Criterio di protezione contro le minacce del server

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

Limitazione Solo alcune opzioni possono essere utilizzate sui server Windows.
Nota Se un'opzione risulta bloccata, significa che il partner o l'amministratore di Enterprise ha applicato le impostazioni globali. È possibile disattivare il rilevamento di applicazioni, exploit e ransomware dall'elenco Eventi.

Selezionare Server Protection > Criteri per configurare la protezione contro le minacce.

Per configurare un criterio, procedere come segue:

  • Creare un criterio Protezione dalle minacce. Vedere Creazione o modifica di un criterio.
  • Aprire la scheda Impostazioni del criterio e configurarlo come segue. Verificare che il criterio sia abilitato.

È possibile utilizzare le impostazioni consigliate, oppure modificarle.

Avvertenza Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.
Nota I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici per garantire i massimi livelli di protezione.

Per maggiori informazioni su come valutiamo le minacce, visitare il Sophos Threat Center.

Intercept X Advanced for Server

Se si è in possesso di questa licenza, il criterio di protezione contro le minacce offrirà sicurezza contro ransomware ed exploit, con rilevamento delle minacce indipendente dalle firme e l'opzione “casi di minacce” per l'analisi degli eventi relativi alle minacce.

Si consiglia di utilizzare queste impostazioni per i massimi livelli di protezione.

Nota Abilitando una qualsiasi di queste funzionalità, i server assegnati a questo criterio utilizzeranno una licenza Intercept X Advanced for Server.

Vedere Server Protection: Intercept X Advanced.

Impostazioni predefinite di Server Protection

Si consiglia di lasciare attivate queste impostazioni. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Queste impostazioni offrono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per consentire il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.
  • Esclusione automatica dalla scansione per le attività delle applicazioni note.

Vedere Protezione per server: Impostazioni predefinite.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

Questo tipo di scansione è abilitato per impostazione predefinita sui server.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata. Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.
    Nota L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).
  • Abilita scansione profonda. Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.
    Nota La scansione dei file compressi può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni dalla scansione

Per alcune applicazioni, le attività vengono automaticamente escluse dalle scansioni in tempo reale. Vedere Esclusioni automatiche.

È possibile escludere dalla scansione anche altri elementi o attività di altre applicazioni. Questa opzione potrebbe essere preferibile nel caso in cui un'applicazione del database debba effettuare l'accesso a molti file diversi, in quanto altrimenti attiverebbe una quantità troppo elevata di scansioni e rallenterebbe la performance di un server.

Suggerimento Per impostare esclusioni per un’applicazione specifica, è possibile adoperare questa opzione per escludere i processi eseguiti dall’applicazione interessata. Si tratta di una procedura che garantisce maggiore sicurezza, rispetto all’esclusione di file o cartelle.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato (utilizzando un'esclusione Exploit rilevati).

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli server ai quali viene applicato il criterio.

Nota Se si desidera applicare esclusioni a tutti gli utenti e i server, impostare esclusioni globali nella pagina Panoramica > Impostazioni globali > Esclusioni globali.

Per creare un’esclusione dalla scansione in un criterio:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. Nell’elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, processo, sito web, o applicazione potenzialmente indesiderata).
  3. Specificare l’elemento o gli elementi da escludere. Sono applicabili le seguenti regole:
    • File o cartella (Windows). In Windows è possibile escludere un’unità, cartella o file specificandone il percorso completo. È possibile utilizzare caratteri jolly e variabili. Esempi:
      • Cartella: C:\programdata\adobe\photoshop\ (aggiungere una barra per una cartella)
      • Unità intera: D:
      • File: C:\program files\program\*.vmg
    • File o cartella (Linux). Su Linux, è possibile escludere una cartella o file. È possibile utilizzare i caratteri jolly ? e *. Esempio: /mnt/hgfs/excluded.
    • File o cartella (Sophos Security VM). Sulle VM guest Windows protette da una Sophos Security VM, è possibile escludere un’unità, cartella o file specificandone il percorso completo, proprio come per qualsiasi altro computer Windows. È possibile utilizzare il carattere jolly * ma solo per i nomi file.
      Nota Per impostazione predefinita, le esclusioni sono applicabili a tutte le VM guest protette dalla VM di sicurezza. Per le esclusioni su una o più VM specifiche.
    • Processo (Windows). È possibile escludere qualsiasi processo eseguito da un’applicazione. Questa opzione esclude anche i file utilizzati dal processo stesso (solo in caso di accesso da parte del processo in questione). Se possibile, inserire il percorso completo dell’applicazione, piuttosto che il solo nome del processo visualizzato in Gestione attività. Esempio: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
      Nota Per visualizzare tutti i processi o altri elementi da escludere per un’applicazione, consultare la documentazione fornita dal vendor.
      Nota È possibile utilizzare caratteri jolly e variabili.
    • Sito Web (Windows). È possibile specificare siti web utilizzando indirizzi IP, intervalli di indirizzi IP (in notazione CIDR) o domini. Esempi:
      • Indirizzo IP: 192.168.0.1
      • Intervallo di indirizzi IP: 192.168.0.0/24 L’appendice /24 rappresenta il numero di bit nel prefisso comune a tutti gli indirizzi IP di questo intervallo. Per cui /24 corrisponde alla netmask 11111111.11111111.11111111.00000000. Nel nostro esempio, l’intervallo include tutti gli indirizzi IP che cominciano con 192.168.0.
      • Dominio: google.com
    • Applicazione potenzialmente indesiderata (Windows). È possibile escludere applicazioni solitamente rilevate come spyware. Specificare l’esclusione utilizzando lo stesso nome con cui è stata rilevata dal sistema. Per maggiori informazioni sulle applicazioni potenzialmente indesiderate (PUA), vedere il Sophos Threat Center.
    • Exploit rilevati (Windows/Mac). È possibile escludere qualsiasi exploit che sia stato rilevato. L'applicazione interessata non verrà più rilevata o bloccata.
      Nota Questa azione disattiva la protezione antiransomware CryptoGuard per questo exploit e per l'applicazione interessata nei server Windows.
    • Protezione AMSI (Windows). In Windows è possibile escludere un’unità, cartella o file specificandone il percorso completo. La scansione del codice non verrà effettuata su questo percorso. Il carattere jolly * può essere utilizzato per il nome file o per l’estensione. Vedere Antimalware Scan Interface (AMSI).
    • Isolamento del server (Windows). La funzionalità Isolamento dispositivo (per mano di un amministratore) è disponibile per i server se è stata effettuata l'iscrizione al Programma di accesso in anteprima (Early Access Program) di Intercept X Advanced for Server with XDR.

      Ai dispositivi isolati è possibile concedere un livello di limitato di comunicazione con altri dispositivi.

      Selezionare se i dispositivi isolati debbano utilizzare comunicazioni in entrata, in uscita o entrambe le opzioni.

      Le comunicazioni possono essere limitate con una o più delle seguenti impostazioni:

      • Porta locale: qualsiasi dispositivo potrà utilizzare questa porta sui dispositivi isolati.
      • Porta remota: i dispositivi isolati potranno utilizzare questa porta su qualsiasi dispositivo.
      • Indirizzo remoto: i dispositivi isolati potranno comunicare solamente con il dispositivo che ha questo IP.

      Esempio 1: Si desidera effettuare l'accesso tramite desktop remoto a un dispositivo isolato per svolgere operazioni di risoluzione dei problemi.

      • Selezionare Connessione in entrata.
      • Immettere il numero di porta nel campo Porta locale.

      Esempio 2: Si desidera l'accesso a un dispositivo isolato per scaricare strumenti di disinfezione da un server.

      • Selezionare Connessione in uscita.
      • Immettere l'indirizzo del server nel campo Indirizzo remoto.
  4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.
  5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Per maggiori informazioni sulle esclusioni che possono essere utilizzate, vedere:

Esclusioni da attenuazione exploit

È possibile escludere applicazioni dalla protezione contro gli exploit di sicurezza. Potrebbe ad esempio essere necessario escludere un’applicazione erroneamente rilevata e classificata come minaccia fino alla risoluzione del problema.

L'aggiunta di esclusioni limita la protezione.

L'aggiunta di esclusioni con l'opzione globale Panoramica > Impostazioni globali > Esclusioni globali crea esclusioni che vengono applicate a tutti gli utenti e i dispositivi.

Si consiglia di utilizzare questa opzione e assegnare il criterio contenente l'esclusione solo ai server per i quali l'esclusione è necessaria.

Limitazione È possibile creare esclusioni solo per le applicazioni Windows.

Per creare un'esclusione da attenuazione exploit per un criterio, procedere come segue:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. In Tipo di esclusione, selezionare Attenuazione degli exploit (Windows).

    Verrà visualizzato un elenco delle applicazioni protette presenti sulla rete.

  3. Selezionare l'applicazione che si desidera escludere.
  4. Se l'applicazione desiderata non è visibile, cliccare su Applicazione non elencata?. È ora possibile escludere l'applicazione dalla protezione immettendone il percorso file. Facoltativamente, è anche possibile utilizzare le variabili.
  5. In Attenuazioni, scegliere tra le seguenti opzioni:
    • Disattivare l'opzione Proteggi applicazione. Non verranno effettuati controlli antiexploit per l'applicazione selezionata.
    • Mantenere Proteggi applicazione attiva e selezionare i tipi di exploit per i quali si desidera o non si desidera effettuare controlli.
  6. Cliccare su Aggiungi o su Aggiungi un altro. L'esclusione viene aggiunta all'elenco nella pagina Esclusioni globali.

    L'esclusione viene applicata solo ai server ai quali si assegna questo criterio.

    Reputazione dei download

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

È possibile aggiungere un messaggio al termine delle notifiche standard. Se si lascia vuota la casella del messaggio, verrà visualizzato solamente il messaggio standard.

La Messaggistica desktop è abilitata per impostazione predefinita.

Cliccare sulla casella del messaggio e inserire il testo che si desidera aggiungere.