Server Protection: Intercept X Advanced

Se si è in possesso di una licenza Intercept X Advanced for Server, nel criterio di protezione contro le minacce verranno visualizzate ulteriori opzioni, oltre a quelle standard della Protezione per server.

Protezione runtime

Limitazione Per poter utilizzare alcune opzioni, occorre iscriversi al Programma di accesso in anteprima (Early Access Program, EAP).

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli nei computer endpoint.

  • Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto. È possibile selezionare l'azione che si desidera eseguire se viene rilevato ransomware. È presente l'opzione di terminare eventuali processi di ransomware in esecuzione, oppure di isolare qualsiasi processo di ransomware per impedire che scriva sul file system.
  • Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.
  • Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.
  • Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.
  • Impostazioni avanzate dell'attenuazione degli exploit:
    • Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
    • Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
    • Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
    • Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

    Si consiglia di testare queste impostazioni prima di applicare il criterio ai server.

  • Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere di:
    • proteggere i sistemi dagli attacchi di sostituzione dei processi (attacchi di process hollowing).
    • proteggere i sistemi dal caricamento di file .DLL da cartelle non attendibili.
  • Abilita branch tracing della CPU: il rilevamento di codice malevolo nella CPU è una funzionalità dei processori Intel che consente di monitorare l'attività del processore a scopo di rilevamento. Le nostre tecnologie supportano questa funzionalità sui processori Intel e nelle seguenti architetture: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake.

    Non la supportiamo se è presente un hypervisor (legittimo) nel computer.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Correzione

  • Abilita creazione di casi di minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.
  • Consenti ai server di inviare a Sophos Central i dati relativi a file sospetti, eventi di rete e attività degli strumenti di amministrazione: questa opzione invia a Sophos i dettagli relativi a potenziali minacce. Verificare che sia attivata in tutti i criteri per i server nei quali si desidera effettuare ricerche sulle minacce.
    Nota Per utilizzare questa opzione, è necessaria Intercept X Advanced with EDR for Server.
    Limitazione È necessario attivare questa opzione sia in Endpoint Protection che in Server Protection per utilizzare Intercept X Advanced for Server with EDR.