Estación: Protección contra amenazas

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Usar configuración recomendada

Haga clic en Usar configuración recomendada si desea usar la configuración que recomienda Sophos. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

En caso de que cambiemos nuestras recomendaciones en el futuro, se actualizaría automáticamente su política con la nueva configuración.

La configuración recomendada ofrece:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección de los últimos programas maliciosos conocidos por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.

Deep Learning

El Deep Learning utiliza el Machine Learning avanzado para detectar amenazas. Puede identificar programas maliciosos conocidos y nuevos y aplicaciones no deseadas sin utilizar firmas.

El Deep Learning solo está disponible con Sophos Intercept X.

Live Protection

Live Protection compara los archivos sospechosos con el último malware de la base de datos de SophosLabs.

Puede seleccionar estas opciones:

Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online: Esta opción comprueba los archivos durante el escaneado en tiempo real.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real escanea los archivos cuando el usuario trata de acceder a ellos, y autoriza el acceso si el archivo está limpio.

Los archivos locales se escanean por defecto. También puede seleccionar Archivos remotos para escanear archivos en recursos compartidos de red.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos. Puede seleccionar estas opciones:

Escanear descargas en progreso

Bloquear el acceso a sitios web maliciosos: Esto deniega el acceso a sitios web que albergan programas maliciosos.

Detectar archivos de baja reputación: Esta opción avisa si una descarga tiene una reputación baja. La reputación se basa en el origen de un archivo, con qué frecuencia se descarga y otros factores.

Puede especificar:

  • Acción para descargas de baja reputación: Si selecciona Preguntar, los usuarios verán un aviso cuando descarguen un archivo de reputación baja. Pueden optar por permitir el archivo o eliminarlo. Esta es la opción predeterminada.
  • Nivel de reputación: Si selecciona Estricto, se detectarán archivos de reputación media y reputación baja. La opción predeterminada es Recomendado.

Remediación

Las opciones de remediación son:

  • Limpiar malware automáticamente: Sophos Central intentará limpiar el malware detectado automáticamente.

    Si la limpieza se realiza correctamente, la alerta del malware detectado se elimina de la lista de alertas. La detección y la limpieza aparecen en la lista de eventos.

    La limpieza automática no se aplica a los archivos portátiles ejecutables (PE) como aplicaciones, bibliotecas y archivos de sistema. Los archivos PE se ponen en cuarentena y pueden restaurarse.

  • Activar creación de caso de amenaza: Los casos de amenazas le permiten investigar la cadena de acontecimientos de un ataque de malware e identificar las áreas en las que mejorar la seguridad.
  • Permitir que los ordenadores envíen datos sobre archivos sospechosos, eventos de red y actividad de herramientas de administración a Sophos Central: Envía detalles de posibles amenazas a Sophos. Asegúrese de que está activada en cualquier política para ordenadores en los que quiera realizar búsquedas de amenazas.
    Nota Esta opción está disponible si tiene Intercept X Advanced with EDR.
    Restricción Debe activar esta opción tanto en Endpoint Protection como en Server Protection para utilizar Intercept X Advanced with EDR.

Protección en tiempo de ejecución

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos. Puede seleccionar:

Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege los archivos de documentos contra programas maliciosos que restringen el acceso a los archivos y exigen un pago para recuperarlos. También puede optar por proteger equipos de 64 bits contra ransomware ejecutado desde una ubicación remota.

Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el equipo contra los programas de ransomware que cifran el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.

Proteger funciones críticas en navegadores web (Navegación segura): Esta opción protege los navegadores web contra la explotación por parte de programas maliciosos.

Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más propensas a la explotación por parte de programas maliciosos. Puede seleccionar los tipos de aplicaciones que desea proteger.

Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de programas maliciosos. Puede seleccionar estas opciones:

  • Impedir ataques de vaciado de procesos: Esta opción evita los ataques de sustitución de procesos.
  • Impedir que se carguen archivos DLL de carpetas de no confianza: Esta opción evita la carga de archivos .DLL por parte de carpetas que no son de confianza.
  • Impedir el robo de credenciales: Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
  • Impedir el uso de cuevas de código: Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
  • Impedir la infracción de APC: Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
  • Impedir el aumento de privilegios: Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.

Proteger el tráfico de red: Puede seleccionar estas opciones:

  • Detectar conexiones maliciosas con servidores de comando y control: Esto detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
  • Impedir el tráfico de red malicioso con la inspección de paquetes (IPS): Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones.

Detectar comportamiento malicioso (HIPS): Esto protege contra amenazas que aún no se conocen. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.

Protección AMSI (con escaneado mejorado para las amenazas basadas en scripts): Esto protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft. El código dirigido a través de AMSI se escanea antes de que se ejecute y las aplicaciones utilizadas para ejecutar el código reciben notificaciones de amenazas de Sophos. Si se detecta una amenaza, se registra un evento.

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Aislamiento de dispositivo

Si selecciona esta opción, los dispositivos se aislarán de la red si su estado de seguridad es de color rojo. El estado de seguridad de un dispositivo es de color rojo si se han detectado amenazas, si tiene software no actualizado, si no cumple con las políticas o si no está debidamente protegido.

Puede seguir gestionando el dispositivo aislado desde Sophos Central. También puede utilizar exclusiones de escaneado o exclusiones globales para darles acceso limitado para resolver problemas.

No puede sacar estos dispositivos del aislamiento. Se volverán a comunicar con la red una vez que su estado de seguridad sea de color verde.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Puede seleccionar estas opciones:

  • Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.
    Nota La hora del escaneado programado es la hora de las estaciones (no una hora UTC).
  • Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones

Se pueden excluir archivos, carpetas, sitios web o aplicaciones del escaneado de amenazas, tal como se describe a continuación.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado (use una exclusión Exploits detectados).

Las exclusiones definidas en una política solo se usan para los usuarios a los que aplica la política.

Nota Para aplicar exclusiones a todos sus usuarios y servidores, defina exclusiones globales en la página Configuración global > Exclusiones globales.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento que deba excluirse (archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo).
  3. Especifique el elemento o elementos que desea excluir.
  4. Para las exclusiones de Archivos o carpetas solamente, en la lista desplegable Activo para especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Mensaje de escritorio

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Activar los mensajes de escritorio para la protección contra amenazas está activado por defecto. Si desactiva esta opción, no verá ningún mensaje de notificación relacionado con la protección contra amenazas.

Introduzca el texto que desea añadir.