Pular para o conteúdo

Política de proteção contra ameaças

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

Nota

Esta página descreve as configurações da política para computadores endpoint. Para servidores, aplicam-se diferentes configurações da política.

Vá para Meus produtos > Endpoint > Políticas para configurar a proteção contra ameaças.

Para configurar uma política, siga este procedimento:

  • Crie uma política de Proteção contra ameaças. Consulte Criar ou editar uma política.
  • Na política, abra a guia Configurações e configure-a como descrito abaixo. Verifique se a política está ativada.

Você pode usar as configurações padrão ou alterá-las.

Se você alterar alguma das definições desta política e quiser saber qual é o padrão, crie uma nova política. Você não precisa salvá-la, ela mostrará os padrões.

Nota

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Configurações recomendadas

Por padrão, a política usa nossas configurações recomendadas.

Elas lhe proporcionam a melhor proteção possível sem configurações complexas. Elas oferecem:

  • Detecção de malwares conhecidos.
  • Verificações em nuvem para permitir a detecção dos mais recentes malwares que a Sophos tem conhecimento.
  • Detecção proativa de malwares que nunca foram vistos antes.
  • Limpeza automática de malwares.

Se estiver usando configurações não recomendadas, você verá avisos na página de configurações da política.

Pense bem antes de alterar os configurações recomendadas, pois isso pode reduzir a sua proteção.

Live Protection

O Live Protection verifica os arquivos suspeitos no banco de dados de ameaças do SophosLabs. Isso ajuda a detectar as ameaças mais recentes e evitar falsos positivos. Você pode usar da seguinte forma:

  • Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online. Isso irá verificar os arquivos durante a varredura em tempo real.
  • Usar Live Protection durante as varreduras agendadas.

Desativar o Live Protection reduz sua proteção e pode aumentar os falsos positivos.

Para ver nosso banco de dados de ameaças, vá para Sophos Threat Center.

Deep Learning

O Deep Learning pode detectar ameaças automaticamente, especialmente ameaças novas e desconhecidas que não foram vistas nunca antes. Ele usa Machine Learning e não depende de assinaturas.

Desativar o Deep Learning reduz significativamente sua proteção.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

A varredura em tempo real verifica se há malware conhecido nos arquivos quando eles são acessados e atualizados. Isso impede que programas mal-intencionados conhecidos sejam executados e que arquivos infectados sejam abertos por aplicativos legítimos.

A varredura dos arquivos locais e remotos (arquivos acessados na rede) é realizada por padrão.

Arquivos remotos permitem que você ative ou desative a varredura de arquivos remotos.

Desativar essas opções pode permitir que malwares conhecidos sejam executados ou acessados.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los.

Varredura de downloads em andamento

Esta configuração controla se será feita a varredura dos downloads e elementos de páginas antes que eles cheguem ao navegador.

  • Conexões HTTP: Fazemos a varredura de todos os elementos e downloads.
  • Conexões HTTPS: Não fazemos a varredura de nenhum elemento, a menos que você ative Descriptografar sites usando SSL/TLS.

Bloquear acesso a sites da web mal-intencionados

Esta configuração nega o acesso a sites da web que são conhecidos por hospedar malwares.

Fazemos uma verificação de reputação para ver se o site é conhecido por hospedar conteúdo mal-intencionado (pesquisa SXL4). Se você desativar o Live Protection, também estará desativando essa verificação.

  • Conexões HTTP: Todas as URLs são verificadas, incluindo solicitações GET HTTP completas.
  • Conexões HTTPS: As URLs base são verificadas (SNI). Se você ativar Descriptografar sites usando SSL/TLS, todas as URLs serão verificadas, incluindo solicitações GET HTTP completas.

Detectar downloads de baixa reputação

Esta configuração verifica a reputação do download com base na origem do arquivo, na frequência com que ele é baixado e mais. Use as opções a seguir para decidir como os downloads são tratados.

Defina Ação a ser tomada como Prompt para o usuário: O usuário final vê um aviso quando um arquivo de baixa reputação é baixado. Depois, poderão confiar no arquivo ou deletá-lo. Essa é a configuração padrão.

Defina Nível de reputação com uma das seguintes opções:

  • Recomendado: Arquivos de baixa reputação são bloqueados automaticamente. Essa é a configuração padrão.
  • Estrito: Downloads de reputação média e baixa são bloqueados automaticamente e relatados ao Sophos Central.

Para obter mais informações, consulte Reputação de download.

Correção

As opções de remediação são as seguintes:

Eliminar malwares automaticamente: O Sophos Central elimina automaticamente o malware detectado e registra a limpeza no log. Você pode ver isso na lista Eventos.

Restrição

Os computadores Windows sempre limpam os itens detectados, independentemente dessa configuração. Você só pode desativar a limpeza automática em Macs.

Quando o Sophos Central limpa um arquivo, ele remove o arquivo de seu local atual e o coloca em quarentena no SafeStore. Os arquivos permanecem no SafeStore até que sejam permitidos ou removidos para dar espaço a novas detecções. Você pode restaurar arquivos em quarentena no SafeStore adicionando-os a Aplicativos permitidos. Consulte Aplicativos permitidos.

O SafeStore tem os seguintes limites padrão:

  • O limite de um único arquivo é de 100 GB.
  • O limite de tamanho geral da quarentena é de 200 GB.
  • O número máximo de arquivos armazenados é 2000.

Habilitar a criação do Gráfico de Ameaça. Isso ajuda a investigar a cadeia de eventos em um ataque de malware. Sugerimos que você ative a opção para poder analisar os ataques que detectamos e bloqueamos.

Proteção em tempo de execução

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego.

Proteger arquivos de documento de ransomwares (CryptoGuard). Essa configuração protege você contra o malware que restringe o acesso aos seus arquivos e que exige um valor para liberá-los. O recurso está ativado por padrão. É altamente recomendado que você o deixe ativado.

Você também pode usar estas opções:

  • Proteger de ransomware executado remotamente. Isso garante a proteção em toda a sua rede. Recomendamos que você deixe essa configuração ativada.
  • Proteger contra ataques de criptografia ao sistema de arquivos. Isso protege os dispositivos de 64 bits contra o ransomware que criptografa o sistema de arquivos. Escolha qual ação você quer tomar se o ransomware for detectado. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.
  • Proteger contra ransomwares em registro mestre de inicialização. Protege o dispositivo contra ransomwares que criptografam registros mestres de inicialização (e impedem a inicialização) e de ataques que apagam o disco rígido.

Proteger funcionalidades críticas nos navegadores da web (Safe Browsing). Essa configuração protege seus navegadores da Web contra a exploração por malware por meio de seu navegador da Web.

Mitigar explorações em aplicativos vulneráveis. Esta configuração protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.

Proteger processos. Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares. Você pode escolher entre estas opções:

  • Prevenir ataques vazados ao processo. Também conhecido como "substituição de processo" ou injeção DLL. Os invasores normalmente usam essa técnica para carregar código mal-intencionado em um aplicativo legítimo para tentar evitar o software de segurança.

    Desativar essa configuração facilita para o invasor evitar o software de segurança.

  • Prevenir o carregamento de DLLs de pastas não confiáveis. Esta opção protege contra o carregamento de arquivos DLL de pastas não confiáveis.

  • Prevenir roubo de credenciais. Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
  • Prevenir utilização de code cave. Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
  • Prevenir violação APC. Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
  • Prevenir escalonamento de privilégio. Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.

Proteção dinâmica de shellcode. Esta configuração detecta o comportamento de agentes de comando e controle remoto ocultos e impede que os invasores obtenham controle de suas redes.

Validar o chamador do protocolo CTF. Esta configuração bloqueia aplicativos que tentam explorar uma vulnerabilidade no CTF, um componente em todas as versões do Windows. A vulnerabilidade permite que um invasor não administrador sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox. Recomendamos que você ative Validar o chamador do protocolo CTF.

Impedir o sideload de módulos desprotegidos. Esta configuração impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub. As DLLs ApiSet Stub servem como proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem usar DLLs ApiSet Stub mal-intencionadas para ignorar a proteção contra adulteração e interromper a proteção antimalware.

Desativar isso reduz significativamente sua proteção.

Proteger cookies do navegador usados no início de sessão MFA. Esta configuração impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

Prevenir que beacons mal-intencionados se conectem para o comando e controle de servidores. Essa configuração identifica e bloqueia beacons que tentam se evadir da detecção permanecendo criptografados.

Proteger o tráfego de rede

  • Detectar conexões mal-intencionadas de comando e controle de servidores. Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
  • Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS). Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos.

Detectar comportamentos mal-intencionados. Esta configuração protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

Proteção AMSI. Esta configuração protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI).

A varredura dos códigos enviados por AMSI é realizada antes de serem executados, e o endpoint notifica os aplicativos usados para executar o código sobre ameaças. Se a ameaça for detectada, um evento é registrado.

Impedir a remoção de registro AMSI. Essa configuração garante que o AMSI não possa ser removido dos seus computadores.

Proteção Adaptativa contra Ataques

Ativar proteções adicionais automaticamente quando um dispositivo estiver sob ataque. Esta configuração habilita um conjunto de proteções mais agressivo quando é detectado um ataque. Essas proteções extras foram projetadas para interromper as ações de um invasor.

Configurações avançadas

Estes configurações destinam-se apenas a testes ou resolução de problemas. Recomendamos que você os deixe configurados com os valores default.

Bloquear conexões do navegador QUIC

Selecione Bloquear acesso do navegador QUIC (Quick UDP Internet Connections) aos sites para impedir essas conexões.

Os navegadores habilitados por QUIC podem ignorar a nossa verificação de site de determinados sites. Bloquear o QUIC garante que apliquemos a descriptografia SSL/TLS e a verificação a esses sites.

Por padrão, essa configuração está desativada.

Descriptografia de SSL/TLS de sites HTTPS

Descriptografar sites usando SSL/TLS. Esta configuração permite que os dispositivos descriptografem e verifiquem se há ameaças ao conteúdo dos sites HTTPS.

Se descriptografarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a descriptografia está desativada.

Se a descriptografia HTTPS estiver ativada na política que se aplica a um dispositivo:

  • A descriptografia HTTPS também estará ativada para verificações de Controle da Web nesse dispositivo.
  • Os recursos de proteção em Varredura em tempo real - Internet também podem ver todo o conteúdo, downloads e URLs de páginas do site.

Se você ativar esse recurso, descriptografará todo o tráfego HTTPS, o que poderá tornar a navegação mais lenta.

Exclusões de descriptografia de HTTPS

Por padrão, excluímos certas categorias de sites da descriptografia. Essas são categorias que contêm informações pessoais, como sites de bancos e de webmail.

Você pode alterar as exclusões nas configurações gerais. Vá para Meus produtos > Configurações gerais > Geral > Descriptografia de SSL/TLS de sites HTTPS.

Isolamento do dispositivo

Se você selecionar esta opção, isolamos os dispositivos da rede se a integridade deles estiver no vermelho. A integridade de um dispositivo entra no "vermelho" se forem detectadas ameaças nele, se houver um software desatualizado, se ele for incompatível com a política ou se não estiver protegido adequadamente.

Nota

O Sophos Central usa uma maior variedade de fatores para determinar a integridade. Isso pode significar que ele relata um status de integridade diferente para um dispositivo a partir do próprio dispositivo. Isso não afeta o isolamento. Usamos apenas um status de integridade vermelho fornecido por um dispositivo para isolá-lo.

Você pode continuar a gerenciar dispositivos isolados a partir do Sophos Central. Você pode usar exclusões de varredura ou exclusões globais para dar acesso limitado a eles para a resolução do problema.

Você não pode remover esses dispositivos do isolamento. Você precisa corrigir os problemas de um dispositivo e retorná-lo à integridade "verde" para que possamos removê-lo do isolamento.

Recomendamos que você avalie o impacto dessa opção na sua rede antes de aplicá-la. Para fazer isso, ative-a em uma política e aplique a política a uma amostra representativa de dispositivos.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

A verificação agendada é uma técnica legada para detectar malware. Ela raramente é necessária agora que temos a varredura em segundo plano. Ela pode aumentar a carga do sistema e diminuir significativamente a velocidade da varredura. Recomendamos que você não use varreduras agendadas, a menos que seja necessário.

Você pode selecionar estas opções:

  • Habilitar varredura agendada: Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

    Nota

    O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

  • Habilitar varredura aprofundada: Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões de varredura

Você pode excluir arquivos, pastas, sites da web ou aplicativos da varredura por ameaças.

As exclusões definidas em uma política são usadas apenas para os usuários e dispositivos a que a política se aplica. Se quiser aplicar exclusões a todos os seus usuários e dispositivos, defina exclusões globais. Para fazer isso, vá para Meus produtos > Configurações gerais > Exclusões globais.

Adicionar exclusões pode reduzir a sua proteção. Use-as com cuidado.

Para obter ajuda sobre como usar exclusões, consulte Usando exclusões com segurança.

Para cria uma exclusão de varredura de política:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Na lista suspensa Tipo de exclusão, selecione um tipo de item a excluir (arquivo ou pasta, site da web, aplicativo potencialmente indesejado ou isolamento de dispositivo).

  3. Especifique o item, ou itens, que deseja excluir. Aplicam-se as seguintes regras:

    • Aplicativo Potencialmente Indesejado (Windows/Mac/Linux). Você pode excluir aplicativos que são normalmente detectados como spywares. Especifique a exclusão usando o mesmo nome pelo qual o sistema o detectou, por exemplo, "PsExec" ou "Cain n Abel". Acesse mais informações sobre PUAs no Sophos Threat Center.

      Pense bem antes de adicionar exclusões de PUA, pois isso pode reduzir a sua proteção.

    • Arquivos ou pasta. Na lista suspensa Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.

    • Explorações detectadas (Windows/Mac). Você pode excluir explorações detectadas usando um ID de Detecção. Você pode usar essa opção se estiver trabalhando com o Suporte da Sophos para resolver uma detecção de falso positivo. O Suporte da Sophos pode fornecer um ID de Detecção para você poder excluir a detecção de falso positivo. Para fazer isso, clique em A exploração não está na lista? e digite o ID.
  4. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Nota

Se você excluir um site, nós não verificaremos a categoria do site e ele será excluído da proteção de controle da Web. Consulte Política de controle da web.

Para obter mais informações sobre as exclusões que você pode usar, consulte:

Exclusões de mitigação de exploração

Você pode excluir aplicativos da proteção contra explorações de segurança. Por exemplo, você pode excluir um aplicativo erroneamente detectado como uma ameaça até que o problema seja resolvido.

A adição de exclusões reduz sua proteção.

Recomendamos que você aplique a política que contém a exclusão apenas aos usuários e dispositivos onde a exclusão é necessária.

Nota

Você só pode criar exclusões para aplicativos do Windows.

Para criar uma política de exclusão de mitigação de exploração, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Mitigação de exploração (Windows).

    Uma lista dos aplicativos protegidos em sua rede é exibida.

  3. Selecione o aplicativo que deseja excluir.

  4. Se não vir o aplicativo desejado, clique em O aplicativo não está na lista?. Agora você pode excluir seu aplicativo da proteção inserindo o caminho do arquivo. Opcionalmente, use qualquer uma das variáveis.
  5. Em Mitigações, escolha entre o seguinte:

    • Desativar Proteger aplicativo. Seu aplicativo selecionado não é verificado em relação a explorações.
    • Mantenha Proteger aplicativo ativado e selecione os tipos de exploração que deseja ou não verificar.
  6. Clique em Adicionar ou Adicionar outro.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais ajuda sobre exclusões de mitigação de exploração, consulte:

Exclusões de proteção contra ransomware

Você pode excluir aplicativos ou pastas usados por aplicativos da proteção contra ransomware.

Você pode excluir um aplicativo que tenha sido detectado incorretamente como uma ameaça ou um aplicativo incompatível com a proteção contra ransomware. Por exemplo, se você tiver um aplicativo que criptografa dados, pode excluí-lo. Isso nos impede de detectar o aplicativo como ransomware.

Você pode também excluir pastas usadas por aplicativos que mostram problemas de desempenho quando monitorados por proteção contra ransomware. Por exemplo, você pode excluir pastas usadas por aplicativos de backup.

A adição de exclusões reduz sua proteção.

Recomendamos que você adicione exclusões a uma política e atribua essa política somente aos usuários e dispositivos nos quais as exclusões são necessárias.

Para criar uma política de exclusão de proteção contra ransomware, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Proteção contra ransomware (Windows) ou Proteção contra ransomware (Mac).

  3. Escolha se deseja excluir um processo ou uma pasta.

    Escolha Processo para excluir um aplicativo.

  4. Em VALOR, insira o caminho do processo ou pasta que deseja excluir.

    Você só pode excluir uma pasta usando o seu caminho local. Você não pode excluí-la por seu caminho remoto no formato UNC, por exemplo, \\servername\shared-folder.

    Você pode usar variáveis quando excluir processos ou pastas.

  5. Clique em Adicionar ou Adicionar Outro.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais ajuda sobre exclusões de proteção contra ransomware, consulte Exclusões de proteção contra ransomware.

Mensagens de desktop

Mensagens de desktop envia suas notificações sobre eventos de proteção contra ameaças. O default da opção é estar ativada.

Você pode inserir a sua própria mensagem para adicionar ao final das notificações padrão.