática. Los archivos PE se ponen en cuarentena y pueden restaurarse.
  • Activar creación de caso de amenaza: Los casos de amenazas le permiten investigar la cadena de acontecimientos de un ataque de malware e identificar las áreas en las que mejorar la seguridad.
  • Permitir que los ordenadores envíen datos sobre archivos sospechosos, eventos de red y actividad de herramientas de administración a Sophos Central: Envía detalles de posibles amenazas a Sophos. Asegúrese de que está activada en cualquier política para ordenadores en los que quiera realizar búsquedas de amenazas.
    Nota Esta opción está disponible si tiene Intercept X Advanced with EDR.

Protección en tiempo de ejecución

Restricción Debe inscribirse en el programa de acceso temprano para utilizar algunas opciones.

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos. Puede seleccionar:

  • Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege los archivos de documentos contra programas maliciosos que restringen el acceso a los archivos y exigen un pago para recuperarlos. También puede optar por proteger equipos de 64 bits contra ransomware ejecutado desde una ubicación remota.
  • Protegerse de ataques de cifrado del sistema de archivos: Esta opción protege el ordenador del ransomware que cifra el sistema de archivos. Elija qué acción desea realizar si se detecta el ransomware. Puede finalizar los procesos de ransomware o aislarlos para impedir que escriban en el sistema de archivos.
  • Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el equipo contra los programas de ransomware que cifran el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.
  • Proteger funciones críticas en navegadores web (Navegación segura): Esta opción protege los navegadores web contra la explotación por parte de programas maliciosos.
  • Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más propensas a la explotación por parte de programas maliciosos. Puede seleccionar los tipos de aplicaciones que desea proteger.
  • Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de programas maliciosos. Puede seleccionar las opciones siguientes:
    • Impedir ataques de vaciado de procesos. Esta opción protege contra los ataques de sustitución de procesos.
    • Impedir que se carguen archivos DLL de carpetas de no confianza. Esta opción protege contra la carga de archivos .DLL desde carpetas que no son de confianza.
    • Impedir el robo de credenciales. Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
    • Impedir el uso de cuevas de código. Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
    • Impedir la infracción de APC. Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
    • Impedir el aumento de privilegios. Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.
  • Proteger el tráfico de red. Puede seleccionar las opciones siguientes:
    • Detectar conexiones maliciosas con servidores de comando y control. Esto detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
    • Impedir el tráfico de red malicioso con la inspección de paquetes (IPS). Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones.
  • Detectar comportamiento malicioso (HIPS): Esto protege contra amenazas que aún no se conocen. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.
  • Detectar comportamiento malicioso: Esto protege contra amenazas que aún no se conocen. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.
    Restricción Debe inscribirse en el programa de acceso temprano para utilizar esta opción.
  • Protección AMSI (con escaneado mejorado para las amenazas basadas en scripts): Esto protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft. El código enviado por AMSI se escanea antes de que se ejecute y Sophos notifica a las aplicaciones utilizadas para ejecutar el código de las amenazas Si se detecta una amenaza, se registra un evento. Puede evitar la eliminación del registro de AMSI en los ordenadores.

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Aislamiento de dispositivo

Si selecciona esta opción, los dispositivos se aíslan de la red si su estado de seguridad es de color rojo. El estado de seguridad de un dispositivo es de color rojo si se han detectado amenazas, si tiene software no actualizado, si no cumple con las políticas o si no está debidamente protegido.

Puede seguir gestionando el dispositivo aislado desde Sophos Central. También puede utilizar exclusiones de escaneado o exclusiones globales para darles acceso limitado para resolver problemas.

No puede sacar estos dispositivos del aislamiento. Se vuelven a comunicar con la red una vez que su estado de seguridad pasa a verde.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Puede seleccionar estas opciones:

  • Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.
    Nota La hora del escaneado programado es la hora de las estaciones (no una hora UTC).
  • Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.
    Nota El escaneado de archivos puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones de escaneado

Se pueden excluir archivos, carpetas, sitios web o aplicaciones del escaneado de amenazas, tal como se describe a continuación.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado (use una exclusión Exploits detectados).

Las exclusiones definidas en una política solo se usan para los usuarios a los que aplica la política.

Nota Para aplicar exclusiones a todos sus usuarios y servidores, defina exclusiones globales en la página Configuración global > Exclusiones globales.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento que deba excluirse (archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo).
  3. Especifique el elemento o elementos que desea excluir.
  4. Para las exclusiones de Archivos o carpetas solamente, en la lista desplegable Activo para, especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Mensaje de escritorio

Nota Debe desactivar Usar configuración recomendada para configurar Mensaje de escritorio.

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Mensaje de escritorio está activado por defecto.

Haga clic en el cuadro del mensaje e introduzca el texto que desee.