Attivazione di Sophos Endpoint

Ti diamo il benvenuto a Sophos

Abbiamo realizzato questa guida introduttiva per aiutarti a iniziare subito a utilizzare Sophos Endpoint. Ti indicherà come configurare l’ambiente, installare Sophos Endpoint e aggiungere alcune delle personalizzazioni più comuni.

Consiglio

I nostri Professional Services offrono diverse soluzioni per accelerare e semplificare la distribuzione. Maggiori informazioni.

Webinar di attivazione Sophos

Unisciti a noi per un esclusivo webinar in diretta, in cui forniremo una spiegazione dettagliata delle fasi principali definite in questa pagina di attivazione. Registrati oggi stesso e, se non puoi partecipare, riceverai accesso alla registrazione del webinar. Vedi Webinar su Sophos Endpoint.

Checklist

[ ] Installare la protezione endpoint
- [ ] Distribuire Sophos Endpoint Protection
[ ] Configurare l’ambiente
- [ ] Facoltativo: configurare cache degli aggiornamenti e relay dei messaggi
- [ ] Facoltativo: configurare il servizio directory
- [ ] Definire i contatti autorizzati per MDR
[ ] Configurare i criteri di protezione endpoint
- [ ] Decrittografia SSL/TLS di siti web HTTPS
- [ ] Escludere app dalla scansione
- [ ] Creare scansioni pianificate
- [ ] Configurare i criteri di gestione degli aggiornamenti
[ ] Configurare funzionalità aggiuntive
- [ ] Controllare i report
- [ ] Configurare l’accesso utenti
- [ ] Configurare i criteri del Controllo web
- [ ] Configurare i criteri del Controllo delle applicazioni
- [ ] Configurare i criteri del Controllo delle periferiche
- [ ] Configurare Data Loss Prevention
- [ ] Configurare XDR

Installare la protezione endpoint

Consiglio

Prima di distribuire Sophos Endpoint sulla rete, consigliamo vivamente di testare il processo di installazione su un piccolo sottoinsieme di dispositivi, per garantire che tutto funzioni come previsto.

Distribuire Sophos Endpoint Protection

Occorrerà installare un agente di Endpoint Protection sulle workstation, per proteggerle contro malware, tipi di file e siti web rischiosi, e traffico di rete malevolo. L’agente offre anche opzioni di controllo per periferiche, web, e molto di più.

Dispositivi macOS

Per i dispositivi macOS, leggere la pagina della documentazione Autorizzazioni di sicurezza su macOS.

Assicurarsi che i dispositivi soddisfino i requisiti minimi di sistema per Sophos Central Endpoint. Vedere Sophos Central Windows Endpoint: Requisiti di sistema e Sophos Endpoint for macOS: Requisiti di sistema.

Di seguito vengono riportate le istruzioni su come distribuire Sophos Endpoint Protection:

Installazione manualeDistribuzione su WindowsDistribuzione su macOS

Se i dispositivi sono pochi o se si desidera testare il prodotto prima di distribuirlo nel resto dell’ambiente informatico, è possibile scaricare ed eseguire manualmente il programma di installazione.

Vedere Endpoint Protection.

Per un metodo di distribuzione più automatizzato, è possibile creare una distribuzione basata su script per i dispositivi Windows.

Vedere Sophos Central Endpoint: Automatizzazione della distribuzione del software sui dispositivi Windows.

È anche possibile creare un’immagine gold da utilizzare con ambienti Citrix o VDI, quando si desidera configurare un’immagine modello da replicare per gli utenti finali. Vedere Creazione di immagini gold e clonazione di nuovi dispositivi.

Sophos offre una procedura dettagliata per automatizzare la distribuzione sui dispositivi macOS utilizzando Jamf Pro. Vedere Installazione di Endpoint Protection con Jamf Pro.

Nota

Lo script e i file di configurazione forniti per la distribuzione sui dispositivi macOS sono indipendenti dal prodotto. Anche abbiamo reso disponibile solo la documentazione per Jamf Pro, questi file funzioneranno con qualsiasi distribuzione.

Ora che l’implementazione di Sophos Endpoint è stata completata, è possibile configurarne i criteri.

Configurare l’ambiente

Facoltativo: configurare cache degli aggiornamenti e relay dei messaggi

Se si devono proteggere computer che non hanno accesso diretto a Internet, è possibile aggiungere Sophos Update Cache e Sophos Message Relay. L’aggiunta di Sophos Update Cache permetterà ai computer di scaricare gli aggiornamenti di Sophos Central da una cache locale nella rete. L’aggiunta di un Sophos Message Relay consentirà ai computer della rete di comunicare con Sophos Central attraverso un server designato.

Ottenere gli aggiornamenti di Sophos Central da una cache nella rete permette di risparmiare larghezza di banda, poiché gli aggiornamenti vengono scaricati una sola volta dal dispositivo nel quale si trova la cache.

Vedere Gestisci cache degli aggiornamenti e relay dei messaggi.

Facoltativo: configurare il servizio directory

Utilizzando Microsoft Active Directory (AD) e Microsoft Entra ID, è possibile sincronizzare utenti e gruppi da più origini. Anche dispositivi, gruppi di dispositivi, cartelle pubbliche e caselle di posta possono essere sincronizzati da AD. L’impostazione della sincronizzazione dei servizi directory semplifica la configurazione della protezione endpoint.

Microsoft Entra IDActive Directory

Queste istruzioni indicano come configurare un’origine della directory di Microsoft Entra ID. È possibile sincronizzare utenti e gruppi da Microsoft Entra ID a Sophos Central. La sincronizzazione può essere eseguita da più domini Microsoft Entra ID.

Vedere Impostazione della sincronizzazione con Microsoft Entra ID.

Queste istruzioni indicano come configurare Active Directory come origine della directory. È possibile sincronizzare utenti, dispositivi e gruppi. Anche le cartelle pubbliche e le caselle di posta possono essere sincronizzate. Si possono sincronizzare domini diversi nella stessa foresta e selezionare più domini figlio all’interno di un unico insieme di foreste.

Vedere Impostazione della sincronizzazione con Active Directory.

Una volta sincronizzato il servizio directory, è possibile configurare l’accesso utenti.

Definire i contatti autorizzati per MDR

Per i clienti MDR occorre configurare le impostazioni di MDR per utilizzare il pieno potenziale del servizio Sophos MDR.

Flusso di lavoro integrato nel prodotto

Vedere Impostazioni MDR.

Configurare i criteri di protezione endpoint

Sophos offre criteri preconfigurati per garantire la migliore protezione possibile e renderla pronta per l’uso in pochissimo tempo. Tuttavia, in alcuni casi, potrebbe essere preferibile personalizzare alcune di queste impostazioni.

Decrittografia SSL/TLS di siti web HTTPS

Oggi la maggior parte dei siti oggi sono protetti e crittografati tramite HTTPS. Il traffico crittografato non può essere visualizzato o sottoposto a scansione e Sophos Endpoint può intraprendere azioni solo basandosi sulla destinazione. L’attivazione della decrittografia SSL/TLS dei siti web HTTPS consente a Sophos Endpoint di decrittografare, eseguire la scansione e intraprendere azioni sui contenuti delle pagine web protette.

Flusso di lavoro integrato nel prodotto - Come attivare la decrittografia HTTPS

Flusso di lavoro integrato nel prodotto - Come escludere siti web dalla decrittografia HTTPS

Vedere Decifratura SSL/TLS di siti web HTTPS.

Escludere app dalla scansione

Molti vendor offrono un elenco di esclusioni di sicurezza consigliate per i loro prodotti, che ne migliorano la performance.

Nota

Anche se da un lato escludere app dalla scansione potrebbe migliorare la performance delle appliance, dall’altro rischia di ridurre il livello di sicurezza. Assicurarsi di escludere app solo se si ha la certezza che sono attendibili!

Sophos ha un elenco di applicazioni comuni, con le rispettive esclusioni di sicurezza consigliate dai vendor. Se si riscontra un peggioramento significativo della peformance con un’applicazione non attualmente presente nel nostro elenco, si consiglia di rivolgersi al fornitore per verificare se può fornire un elenco consigliato di esclusioni di sicurezza per il proprio prodotto.

Creare scansioni pianificate

Si consiglia di configurare una scansione pianificata che si esegua una volta alla settimana, per raccogliere informazioni sui dati memorizzati sui computer a cui non si accede spesso.

Nota

L’ora in cui viene eseguita la scansione pianificata è la stessa dei computer endpoint (non UTC). Se un dispositivo non è acceso all’orario pianificato per la scansione, dovrà attendere fino alla successiva scansione pianificata per un nuovo tentativo di scansione.

Flusso di lavoro integrato nel prodotto

Vedere Scansione pianificata.

Configurare i criteri di gestione degli aggiornamenti

Per impostazione predefinita, aggiorniamo automaticamente i prodotti Sophos installati sui computer dei clienti. Il criterio Gestione aggiornamenti permette di controllare il giorno e l’ora in cui debbano essere resi disponibili gli aggiornamenti nella rete. In questo modo ci si assicura che i computer effettuino gli aggiornamenti solamente a orari che rispettano le esigenze dell’azienda. È anche possibile configurare quali pacchetti software applicare a un piccolo sottoinsieme di computer. Questa opzione permette di testare i nuovi rilasci prima che vengano distribuiti su tutti gli altri computer.

Vedere Criterio Gestione aggiornamenti.

Configurare funzionalità aggiuntive

Controllare i report

È possibile monitorare quello che accade nel proprio ambiente con una vasta gamma di report. I report possono essere personalizzati, salvati e inviati come e-mail pianificate.

Vedere Report.

Configurare l’accesso utenti

La funzionalità di gestione dei ruoli consente di decidere il modo in cui gli utenti accedono a Sophos Central. Le attività di sicurezza possono essere suddivise in base ai livelli di responsabilità degli utenti, utilizzando ruoli di amministrazione predefiniti o creando ruoli personalizzati.

Il video seguente descrive come utilizzare i ruoli di amministrazione.

È anche possibile configurare l’accesso federato in modo che offra ad amministratori e utenti un Single Sign-On avviato dal provider di servizi per accedere a Sophos Central. Se si sceglie di utilizzare l’accesso federato, Sophos Central verificherà le identità utilizzando un provider di identità. Vedere Configurazione dell'accesso federato.

Configurare i criteri del Controllo web

È possibile configurare un criterio di utilizzo accettabile del web per gli utenti ed esclusioni per utenti specifici. Ad esempio, è possibile bloccare l’accesso ai siti web dei social media per tutti gli utenti, ad eccezione del team di Marketing.

Nota

Se si utilizza il Controllo web, si consiglia di bloccare le connessioni browser tramite QUIC nel proprio criterio di Protezione dalle minacce, in quanto potrebbe saltare l’ispezione dei siti web per alcuni siti.

Vedere Criterio di controllo web.

Configurare i criteri del Controllo delle applicazioni

Il Controllo delle applicazioni permette di rilevare e bloccare le applicazioni che non costituiscono una minaccia di sicurezza, ma che sono ritenute inappropriate per l’utilizzo nell’ambiente lavorativo. Consigliamo di monitorare e non bloccare le applicazioni per un certo periodo di tempo, al fine di identificare quali vengono attualmente utilizzate dagli utenti all’interno del proprio ambiente. Una volta configurate, tutte le applicazioni elencate saranno bloccate.

Flusso di lavoro integrato nel prodotto

Vedere Criterio di controllo delle applicazioni.

Configurare i criteri del Controllo delle periferiche (solo Windows e macOS)

Il controllo delle periferiche consente di controllare l’accesso a periferiche e supporti removibili. È anche possibile utilizzare il controllo per esentare periferiche individuali. Consigliamo di monitorare e non bloccare le periferiche per un certo periodo di tempo. Una volta configurate, tutte le periferiche elencate saranno bloccate.

Vedere Criterio di controllo delle periferiche.

Configurare Data Loss Prevention

Data Loss Prevention (DLP) controlla la perdita accidentale di dati. DLP consente di monitorare e imporre restrizioni sul trasferimento di file contenenti dati di natura sensibile.

Flusso di lavoro integrato nel prodotto

Vedere Regole di Data Loss Prevention.

Configurare XDR

Sophos Extended Detection and Response (XDR) trasforma la strategia di sicurezza da reattiva a proattiva, sfruttando la telemetria per rilevare e analizzare attività sospette o dannose. Offrendo funzionalità avanzate come Live Response e Live Discover, XDR permette di indagare sulle minacce e avviare azioni di risposta in tempo reale e da qualsiasi luogo, attraverso il cloud. Inoltre, XDR migliora il livello di sicurezza, poiché abilita la perfetta integrazione con prodotti di sicurezza di terze parti, permettendo di svolgere l’analisi centralizzata della telemetria esterna da una console unificata.

Per i nuovi clienti, XDR offre vantaggi significativi, che includono un rilevamento delle minacce semplificato, una risposta più rapida agli incidenti e una maggiore visibilità sull’ecosistema di sicurezza. Per sfruttarne il pieno potenziale, è consigliabile:

Abilitare i Caricamenti sul Data Lake per centralizzare la telemetria a scopo di analisi avanzata.
Configurare le integrazioni incluse gratuitamente, come Microsoft 365, per monitorare l’ambiente cloud 365 e garantire visibilità end-to-end.

Implementando queste configurazioni, i nuovi clienti possono sfruttare le funzionalità di XDR per difendersi proattivamente da minacce informatiche in continua evoluzione, semplificando allo stesso tempo la gestione della sicurezza.

Infine, è importante ricordare che il set di strumenti XDR viene fornito per l’uso da parte dell’utente, il che significa che è consigliabile avere un SOC o risorse IT interne dedicate. Le organizzazioni che non hanno queste risorse possono trarre maggior vantaggio dal nostro servizio MDR.

Risorse della community

Sophos ha una community molto attiva, con numerosi articoli self-help che possono includere indicazioni che tipicamente non vengono fornite dal Supporto Sophos. In ciascuna delle pagine dedicate ai prodotti, è possibile trovare:
- Blog: i Product Manager pubblicano informazioni e consigli utili per i nostri clienti sul rilascio di funzionalità e prodotti nuovi e futuri. Consigliamo ai clienti di iscriversi ai blog sui prodotti a cui sono maggiormente interessati.
- Letture consigliate: articoli self-help.
- Thread di discussione: i membri della Sophos Community che cercano assistenza possono trovare sviluppatori, Product Manager, tecnici Sophos e membri della Sophos Community che commentano e interagiscono per trovare soluzioni.
- Early Access Program: vengono creati gruppi per gli EAP insieme ai rilasci principali dei prodotti. Gli early adopter possono inviare feedback mentre provano le nostre versioni più recenti dei prodotti.
- Eventi e webinar: unisciti a noi in diretta e rivolgici domande sugli argomenti degli eventi.
Altre risorse
- Iscrizione alla Pagina di stato di Sophos e ai Feed RSS del forum della community
  
  Per rimanere al passo con le ultime notizie o con l’impatto sul servizio di eventi come una manutenzione pianificata, iscriviti alla Pagina di stato di Sophos per ricevere avvisi tramite SMS ed e-mail per la tua area geografica.
  
  Iscriviti per ricevere comunicazioni su manutenzione o incidenti
- Apertura di un ticket di supporto tecnico
  
  Per facilitare e garantire un’esperienza di supporto ottimale, consulta le seguenti linee guida:
  
  Best practice per l’apertura di un caso con il Supporto tecnico Sophos