Server Protection : Intercept X Advanced

Si vous avez une licence Intercept X Advanced for Server, vous allez voir les options suivantes dans votre stratégie de protection contre les menaces en plus des options Server Protection habituelles.

Protection à l’exécution (runtime)

Restriction : Vous devez rejoindre le programme d’accès anticipé pour utiliser certaines options.

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant sur les terminaux.

  • Protéger les fichiers document contre les ransomwares (CryptoGuard) : Cette option permet de protéger des fichiers document contre les malwares empêchant l’accès aux fichiers et demandant le paiement d’une somme d’argent pour les rendre accessibles. Vous pouvez également choisir de protéger les ordinateurs 64 bits contre les ransomwares s’exécutant depuis un emplacement distant. Vous pouvez choisir l’action à effectuer si un ransomware est détecté. Vous pouvez mettre fin à tout processus de ransomware en cours d’exécution, ou empêcher tout processus de ransomware d’écrire sur le système de fichiers en les isolant.
  • Protéger contre les ransomwares d’enregistrement de démarrage principal : Cette option permet de protéger l’ordinateur contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formattent le disque dur.
  • Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée) : Cette option permet de protéger les navigateurs Web contre toute mauvaise exploitation par des malwares.
  • Limiter les attaques dans les applications vulnérables : Cette option permet de protéger les applications les plus susceptibles d’être attaquées par des malwares. Vous pouvez sélectionner les types d’application à protéger.
  • Paramètres de prévention des Exploits :
    • Empêcher le vol de codes d’accès : empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
    • Empêcher l’utilisation de « Code cave » : détecte le code malveillant qui a été inséré dans une autre application légitime.
    • Empêcher la violation APC : empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
    • Empêcher l’élévation de privilèges : empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.

    Nous vous recommandons de tester ces paramètres avant d’appliquer la stratégie à vos serveurs.

  • Protéger les processus : Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez choisir de :
    • protéger contre les attaques de remplacement de processus (attaques contre les processus creux).
    • protéger contre le chargement de fichiers .DLL à partir de dossiers non fiables.
  • Activer la surveillance d’exécution du CPU : La détection du code malveillant dans le processeur est une fonction des processeurs Intel permettant de suivre l’activité du processeur à des fins de détection. Cette fonction est compatible avec les processeurs Intel sous les architectures suivantes : Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, et Kaby Lake.

    Nous ne prenons pas en charge cette fonction en cas de présence d’un hyperviseur (légitime) sur l’ordinateur.

Deep Learning

Deep Learning utilise l’apprentissage machine avancé pour détecter les menaces. Il identifie les malwares connus et auparavant inconnus ainsi que les applications potentiellement indésirables sans l’aide de signatures.

Correction

  • Activer la création de Dossier Menace : Les dossiers Menace vous permettent d’examiner en profondeur la série d’événements d’une attaque de malware et d’identifier les zones sur lesquelles la sécurité peut être renforcée.
  • Autoriser les serveurs à envoyer des données sur les fichiers suspects, les événements de réseau et l’activité de l’outil d’administration à Sophos Central : envoie les informations sur les menaces potentielles à Sophos. Assurez-vous que cette option est activée dans toutes les stratégies appliquées aux serveurs sur lesquels vous souhaitez effectuer les recherches de menace.
    Remarque : Pour bénéficier de cette option, vous devez utiliser Intercept X Advanced with EDR for Server.
    Restriction : Veuillez activer cette option dans Endpoint Protection et Server Protection pour pouvoir utiliser Intercept X Advanced for Server with EDR.