Vai al contenuto

Criterio di protezione contro le minacce

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

Nota

Questa pagina descrive le impostazioni dei criteri per i computer endpoint. Per i server sono applicabili impostazioni diverse dei criteri.

Selezionare Prodotti > Endpoint > Criteri per configurare la protezione contro le minacce.

Per configurare un criterio, procedere come segue:

  • Creare un criterio Protezione dalle minacce. Vedere Creazione o modifica di un criterio.
  • Aprire la scheda Impostazioni del criterio e configurarlo come segue. Verificare che il criterio sia abilitato.

È possibile utilizzare le impostazioni predefinite, oppure modificarle.

Se si modifica una qualsiasi delle impostazioni di questo criterio e si desidera sapere quale sia quella predefinita, avviare la procedura di creazione di un nuovo criterio. Non è necessario salvarlo, ma in questo modo è possibile visualizzare le impostazioni predefinite.

Nota

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici per garantire i massimi livelli di protezione.

Impostazioni consigliate

Per impostazione predefinita, il criterio utilizza le nostre impostazioni consigliate.

Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione. Includono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per consentire il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.

Se si utilizzano impostazioni non consigliate, verranno visualizzati avvisi nella pagina delle impostazioni dei criteri.

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Live Protection

Live Protection analizza i file sospetti confrontando i dati con le informazioni sulle minacce disponibili nel database dei SophosLabs. Questo aiuta a rilevare le minacce più recenti e a evitare falsi positivi. Può essere utilizzata come segue:

  • Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online. Questa opzione verifica i file durante le scansioni in tempo reale.
  • Usa Live Protection durante le scansioni pianificate.

La disattivazione di Live Protection riduce il livello di protezione e rischia di aumentare il numero di falsi positivi.

Per visualizzare il nostro database di minacce, visitare il Sophos Threat Center.

Deep Learning

Il deep learning è in grado di rilevare automaticamente le minacce, in particolare quelle nuove e sconosciute, che non sono mai state osservate prima. Utilizza il machine learning e non dipende dalle firme.

La disattivazione del deep learning riduce significativamente il livello di protezione.

Scansione in tempo reale - File locali e condivisioni di rete

La scansione in tempo reale verifica la presenza di malware noto nei file, al momento dell’accesso e dell’aggiornamento. Impedisce alle applicazioni legittime di eseguire programmi noti per essere dannosi e di aprire file infetti.

I file locali e remoti (ovvero i file a cui si accede dalla rete) vengono sottoposti a scansione per impostazione predefinita.

L’opzione File remoti consente di attivare o disattivare la scansione dei file remoti.

La disattivazione di queste opzioni potrebbe permettere l’esecuzione di malware noto o l’accesso a tali malware.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi.

Eseguire la scansione sui download in corso

Questa impostazione controlla se i download e gli elementi della pagina debbano essere sottoposti a scansione prima di raggiungere il browser.

  • Connessioni HTTP: tutti gli elementi e tutti i download vengono sottoposti a scansione.
  • Connessioni HTTPS: nessun elemento viene sottoposto a scansione, a meno che non venga attivata l’opzione Decifra siti web utilizzando SSL/TLS.

Blocco dell’accesso a siti web dannosi

Questa opzione nega l’accesso a siti web noti per ospitare malware.

Viene eseguita una verifica della reputazione per sapere se il sito è noto per ospitare contenuti dannosi (ricerca SXL4). Se si disattiva Live Protection, verrà disattivata anche questa verifica.

  • Connessioni HTTP: tutti gli URL vengono verificati, incluse le richieste HTTP GET complete.
  • Connessioni HTTPS: vengono controllati gli URL di base (SNI). Se si attiva Decifra siti web utilizzando SSL/TLS, verranno verificati tutti gli URL, incluse le richieste HTTP GET complete.

Rilevamento dei download con reputazione bassa

Questa impostazione verifica la reputazione dei download in base all’origine del file, alla frequenza con cui viene scaricato e ad altre caratteristiche. Utilizzare le seguenti opzioni per decidere come devono essere gestiti i download.

Impostare l’Azione da intraprendere su Richiedi conferma all’utente: gli utenti finali vedranno un avviso quando viene scaricato un file con reputazione bassa. Potranno quindi scegliere di considerare il file attendibile, oppure di eliminarlo. Si tratta dell’impostazione predefinita.

Impostare il Livello di reputazione su una delle seguenti opzioni:

  • Consigliato: i file con reputazione bassa verranno bloccati automaticamente. Si tratta dell’impostazione predefinita.
  • Rigido: i download con reputazione media e bassa verranno automaticamente bloccati e segnalati a Sophos Central.

Per maggiori informazioni, vedere Reputazione dei download.

Correzione

Le opzioni di correzione sono le seguenti:

Rimuovi automaticamente il malware: Sophos Central rimuoverà automaticamente il malware rilevato e registrerà nei log l’azione di rimozione. Può essere visualizzata nell’elenco Eventi.

Restrizione

I computer Windows rimuovono sempre gli elementi rilevati, indipendentemente da questa impostazione. La rimozione automatica può essere disattivata solo sui Mac.

Quando Sophos Central pulisce un file, lo rimuove dalla posizione attuale e lo mette in quarantena in SafeStore. I file rimarranno in SafeStore fino a quando non verranno autorizzati o rimossi per fare spazio a nuovi rilevamenti. I file messi in quarantena in SafeStore possono essere ripristinati aggiungendoli alle Applicazioni autorizzate. Vedere Applicazioni autorizzate.

SafeStore ha i seguenti limiti predefiniti:

  • Le dimensioni massime per un singolo file sono pari a 100 GB.
  • Il limite totale per le dimensioni della quarantena è pari a 200 GB.
  • Il numero massimo di file in archiviazione è 2.000.

Abilita creazione di grafici delle minacce. Questa opzione permette di indagare sulla catena di eventi di un attacco malware. Consigliamo di attivarla, in modo da permettere l’analisi degli attacchi che abbiamo rilevato e bloccato.

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli.

Proteggi i file di documento da ransomware (CryptoGuard). Questa impostazione difende il sistema dalle categorie di malware che agiscono limitando l’accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. Questa funzionalità è attivata per impostazione predefinita. Si consiglia vivamente di lasciarla attivata.

È anche possibile utilizzare le seguenti opzioni:

  • Proteggi contro ransomware eseguito in remoto. Questa opzione garantisce protezione all’interno dell’intera rete. Si consiglia di lasciarla attivata.
  • Proteggi contro attacchi di cifratura dei file system. Questa opzione protegge i dispositivi a 64 bit dal ransomware che agisce cifrando il file system. Selezionare l’azione che si desidera eseguire se viene rilevato ransomware. È possibile terminare i processi di ransomware o isolarli per impedire che scrivano sul file system.
  • Proteggi contro ransomware che attacca il record di avvio principale. Questa opzione serve a proteggere il dispositivo dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser web (Safe Browsing). Questa impostazione protegge i browser web dagli exploit da parte dei malware che agiscono sfruttando il browser web.

Attenua exploit in applicazioni vulnerabili. Questa opzione difende le applicazioni più esposte agli exploit del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Proteggi processi. Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra le seguenti opzioni:

  • Impedisci attacchi di process hollowing. Detti anche “sostituzione del processo” o DLL injection. Di solito i cybercriminali utilizzano questa tecnica per caricare codice dannoso in un’applicazione legittima, al fine di eludere i software di sicurezza.

    Se si disattiva questa impostazione, per gli hacker risulterà più facile eludere i software di sicurezza.

  • Impedisci il caricamento di DLL da cartelle non attendibili. Questa opzione protegge il sistema dal caricamento di file .DLL da cartelle non attendibili.

  • Impedisci furto delle credenziali. Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
  • Impedisci utilizzo dei code cave. Questa opzione rileva il codice dannoso che è stato inserito in un’altra applicazione legittima.
  • Impedisci violazione delle APC. Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
  • Impedisci privilege escalation. Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Protezione dinamica dello shellcode. Questa opzione rileva il comportamento tipico degli agenti di comando e controllo remoti nascosti, impedendo ai cybercriminali di ottenere il controllo delle reti.

Convalida chiamante Protocollo CTF. Questa impostazione blocca le applicazioni che cercano di sfruttare una vulnerabilità in CTF, un componente presente in tutte le versioni di Windows. Questa vulnerabilità permette a un hacker che non ha privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, incluse le applicazioni in esecuzione in una sandbox. Si consiglia di attivare l’opzione Convalida chiamante Protocollo CTF.

Impedisci sideload di moduli non sicuri. Questa impostazione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL. Le ApiSet Stub DLL svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono utilizzare ApiSet Stub DLL dannose per bypassare il blocco rimozione e arrestare la protezione antimalware.

La disattivazione di questa funzionalità riduce il livello di protezione in maniera significativa.

Proteggi i cookie del browser con l’accesso tramite autenticazione a fattori multipli (MFA). Questa impostazione impedisce alle applicazioni non autorizzate di decifrare la chiave AES utilizzata per cifrare i cookie dell’autorizzazione a fattori multipli (Multi-Factor Authentication, MFA).

Impedisci ai beacon dannosi di connettersi ai server di comando e controllo. Questa impostazione identifica e blocca i beacon che cercano di eludere il rilevamento rimanendo cifrati.

Proteggi traffico di rete

  • Rileva le connessioni malevole verso i server di comando e controllo (C&C). Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
  • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti. Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni.

Rileva comportamento dannoso. Questa impostazione protegge i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere dannosi.

Protezione AMSI. Questa impostazione protegge i sistemi dal codice dannoso (inviato ad es. tramite script di PowerShell) utilizzando l’Antimalware Scan Interface (AMSI) di Microsoft.

Il codice inoltrato tramite AMSI viene sottoposto a scansione prima dell’esecuzione e l’endpoint invia una notifica sulle minacce alle applicazioni utilizzate per eseguire codice. Se il sistema rileva una minaccia, viene creato un evento nel log.

Impedisci la rimozione della registrazione ad AMSI. Questa impostazione garantisce che AMSI non possa essere rimossa dai computer.

Protezione adattiva contro gli attacchi

Attiva automaticamente funzionalità di protezione aggiuntive quando un dispositivo si trova sotto attacco. Questa impostazione abilita un set più aggressivo di soluzioni di protezione quando viene rilevato un attacco. Queste protezioni aggiuntive sono progettate per bloccare le azioni di un utente malintenzionato.

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.

Blocco delle connessioni browser tramite QUIC

Selezionare Blocca l’accesso del browser ai siti web tramite QUIC (Quick UDP Internet Connections) per bloccare queste connessioni.

Per alcuni siti, i browser nei quali è abilitato QUIC possono bypassare la nostra verifica dei siti web. Bloccando QUIC, vengono applicate la decifratura SSL/TLS e la verifica di tali siti.

Questa opzione è disattivata per impostazione predefinita.

Decifratura SSL/TLS di siti web HTTPS

Decifra siti web utilizzando SSL/TLS. Questa impostazione consente ai dispositivi di decifrare e verificare i contenuti dei siti web HTTPS, per individuare eventuali minacce.

Se decifriamo un sito web rischioso, viene bloccato. Mostriamo all'utente un messaggio e offriamo la possibilità di inviare il sito ai SophosLabs per eseguirne una nuova valutazione.

Per impostazione predefinita, la decifratura è disattivata.

Se la decifratura HTTPS è attiva in un criterio applicato a un dispositivo:

  • La decifratura HTTPS è attiva anche per le verifiche del Controllo web sullo stesso dispositivo.
  • Le funzionalità di protezione di Scansione in tempo reale - Internet possono visualizzare anche tutti i contenuti del sito, i download e gli URL delle pagine

Se si attiva questa funzionalità, verrà decifrato l’intero traffico HTTPS e questo potrebbe rallentare la navigazione.

Esclusioni dalla decifratura HTTPS

Per impostazione predefinita, alcune categorie di siti vengono escluse dalla decifratura. Si tratta delle categorie che contengono informazioni personali, ad esempio siti di Internet banking e di webmail.

Le esclusioni possono essere modificate nelle impostazioni generali. Selezionare Prodotti > Impostazioni generali > Generale > Decifratura SSL/TLS di siti web HTTPS.

Isolamento dispositivi

Selezionando questa opzione, i dispositivi vengono isolati dalla rete se segnalano il proprio stato di integrità come rosso. Lo stato di integrità di un dispositivo diventa “rosso” quando vengono rilevate minacce, quando è presente software obsoleto, quando il dispositivo non risulta conforme al criterio, oppure quando non è dotato di una protezione adeguata.

Nota

Sophos Central utilizza una gamma più ampia di fattori per determinare lo stato di integrità. Di conseguenza, lo stato di integrità di un dispositivo potrebbe essere segnalato come diverso da quello fornito dal dispositivo stesso. Questo non influisce sulla protezione. Isoliamo un dispositivo solo in presenza di uno stato di integrità rosso fornito dal dispositivo stesso.

I dispositivi isolati possono continuare a essere gestiti da Sophos Central. È anche possibile utilizzare esclusioni dalla scansione o esclusioni globali per concedere accesso limitato a scopo di risoluzione dei problemi.

Questi dispositivi non possono essere rimossi dall'isolamento. È necessario risolvere i problemi di un dispositivo e ripristinarne lo stato di integrità “verde”, per permetterne la rimozione dall’isolamento.

Si consiglia di valutare l'impatto di questa opzione sulla rete, prima di applicarla. Per farlo, può essere attivata in un criterio e applicata a un campione rappresentativo di dispositivi.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

La scansione pianificata è una tecnica legacy che veniva utilizzata per rilevare il malware. Ora è richiesta molto raramente, visto che è disponibile la scansione in background. Può aumentare il carico del sistema e rallentare notevolmente la scansione. Si consiglia di non utilizzare le scansioni pianificate, a meno che non sia necessario.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

    Nota

    L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).

  • Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni dalla scansione

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce.

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti e i dispositivi ai quali viene applicato il criterio. Se si desidera applicare esclusioni a tutti gli utenti e i dispositivi, occorre impostare esclusioni globali. Selezionare Prodotti > Impostazioni generali > Esclusioni globali.

L’aggiunta di esclusioni può ridurre il livello di protezione. Utilizzarle con cautela.

Per informazioni su come utilizzare le esclusioni, vedere Utilizzo sicuro delle esclusioni.

Per creare un’esclusione dalla scansione in un criterio:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. Nell'elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).

  3. Specificare l’elemento o gli elementi da escludere. Sono applicabili le seguenti regole:

    • Applicazione potenzialmente indesiderata (Windows/Mac/Linux). È possibile escludere applicazioni solitamente rilevate come spyware. Specificare l’esclusione utilizzando lo stesso nome con cui è stata rilevata dal sistema, ad esempio “PsExec” o “Cain n Abel”. Per maggiori informazioni sulle applicazioni potenzialmente indesiderate (PUA), vedere il Sophos Threat Center.

      Si consiglia di riflettere attentamente prima di aggiungere esclusioni per le PUA, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

    • File o cartella. Nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o per entrambe.

    • Exploit rilevati (Windows/Mac). È possibile escludere gli exploit rilevati utilizzando un ID di rilevamento. Questa opzione può essere utile quando si sta di cercando di risolvere il rilevamento di un falso positivo con l’assistenza del Supporto Sophos. Il Supporto Sophos può fornire un ID di rilevamento che permette di escludere il falso positivo. Per procedere in questo modo, cliccare su Exploit non elencato? e immetterne l’ID.
  4. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Nota

Se si esclude un sito web, la categoria del sito web non verrà verificata e il sito sarà escluso dalla protezione del controllo web. Vedere Criterio di controllo web.

Per maggiori informazioni sulle esclusioni che possono essere utilizzate, vedere:

Esclusioni da attenuazione exploit

È possibile escludere applicazioni dalla protezione contro gli exploit di sicurezza. Potrebbe ad esempio essere necessario escludere un’applicazione erroneamente rilevata e classificata come minaccia fino alla risoluzione del problema.

L’aggiunta di esclusioni limita la protezione.

Si consiglia di applicare il criterio contenente l’esclusione solo agli utenti e ai dispositivi per i quali l’esclusione è necessaria.

Nota

È possibile creare esclusioni solo per le applicazioni Windows.

Per creare un'esclusione da attenuazione exploit per un criterio, procedere come segue:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. In Tipo di esclusione, selezionare Attenuazione degli exploit (Windows).

    Verrà visualizzato un elenco delle applicazioni protette presenti sulla rete.

  3. Selezionare l'applicazione che si desidera escludere.

  4. Se l'applicazione desiderata non è visibile, cliccare su Applicazione non elencata?. È ora possibile escludere l'applicazione dalla protezione immettendone il percorso file. Facoltativamente, è anche possibile utilizzare le variabili.
  5. In Attenuazioni, scegliere tra le seguenti opzioni:

    • Disattivare l'opzione Proteggi applicazione. Non verranno effettuati controlli antiexploit per l'applicazione selezionata.
    • Mantenere Proteggi applicazione attiva e selezionare i tipi di exploit per i quali si desidera o non si desidera effettuare controlli.
  6. Cliccare su Aggiungi o su Aggiungi un altro

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Per maggiori informazioni sulle esclusioni da attenuazione exploit, vedere:

Esclusioni dalla protezione antiransomware

È possibile escludere dalla protezione antiransomware applicazioni o cartelle utilizzate dalle applicazioni.

Potrebbe essere consigliabile escludere un'applicazione che è stata erroneamente segnalata come minaccia o un'applicazione che non è compatibile con la protezione antiransomware. Ad esempio, se si utilizza un'applicazione che cifra i dati, potrebbe essere desiderabile escluderla. Questo ci impedisce di rilevare l’applicazione come ransomware.

Potrebbe essere desiderabile anche escludere le cartelle utilizzate da applicazioni che presentano problemi di performance quando vengono monitorate dalla protezione antiransomware. Ad esempio, potrebbe essere consigliabile escludere le cartelle utilizzate dalle applicazioni di backup.

L’aggiunta di esclusioni limita la protezione.

Consigliamo di aggiungere le esclusioni a un criterio e di assegnare questo criterio solo agli utenti e ai dispositivi che richiedono le esclusioni.

Per creare un'esclusione dalla protezione antiransomware per un criterio, procedere come segue:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. In Tipo di esclusione, selezionare Protezione antiransomware (Windows) o Protezione antiransomware (Mac).

  3. Scegliere se si desidera escludere un processo o una cartella.

    Scegliere Processo per escludere un’applicazione.

  4. Per VALORE, immettere il percorso del processo o della cartella che si desidera escludere.

    Una cartella può essere esclusa solo specificandone il percorso locale. Non è possibile escluderla in base al percorso remoto in formato UNC, ad esempio \\servername\shared-folder.

    Quando si escludono processi o cartelle, si possono utilizzare variabili.

  5. Cliccare su Aggiungi o su Aggiungi un altro.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Per maggiori informazioni sulle esclusioni dalla protezione antiransomware, vedere Esclusioni dalla protezione antiransomware.

Messaggistica desktop

La Messaggistica desktop invia notifiche relative agli eventi di protezione contro le minacce. È abilitata per impostazione predefinita.

È possibile immettere un messaggio personale da aggiungere alla fine delle notifiche standard.