Saltar al contenido

Política de protección contra amenazas

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

Nota

Esta página describe la configuración de la política para las estaciones de trabajo. Para los servidores se aplican diferentes ajustes de políticas.

Vaya a Mis productos > Endpoint > Políticas para configurar la protección contra amenazas.

Para configurar una política, haga lo siguiente:

  • Crear una política Protección contra amenazas. Consulte Crear o editar una política.
  • Abra la ficha Configuración de la política y establezca las opciones como se describe abajo. Asegúrese de que la política está activa.

Puede usar la configuración predeterminada o cambiarla.

Si cambia alguna de las opciones de esta política y quiere saber cuál es el valor predeterminado, cree una nueva política. No es necesario guardarla, pero muestra los valores predeterminados.

Nota

El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Opciones recomendadas

De forma predeterminada, la política utiliza nuestra configuración recomendada.

Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja. Se incluye lo siguiente:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección del malware más reciente conocido por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.

Si utiliza opciones de configuración no recomendadas, aparecerán advertencias en la página de configuración de la política.

Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.

Live Protection

Live Protection compara los archivos sospechosos con la base de datos de amenazas de SophosLabs. Esto ayuda a detectar las amenazas más recientes y evitar falsos positivos. Puede utilizar la función de la siguiente manera:

  • Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online. Esta opción comprueba los archivos durante el escaneado en tiempo real.
  • Usar Live Protection durante los escaneados programados.

Desactivar Live Protection reduce la protección y puede aumentar los falsos positivos.

Para ver nuestra base de datos de amenazas, vaya al Centro de amenazas de Sophos.

Deep Learning

El Deep Learning puede detectar automáticamente las amenazas, en particular las nuevas y desconocidas que no se han visto antes. Utiliza Machine Learning y no depende de las firmas.

Desactivar el Deep Learning reduce significativamente la protección.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real comprueba los archivos en busca de malware conocido cuando se accede a ellos y se actualizan. Evita que se ejecuten programas maliciosos conocidos y que las aplicaciones legítimas abran archivos infectados.

Los archivos locales y remotos (archivos a los que se accede desde la red) se analizan por defecto.

Archivos remotos le permite activar o desactivar el escaneado de archivos remotos.

Desactivar estas opciones podría permitir la ejecución o el acceso a malware conocido.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos.

Escanear descargas en progreso

Esta opción de configuración controla si escaneamos las descargas y los elementos de la página antes de que lleguen al navegador.

  • Conexiones HTTP: Escaneamos todos los elementos y descargas.
  • Conexiones HTTPS: No escaneamos ningún elemento, a menos que active Descifrar sitios web mediante SSL/TLS.

Bloquear el acceso a sitios web maliciosos

Esta opción deniega el acceso a sitios web que albergan malware.

Hacemos una comprobación de reputación para ver si el sitio es conocido por albergar contenido malicioso (búsqueda SXL4). Si desactiva Live Protection, también desactivará esta comprobación.

  • Conexiones HTTP: Se comprueban todas las URL, incluidas las solicitudes HTTP GET completas.
  • Conexiones HTTPS: Se comprueban las URL base (SNI). Si activa Descifrar sitios web mediante SSL/TLS, se comprueban todas las URL, incluidas las solicitudes HTTP GET completas.

Detectar descargas de baja reputación

Esta opción de configuración comprueba la reputación de las descargas en función del origen del archivo, la frecuencia con la que se descarga, etc. Utilice las siguientes opciones para decidir cómo se gestionan las descargas.

Defina la Acción que realizar en Preguntar al usuario: El usuario final ve una advertencia cuando se descarga un archivo de baja reputación. Pueden optar por permitir el archivo o eliminarlo. Esta es la opción predeterminada.

Establezca el Nivel de reputación en una de las siguientes opciones:

  • Recomendado: Los archivos de baja reputación se bloquean automáticamente. Esta es la opción predeterminada.
  • Estricto: Las descargas de media y baja reputación se bloquean automáticamente y se notifican a Sophos Central.

Para obtener más información, vaya a la página Reputación de descargas.

Remediación

Las opciones de remediación son las siguientes:

Limpiar malware automáticamente: Sophos Central limpia automáticamente el malware detectado y registra la limpieza. Puede verlo en la lista Eventos.

Restricción

Los equipos Windows siempre limpian los elementos detectados, independientemente de esta opción de configuración. Solo es posible desactivar la limpieza automática en Macs.

Cuando Sophos Central limpia un archivo, lo elimina de su ubicación actual y lo pone en cuarentena en SafeStore. Los archivos permanecen en SafeStore hasta que se permiten o se eliminan con el objetivo de dejar espacio para nuevas detecciones. Puede restaurar los archivos en cuarentena en SafeStore añadiéndolos a Aplicaciones permitidas. Consulte Aplicaciones permitidas.

SafeStore tiene los siguientes límites predeterminados:

  • El límite de un único archivo es de 100 GB.
  • El límite de tamaño total de la cuarentena es de 200 GB.
  • El número máximo de archivos almacenados es 2000.

Activar creación de gráfico de amenazas. Esto le ayuda a investigar la cadena de eventos en un ataque de malware. Le sugerimos que la active para que pueda analizar los ataques que hemos detectado y detenido.

Protección en tiempo de ejecución

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos.

Proteger archivos de documentos de ransomware (CryptoGuard). Esta opción protege contra malware que restringe el acceso a sus archivos y exige un pago para recuperarlos. La función está activada por defecto. Le recomendamos encarecidamente que la deje activada.

También puede utilizar estas opciones:

  • Proteger de ransomware ejecutado de forma remota. Esto garantiza la protección en toda la red. Recomendamos que deje activada esta opción.
  • Protegerse de ataques de cifrado del sistema de archivos. Esta opción protege los dispositivos de 64 bits del ransomware que cifra el sistema de archivos. Elija qué acción desea realizar si se detecta el ransomware. Puede finalizar los procesos de ransomware o aislarlos para impedir que escriban en el sistema de archivos.
  • Proteger contra el ransomware de registro de arranque maestro. Esta opción protege el dispositivo contra el ransomware que cifra el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.

Proteger funciones críticas en navegadores web (Navegación segura). Esta opción de configuración protege los navegadores web de los ataques de malware que actúan explotando el navegador web.

Mitigar vulnerabilidades en aplicaciones vulnerables. Esta opción protege las aplicaciones más susceptibles de ser atacadas por malware. Puede seleccionar los tipos de aplicaciones que desea proteger.

Proteger procesos. Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de programas maliciosos. Puede elegir entre las siguientes opciones:

  • Impedir ataques de vaciado de procesos. También conocido como "sustitución de procesos" o inyección de DLL. Los atacantes suelen utilizar esta técnica para cargar código malicioso en una aplicación legítima con el fin de intentar eludir el software de seguridad.

    Si desactiva esta opción, los ciberdelincuentes podrán burlar su software de seguridad con mayor facilidad.

  • Impedir que se carguen archivos DLL de carpetas de no confianza. Esta opción protege contra la carga de archivos DLL desde carpetas que no son de confianza.

  • Impedir el robo de credenciales. Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
  • Impedir el uso de cuevas de código. Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
  • Impedir la infracción de APC. Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
  • Impedir el aumento de privilegios. Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.

Protección shellcode dinámica. Esta opción de configuración detecta el comportamiento de agentes de comando y control remotos ocultos y evita que los atacantes se hagan con el control de sus redes.

Validar invocador del protocolo CTF. Esta opción de configuración bloquea las aplicaciones que intentan explotar una vulnerabilidad en CTF, un componente de todas las versiones de Windows. La vulnerabilidad permite a un atacante no administrador secuestrar cualquier proceso de Windows, incluidas las aplicaciones que se ejecutan en un entorno seguro. Le recomendamos que active Validar invocador del protocolo CTF.

Impedir la carga lateral de módulos no seguros. Esta opción evita que una aplicación cargue lateralmente un archivo DLL malicioso que se presente como un archivo ApiSet Stub DLL. Los archivos ApiSet Stub DLL sirven como proxy para mantener la compatibilidad entre aplicaciones anteriores y versiones más nuevas del sistema operativo. Los atacantes pueden utilizar archivos ApiSet Stub DLL maliciosos para omitir la protección contra manipulaciones y detener la protección antimalware.

Desactivar esta opción reduce significativamente la protección.

Proteger las cookies del navegador utilizadas para el inicio de sesión con MFA. Esta opción evita que las aplicaciones no autorizadas descifren la clave AES utilizada para cifrar las cookies de autenticación multifactor (MFA).

Impedir que cargas maliciosas se conecten a servidores de comando y control. Esta configuración identifica y bloquea las cargas que intentan eludir la detección permaneciendo cifradas.

Proteger el tráfico de red

  • Detectar conexiones maliciosas con servidores de comando y control. Esto detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
  • Impedir el tráfico de red malicioso con la inspección de paquetes (IPS). Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones.

Detectar comportamientos maliciosos. Esta opción protege contra amenazas que no se conocen todavía. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.

Protección AMSI. Esta opción protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft.

El código enviado por AMSI se escanea antes de que se ejecute y la estación de trabajo notifica las amenazas a las aplicaciones utilizadas para ejecutar el código. Si se detecta una amenaza, se registra un evento.

Impedir eliminación del registro de AMSI. Esta opción de configuración garantiza que AMSI no se pueda eliminar de sus equipos.

Protección adaptativa contra ataques

Active automáticamente protecciones adicionales cuando un dispositivo sufra un ataque. Este parámetro habilita un conjunto más agresivo de protecciones cuando se detecta un ataque. Estas protecciones adicionales están diseñadas para interrumpir las acciones de un atacante.

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Bloquear conexiones de navegador QUIC

Seleccione Bloquear acceso de navegador QUIC (Quick UDP Internet Connections) a los sitios web para evitar estas conexiones.

Los navegadores habilitados para QUIC pueden eludir nuestra comprobación de sitios web para algunas páginas. El bloqueo de QUIC garantiza que apliquemos el descifrado SSL/TLS y la comprobación a esos sitios.

Por defecto, esta opción está desactivada.

Descifrado SSL/TLS de sitios web HTTPS

Descifrar sitios web usando SSL/TLS. Esta opción de configuración permite a los dispositivos descifrar y comprobar el contenido de los sitios web HTTPS en busca de amenazas.

Si desciframos un sitio web que es de riesgo, lo bloqueamos. Mostramos al usuario un mensaje y le damos la opción de enviar el sitio a SophosLabs para que lo vuelvan a evaluar.

De forma predeterminada, el descifrado está desactivado.

Si el descifrado HTTPS está activado en la política que se aplica a un dispositivo:

  • El descifrado HTTPS también está activado para las comprobaciones de la política de control web en el mismo dispositivo.
  • Las funciones de protección en Escaneado en tiempo real - Internet también pueden ver el contenido completo del sitio, las descargas y las URL de las páginas.

Si activa esta función, descifrará todo el tráfico HTTPS, lo que puede ralentizar la navegación.

Exclusiones de descifrado HTTPS

Por defecto, excluimos ciertas categorías de sitios del descifrado. Se trata de categorías que contienen información personal, como sitios bancarios y de correo web.

Puede cambiar las exclusiones en la configuración general. Vaya a Mis productos > Configuración general > General > Descifrado SSL/TLS de sitios web HTTPS.

Aislamiento de dispositivo

Si selecciona esta opción, aislamos los dispositivos de la red si registran un estado de seguridad de color rojo. El estado de seguridad de un dispositivo es de color rojo si se han detectado amenazas, si tiene software no actualizado, si no cumple con las políticas o si no está debidamente protegido.

Nota

Sophos Central utiliza una gama más amplia de factores para determinar el estado de seguridad. Esto puede significar que notifica un estado de seguridad de un dispositivo diferente al del propio dispositivo. Esto no afecta al aislamiento. Solo utilizamos un estado de seguridad rojo emitido por un dispositivo para aislarlo.

Puede seguir gestionando el dispositivo aislado desde Sophos Central. También puede utilizar exclusiones de escaneado o exclusiones globales para darles acceso limitado para resolver problemas.

No puede sacar estos dispositivos del aislamiento. Es necesario solucionar los problemas de un dispositivo y devolverlo al estado de seguridad de color verde para que lo eliminemos del aislamiento.

Le recomendamos que evalúe el impacto de esta opción en su red antes de aplicarla. Para ello, actívela en una política y aplique la política a una muestra representativa de dispositivos.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

El escaneado programado es una técnica heredada para detectar malware. Rara vez es necesario ahora que disponemos de escaneado en segundo plano. Puede aumentar la carga del sistema y ralentizar considerablemente el escaneado. Le recomendamos que no utilice escaneados programados a menos que sea necesario.

Puede seleccionar estas opciones:

  • Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.

    Nota

    La hora del escaneado programado es la hora de las estaciones (no una hora UTC).

  • Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones de escaneado

Puede excluir archivos, carpetas, sitios web o aplicaciones del escaneado en busca de amenazas.

Las exclusiones definidas en una política solo se usan para los usuarios y los dispositivos a los que se aplica la política. Para aplicar exclusiones a todos sus usuarios y dispositivos, defina exclusiones globales. Para ello, vaya a Mis productos > Configuración general > Exclusiones globales.

Añadir exclusiones puede reducir su protección. Utilícelas con cuidado.

Para obtener ayuda con las exclusiones, consulte Utilizar las exclusiones de forma segura.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento que deba excluirse (archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo).

  3. Especifique el elemento o elementos que desea excluir. Se aplican las siguientes reglas:

    • Aplicación no deseada (Windows/Mac/Linux). Puede excluir aplicaciones que suelen detectarse como spyware. Especifique la exclusión utilizando el mismo nombre con el que el sistema la detectó, por ejemplo, "PsExec" o "Cain n Abel". Puede encontrar más información acerca de las aplicaciones no deseadas en el Centro de amenazas de Sophos.

      Considere la opción detenidamente antes de añadir exclusiones de PUA, ya que puede reducir la protección.

    • Archivo o carpeta. En la lista desplegable Activo para, especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.

    • Exploits detectados (Windows/Mac). Puede excluir exploits detectados mediante un ID de detección. Puede utilizar esta opción si está trabajando con el soporte de Sophos para resolver una detección de falsos positivos. El soporte de Sophos puede proporcionarle un ID de detección y, a continuación, podrá excluir la detección de falsos positivos. Para ello, haga clic en ¿El exploit no está en la lista? e introduzca el ID.
  4. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Nota

Si excluye un sitio web, no comprobamos la categoría del sitio web y se excluye de la protección de control web. Consulte Política de control web.

Para obtener más información sobre las exclusiones que puede utilizar, consulte:

Exclusiones de mitigación de exploits

Puede excluir aplicaciones de la protección contra exploits de seguridad. Por ejemplo, puede que quiera excluir una aplicación que se detecta erróneamente como amenaza hasta que se solucione el problema.

Añadir exclusiones reduce la protección.

Se recomienda aplicar la política que contiene la exclusión solo a los usuarios y dispositivos en los que la exclusión sea necesaria.

Nota

Solo puede crear exclusiones para aplicaciones de Windows.

Para crear una política con exclusión de mitigación de vulnerabilidades, haga lo siguiente:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En Tipo de exclusión, seleccione Mitigación de exploits (Windows).

    Se muestra una lista de las aplicaciones protegidas de la red.

  3. Seleccione la aplicación que desee excluir.

  4. Si no ve la aplicación que desea, haga clic en ¿La aplicación no está en la lista?. Para excluir la aplicación de la protección, introduzca su ruta de archivo. Opcionalmente, utilice cualquiera de las variables.
  5. En Mitigaciones, elija entre las siguientes opciones:

    • Desactivar la opción Proteger aplicación. La aplicación seleccionada no se analizará en busca de vulnerabilidades de seguridad.
    • Mantenga activada la opción Proteger aplicación y seleccione los tipos de vulnerabilidades que desea o no desea comprobar.
  6. Haga clic en Añadir o Añadir otro.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Para obtener más ayuda con las exclusiones de mitigación de exploits, consulte lo siguiente:

Exclusiones de la protección contra el ransomware

Puede excluir las aplicaciones o carpetas utilizadas por las aplicaciones de la protección contra el ransomware.

Es posible que desee excluir una aplicación que hemos detectado incorrectamente como una amenaza o una aplicación que es incompatible con la protección contra el ransomware. Por ejemplo, si tiene una aplicación que cifra datos, puede que desee excluirla. Esto evitará que identifiquemos la aplicación como ransomware.

Puede que desee excluir las carpetas utilizadas por aplicaciones que muestran problemas de rendimiento al supervisarse mediante la protección contra el ransomware. Por ejemplo, es posible que desee excluir las carpetas utilizadas por las aplicaciones de copia de seguridad.

Añadir exclusiones reduce la protección.

Le recomendamos que añada exclusiones a una política y que la asigne solo a los usuarios y dispositivos en que las exclusiones sean necesarias.

Para crear una exclusión de la protección contra el ransomware de la política, haga lo siguiente:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En Tipo de exclusión, seleccione Protección contra ransomware (Windows) o Protección contra ransomware (Mac).

  3. Elija si desea excluir un proceso o una carpeta.

    Seleccione Proceso para excluir una solicitud.

  4. En VALOR, escriba la ruta de acceso del proceso o la carpeta que desea excluir.

    Solo puede excluir una carpeta por su ruta local. No puede excluirla por su ruta remota en formato UNC, por ejemplo \\servername\shared-folder.

    Puede utilizar variables al excluir procesos o carpetas.

  5. Haga clic en Añadir o Añadir otro.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Para obtener más ayuda con las exclusiones de la protección contra ransomware, consulte Exclusiones de la protección contra el ransomware.

Mensaje de escritorio

Mensaje de escritorio le envía notificaciones sobre eventos de protección contra amenazas. Está activado por defecto.

Puede introducir su propio mensaje para añadirlo al final de las notificaciones estándar.