Endpoint: Protezione dalle minacce

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici, al fine di garantire i massimi livelli di protezione.

Usa impostazioni consigliate

Cliccare su Usa impostazioni consigliate se si desidera utilizzare le impostazioni consigliate da Sophos. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Se in futuro le nostre impostazioni consigliate dovessero cambiare, provvederemo ad aggiornare automaticamente il criterio con le modifiche apportate.

Le impostazioni consigliate offrono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per abilitare il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Il deep learning è disponibile solamente con Sophos Intercept X.

Live Protection

Sophos Live Protection analizza i file sospetti confrontando i dati con le informazioni più aggiornate sul malware presenti nel database dei SophosLabs.

È possibile scegliere tra le seguenti opzioni:

Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

Scansione in tempo reale - File locali e condivisioni di rete

Le scansioni in tempo reale analizzano i file a cui gli utenti cercano di accedere, autorizzando l'accesso se i file risultano sicuri.

I file locali vengono sottoposti a scansione per impostazione predefinita. È anche possibile selezionare File remoti per eseguire la scansione dei file sulle condivisioni di rete.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi. È possibile scegliere tra le seguenti opzioni:

Eseguire la scansione sui download in corso

Bloccare l'accesso ai siti Web dannosi: Questa opzione blocca l'accesso ai siti web noti per ospitare malware.

Rileva file con reputazione bassa: Questa opzione segnala quando la reputazione di un download è bassa. La valutazione di tale reputazione si basa sull’origine del file, sulla sua frequenza di download e su altri fattori.

È possibile specificare:

  • Azione da intraprendere sui download con reputazione bassa: Selezionando Richiedi conferma all'utente, gli utenti vedranno un avviso quando scaricano un file con reputazione bassa. Potranno quindi scegliere di considerare il file attendibile, oppure di eliminarlo. Si tratta dell’impostazione predefinita.
  • Livello di reputazione: Selezionando Rigido, verranno rilevati i file con reputazione media, oltre a quelli con reputazione bassa. L’impostazione predefinita è Consigliato.

Correzione

Le opzioni di correzione sono:

  • Rimuovi automaticamente il malware: Sophos Central cercherà di rimuovere automaticamente il malware rilevato.

    Se il processo di rimozione viene completato correttamente, l'avviso relativo al malware rilevato sarà eliminato dall'elenco Avvisi. Il rilevamento e la rimozione verranno visualizzati nell'elenco Eventi.

    La rimozione automatica non è applicabile ai file PE (Portable Executable), quali ad es. applicazioni, librerie e file di sistema. I file PE verrano messi in quarantena e potranno essere ripristinati.

  • Abilita creazione di casi di minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.
  • Consenti ai computer di inviare a Sophos Central i dati relativi a file sospetti, eventi di rete e attività degli strumenti di amministrazione: questa opzione invia a Sophos i dettagli relativi a potenziali minacce. Verificare che sia attivata in tutti i criteri per i computer nei quali si desidera effettuare ricerche sulle minacce.
    Nota Questa opzione è disponibile se è installata Intercept X Advanced with EDR.
    Limitazione È necessario attivare questa opzione sia in Endpoint Protection che in Server Protection per utilizzare Intercept X Advanced with EDR.

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli. È possibile selezionare:

Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto.

Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.

Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra le seguenti opzioni:

  • Impedisci attacchi di process hollowing: Questa opzione blocca gli attacchi di sostituzione dei processi.
  • Impedisci il caricamento di DLL da cartelle non attendibili: Questa opzione protegge i sistemi dal caricamento di file .DLL da cartelle non attendibili.
  • Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
  • Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
  • Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
  • Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Proteggi traffico di rete: È possibile scegliere tra le seguenti opzioni:

  • Rileva le connessioni malevole verso i server di comando e controllo (C&C): Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
  • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti: Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni.

Rileva comportamento dannoso (HIPS): Questa opzione difende i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere malevoli.

Protezione AMSI (con scansione ottimizzata per l'individuazione delle minacce basate su script): Questa opzione protegge i sistemi dal codice malevolo (ad es. script di PowerShell) utilizzando l'Antimalware Scan Interface (AMSI) di Microsoft. Il codice inoltrato tramite AMSI viene sottoposto a scansione prima di essere eseguito, e le applicazioni utilizzate per eseguire il codice ricevono una notifica da Sophos se sono presenti delle minacce. Se il sistema rileva una minaccia, viene creato un evento nel log.

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.

Isolamento dispositivi

Selezionando questa opzione, i dispositivi si isoleranno automaticamente dalla rete se il loro stato di integrità dovesse diventare rosso. Lo stato di integrità di un dispositivo diventa rosso quando vengono rilevate minacce, quando è presente software obsoleto, quando il dispositivo non risulta conforme al criterio, oppure quando non è dotato di una protezione adeguata.

I dispositivi isolati possono continuare a essere gestiti da Sophos Central. È anche possibile utilizzare esclusioni dalla scansione o esclusioni globali per concedere accesso limitato a scopo di risoluzione dei problemi.

Questi dispositivi non possono essere rimossi dall'isolamento. Comunicheranno di nuovo con la rete una volta ripristinato uno stato di integrità verde.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.
    Nota L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).
  • Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce procedendo come indicato di seguito.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato (utilizzando un'esclusione Exploit rilevati).

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti ai quali viene applicato il criterio.

Nota Se si desidera applicare esclusioni a tutti gli utenti e i server, impostare esclusioni globali nella pagina Impostazioni globali > Esclusioni globali.

Per creare un’esclusione dalla scansione in un criterio:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. Nell'elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).
  3. Specificare l’elemento o gli elementi da escludere.
  4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.
  5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

È possibile aggiungere un messaggio al termine delle notifiche standard. Se si lascia vuota la casella del messaggio, verrà visualizzato solamente il messaggio standard.

La Abilita la messaggistica desktop per la protezione dalle minacce è abilitata per impostazione predefinita. Se viene disattivata, non verrà visualizzato alcun messaggio di notifica relativo alla protezione contro le minacce.

Immettere il testo che si desidera aggiungere.