Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=threat-protection-alerts

Avvisi per la protezione contro le minacce

Questi avvisi riguardano la protezione contro le minacce.

Sono presenti i seguenti tipi di avvisi per la protezione contro le minacce.

Per informazioni su una minaccia e consigli su come gestirla, cliccarne il nome all’interno dell'avviso.

In alternativa, visitare la pagina Analisi delle minacce nel sito web di Sophos. Sotto Cerca analisi delle minacce, cliccare sul link corrispondente al tipo di minaccia, e successivamente ricercare la minaccia o cercarla nell’elenco delle voci più recenti.

I rilevamenti del malware potrebbero anche essere visualizzati nell'elenco Eventi con la dicitura ML/PE-A, vedere l'articolo Spiegazione del rilevamento di ML/PE-A.

Alta

Tipo di avviso Descrizione
Protezione in tempo reale disabilitata La protezione in tempo reale di un computer è disattivata da più di 2,5 ore. La protezione in tempo reale deve essere sempre attiva. Il Supporto tecnico Sophos potrebbe richiederne la disattivazione per un breve periodo di tempo per poter effettuare un’indagine.
Malware non rimosso

È presente malware rilevato che non è stato possibile rimuovere dopo un periodo di 24 ore, anche se è disponibile la disinfezione automatica. Probabilmente il malware è stato rilevato da una scansione che non offre opzioni di rimozione automatica, ad es. una scansione su richiesta configurata localmente. È possibile gestire questo malware in due modi:

  • Rimuovendolo in maniera centralizzata, pianificando una scansione nel criterio (in cui sarà abilitata la disinfezione automatica).
È necessaria la disinfezione manuale

È stato rilevato del malware che non è stato possibile rimuovere automaticamente, in quanto la disinfezione automatica non è disponibile.

Cliccare su Descrizione all’interno dell’avviso, per maggiori informazioni sulla minaccia e su come risolverla.

Se si richiede assistenza, contattare il Supporto tecnico Sophos.
Malware in esecuzione non rimosso

Non è stato possibile rimuovere da un computer un programma in esecuzione che ha manifestato un comportamento malevolo o sospetto.

Cliccare su Descrizione all’interno dell’avviso, per maggiori informazioni sulla minaccia e su come risolverla.

Se si richiede assistenza, contattare il Supporto tecnico Sophos.

Vedere Tipi di comportamenti dannosi.
Rilevato traffico dannoso

È stato rilevato traffico di rete malevolo, probabilmente diretto verso un server di comando e controllo coinvolto in un attacco botnet o di altro genere.

Cliccare su Descrizione all’interno dell’avviso, per maggiori informazioni sulla minaccia e su come risolverla.

Se si richiede assistenza, contattare il Supporto tecnico Sophos.
Infezione ricorrente

Un computer è stato nuovamente infettato dopo che Sophos Central ha effettuato un tentativo di rimuovere la minaccia. Il motivo potrebbe essere la presenza di componenti nascosti della minaccia che non sono stati rilevati. Potrebbe essere richiesta un’analisi approfondita della minaccia.

Se si richiede assistenza, contattare il Supporto tecnico Sophos.
Rilevato ransomware

È stato rilevato del ransomware, e ne è stato bloccato l'accesso al file system. Se il computer è una workstation, il ransomware viene rimosso automaticamente. È necessario procedere come segue:

  • Se la rimozione non viene effettuata automaticamente, inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

    Lo classificheremo e aggiorneremo le nostre regole. Se è pericoloso, Sophos Central lo bloccherà in futuro.
È stato rilevato ransomware che attacca un computer remoto

In questo computer è stato rilevato un tentativo di cifrare file su altri computer.

L’accesso in scrittura alle condivisioni di rete del computer è stato bloccato. Se il computer è una workstation e se l'opzione Proteggi i file di documento da ransomware (CryptoGuard) è abilitata, il ransomware viene rimosso automaticamente.

È necessario procedere come segue:

  • Assicurarsi che l’opzione Proteggi i file di documento da ransomware (CryptoGuard) sia attivata nel criterio Sophos Central. Verranno visualizzate ulteriori informazioni.
  • Se la rimozione non viene effettuata automaticamente, inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

    Lo classificheremo e aggiorneremo le nostre regole. Se è pericoloso, Sophos Central lo bloccherà in futuro.

Media

Tipo di avviso Descrizione
Rilevata applicazione potenzialmente indesiderata (PUA) È stato rilevato del software che potrebbe essere adware oppure altro software potenzialmente indesiderato. Le applicazioni potenzialmente indesiderate vengono bloccate per impostazione predefinita. L’applicazione può essere autorizzata, se si considera possa essere utile, oppure rimossa.
Autorizza PUA

Per autorizzare una PUA si può procedere in due modi, a seconda che si desideri autorizzarla su tutti i computer o solo su alcuni:

  • Nella pagina Avvisi, selezionare l’avviso e cliccare sul pulsante Autorizza PUA nella parte in alto a destra della pagina. In questo modo verranno autorizzate le PUA su tutti i computer.
  • Aggiungere la PUA alle esclusioni dalla scansione nel criterio di protezione antimalware. In questo modo la PUA verrà autorizzata solamente nei computer a cui è stato applicato il suddetto criterio.
Rimuovi PUA

Una PUA può essere rimossa in due modi:

  • Nella pagina Avvisi, selezionare l’avviso e cliccare sul pulsante Rimuovi PUA nella parte in alto a destra della pagina.

    La rimozione potrebbe non essere disponibile se la PUA è stata rilevata in una condivisione di rete. Ciò è dovuto al fatto che l’agente Sophos non dispone dei diritti necessari per rimuovere file situati in tale percorso.
Applicazione potenzialmente indesiderata non rimossa

Non è stato possibile rimuovere l’applicazione potenzialmente indesiderata. Potrebbe essere necessaria la disinfezione manuale. Cliccare su Descrizione all’interno dell’avviso, per maggiori informazioni sulla minaccia e su come risolverla.

Se si richiede assistenza, contattare il Supporto tecnico Sophos.
Per completare la rimozione è necessaria una scansione del computer

La rimozione di una minaccia richiede una scansione completa del computer. Per effettuare la scansione di un computer, caricare la pagina Computer, cliccare sul nome del computer desiderato per aprirne la pagina dei dettagli, e successivamente cliccare sul pulsante Scansione immediata.

La scansione potrebbe richiedere del tempo. Una volta completata, verrà visualizzato un evento "Scansione 'Scansione del computer' completata", ed eventuali altri eventi di rimozione nella pagina Log e report > Eventi. Gli avvisi generati dall’impossibilità di effettuare la disinfezione del computer verranno visualizzati nella pagina Avvisi.

Se il computer è offline, la scansione verrà eseguita quando tornerà online. Se dovesse essere già in esecuzione una scansione del computer, la nuova richiesta di scansione verrà ignorata, e si proseguirà con la scansione originale.

In alternativa è possibile eseguire la scansione localmente adoperando il software dell’agente Sophos sul computer interessato. Utilizzare l’opzione Scansione in Sophos Endpoint su un computer Windows, oppure l’opzione Scan This Mac in Sophos Anti-Virus su un Mac.
Per completare la rimozione è necessario riavviare il computer La minaccia è stata parzialmente rimossa, ma è necessario riavviare il computer endpoint per completare la disinfezione.
Rilevato ransomware eseguito in remoto

È stato rilevato del ransomware in esecuzione su un computer remoto che effettuava il tentativo di cifrare file nelle condivisioni di rete.

L’accesso in scrittura alle condivisioni di rete è stato bloccato per l’indirizzo IP di questo computer remoto. Se il computer a cui corrisponde l’indirizzo è una workstation gestita da Sophos Central, e se è attivata l’opzione Proteggi i file di documento contro il ransomware (CryptoGuard), il ransomware verrà rimosso automaticamente

È necessario procedere come segue:

  • Individuare il computer su cui è in esecuzione il ransomware.
  • Se il computer è gestito da Sophos Central, verificare che nel criterio sia abilitata l’opzione Proteggi i file di documento da ransomware (CryptoGuard).
  • Se la rimozione non viene effettuata automaticamente, inviare un campione del ransomware a Sophos. Vedere Come inviare campioni di file sospetti a Sophos.

    Lo classificheremo e aggiorneremo la nostra regola. Se è pericoloso, Sophos Central lo bloccherà in futuro.