Tipi di eventi per malware e PUA
Quelli che seguono sono i tipi di eventi per malware e PUA che è possibile visualizzare in Sophos Central.
A seconda delle funzionalità incluse nella licenza di cui si è in possesso, potrebbero essere visualizzati tutti o alcuni dei seguenti tipi di eventi.
Vedere Tipi di comportamenti dannosi e Spiegazione del rilevamento di ML/PE-A.
Rilevamenti di runtime
Tipo di evento | Gravità | Azione richiesta? | Descrizione |
---|---|---|---|
Rilevato malware in esecuzione | Medio | No | Su un computer è stato rilevato un programma in esecuzione che ha manifestato un comportamento malevolo o sospetto. Sophos Central effettua il tentativo di rimuovere la minaccia. In caso di esito positivo non viene visualizzato alcun avviso nella pagina Avvisi, e viene aggiunto un evento Malware in esecuzione rimosso all'elenco degli eventi. |
Malware in esecuzione non rimosso | Alta priorità | Sì | Non è stato possibile rimuovere da un computer un programma in esecuzione che ha manifestato un comportamento malevolo o sospetto. Per questo tipo di evento possono essere visualizzati i seguenti eventi:
|
Malware in esecuzione rimosso | Basso | No | |
Sono state rilevate attività malevole | Alta priorità | Sì | È stato rilevato traffico di rete malevolo, probabilmente diretto verso un server di comando e controllo coinvolto in un attacco botnet o di altro genere. |
Avviso di malware in esecuzione in locale cancellato | Basso | No | Un avviso di malware in esecuzione è stato cancellato dall'elenco di avvisi in un computer endpoint. |
Rilevato ransomware | Alta priorità | No | Un programma non autorizzato ha effettuato il tentativo di cifrare un’applicazione protetta. |
Risolto attacco di ransomware | Basso | No | |
Rilevato ransomware eseguito in remoto | Medio | Sì | Un programma non autorizzato ha effettuato il tentativo di cifrare in remoto un’applicazione protetta. |
Risolto attacco di ransomware eseguito in remoto | Basso | No | |
È stato rilevato ransomware che attacca un computer remoto | Alta priorità | Sì | Su questo computer è stato rilevato un tentativo di cifrare in remoto le applicazioni di un altro computer. |
Safe Browsing ha rilevato un browser compromesso | Alto | Sì | È stato bloccato un tentativo di exploit di una vulnerabilità di un browser internet. |
Evitato exploit | Basso | No | È stato bloccato un tentativo di exploit della vulnerabilità di un’applicazione in un computer endpoint. |
Evitato hijack dell'applicazione | Basso | No | È stato evitato l’hijack di un’applicazione su un computer endpoint. |
In base al comportamento | Basso | Sì | È stato rilevato un comportamento sospetto in questa applicazione. In alcuni casi è necessario riavviare il sistema per completare il processo di rimozione. In tale eventualità, viene visualizzato un evento di riavvio. Questo tipo di rilevamento è disponibile solamente per chi è iscritto al Programma di accesso in anteprima (Early Access Program, EAP). |
La protezione AMSI ha bloccato una minaccia | Basso/a | No | Abbiamo bloccato una minaccia rilevata dalla protezione AMSI. |
La Protezione AMSI non è stata in grado di rimuovere una minaccia | Alta priorità | Sì | Non è stato possibile rimuovere una minaccia rilevata da AMSI. Deve essere rimossa manualmente. |
La protezione AMSI ha rimosso una minaccia | Basso/a |
Controllo applicazioni
Tipo di evento | Gravità | Azione richiesta? | Descrizione |
---|---|---|---|
Applicazione bloccata | Medio/a | No | |
Applicazione autorizzata | Basso | No | Un'applicazione controllata è stata rilevata e successivamente consentita. |
Malware
Se il deep learning è abilitato, è possibile che i rilevamenti del malware vengano visualizzati con la dicitura ML/PE-A.
Tipo di evento | Gravità | Azione richiesta? | Descrizione |
---|---|---|---|
Rilevato malware | Medio | No | È stato rilevato malware in un dispositivo monitorato da Sophos Central. Sophos Central effettuerà il tentativo di rimuovere la minaccia. In caso di esito positivo non sarà visualizzato alcun avviso nella pagina Avvisi, e verrà aggiunto un evento "Malware rimosso" all’elenco degli eventi. |
Malware non rimosso | Alta priorità | Sì | Per questo tipo di evento possono essere visualizzati i seguenti eventi:
|
Malware rimosso | Basso | No | |
Infezione ricorrente | Alta priorità | Sì | Un computer è stato nuovamente infettato dopo che Sophos Central ha effettuato un tentativo di rimuovere la minaccia. Il motivo potrebbe essere la presenza di componenti nascosti della minaccia che non sono stati rilevati. |
Minaccia rimossa | Basso | No | |
Avviso di malware locale cancellato | Basso | No | Un avviso di malware è stato cancellato dall'elenco di avvisi in un computer endpoint. |
Applicazioni potenzialmente indesiderate (PUA)
Tipo di evento | Gravità | Azione richiesta? | Descrizione |
---|---|---|---|
Blocco delle applicazioni potenzialmente indesiderate (PUA) | Medio | Sì | È stata rilevata e bloccata un'applicazione potenzialmente indesiderata. |
Applicazione potenzialmente indesiderata (PUA) non rimossa | Medio | Sì | Per questo tipo di evento possono essere visualizzati i seguenti eventi:
|
Applicazione potenzialmente indesiderata (PUA) rimossa | Basso/a | No | |
Avviso di applicazione potenzialmente indesiderata (PUA) in locale cancellato | Basso | No | Un avviso di applicazione potenzialmente indesiderata è stato cancellato dall'elenco di avvisi in un computer endpoint. |