Pular para o conteúdo

Política de proteção contra ameaças

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

Nota

Esta página descreve as configurações da política para usuários de estações de trabalho. Para servidores, aplicam-se diferentes configurações da política.

Vá para Endpoint Protection > Políticas para configurar a proteção contra ameaças.

Para configurar uma política, siga este procedimento:

  • Crie uma política de Proteção contra ameaças. Consulte Criar ou editar uma política.
  • Na política, abra a guia Configurações e configure-a como descrito abaixo. Verifique se a política está ativada.

Você pode usar as configurações recomendadas ou alterá-las. Você encontrará um vídeo sobre como configurar uma política de proteção contra ameaças em “Configurar a proteção contra ameaças”.

Se você alterar alguma das definições desta política e quiser saber qual é o padrão, crie uma nova política. Você não precisa salvá-la, ela mostrará os padrões.

Nota

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Nota

Se uma opção estiver bloqueada, o seu parceiro ou Administrador Enterprise aplicou definições globais. Você pode continuar a interromper a detecção de aplicativos, explorações e ransomwares acessando a lista de eventos.

Usar configurações recomendadas

Alerta

Pense bem antes de alterar os configurações recomendadas, pois isso pode reduzir a sua proteção.

Clique em Usar configurações recomendadas se quiser usar as configurações recomendadas por nós. Elas lhe proporcionam a melhor proteção possível sem configurações complexas.

No futuro, se mudarmos nossas recomendações, iremos automaticamente atualizar sua política com as novas configurações.

As configurações recomendadas oferecem:

  • Detecção de malwares conhecidos.
  • Verificações em nuvem para permitir a detecção dos mais recentes malwares que a Sophos tem conhecimento.
  • Detecção proativa de malwares que nunca foram vistos antes.
  • Limpeza automática de malwares.

Configurar a proteção contra ameaças

Este vídeo explica como configurar uma política de proteção contra ameaças e inclui as nossas práticas recomendadas.

Live Protection

Live Protection verifica os arquivos suspeitos em relação aos mais recentes malwares encontrados no banco de dados do SophosLabs. Consulte Sophos Threat Center.

Você pode selecionar estas opções:

  • Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online. Isso irá verificar os arquivos durante a varredura em tempo real.
  • Usar Live Protection durante as varreduras agendadas

Deep Learning

O deep learning utiliza um modelo de treinamento de máquina para detectar ameaças. Ele pode identificar malwares conhecidos e previamente desconhecidos e aplicativos potencialmente indesejados sem usar assinaturas.

O deep learning está disponível apenas com o Sophos Intercept X.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

A varredura em tempo real verifica os arquivos conforme os usuários tentam acessá-los. Se limpo, o acesso ao arquivo é permitido.

Os arquivos locais são verificados por default. Você também pode selecionar esta opção:

  • Arquivos remotos: Esta opção faz a varredura de arquivos nos compartilhamentos em rede.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los. Consulte Reputação de download. Você pode selecionar estas opções:

  • Varredura de downloads em andamento
  • Bloquear acesso a sites da web mal-intencionados: Esta opção nega o acesso a sites da web que são conhecidos por hospedar malwares.
  • Detectar arquivos de baixa reputação: Esta opção alerta se um download apresenta baixa reputação. A reputação é baseada na origem do arquivo, sua frequência de download e outros fatores. Você pode especificar:
    • O Ação a ser tomada no caso de downloads de baixa reputação: Se você selecionar Prompt para o usuário, os usuários verão um alerta quando baixarem um arquivo de baixa reputação. Depois, poderão confiar no arquivo ou deletá-lo. Essa é a configuração padrão.
    • O Nível de reputação: Se você selecionar Estrito, serão detectados arquivos de reputação média e de reputação baixa. A configuração padrão é Recomendado.

Correção

As opções de correção são:

  • Eliminar malwares automaticamente: O Sophos Central tentará eliminar o malware detectado automaticamente.

    Se a limpeza for bem-sucedida, o alerta de malware detectado é deletado da lista de alertas. A detecção e a limpeza são exibidas na lista de eventos.

    Nota

    Nós sempre limpamos arquivos PE (Portable Executable), como aplicativos, bibliotecas e arquivos de sistema, mesmo que você desative a limpeza automática. Os arquivos PE são colocados em quarentena e você pode restaurá-los se forem menores que 50 MB.

  • Habilitar criação de Gráfico de Ameaça: Gráficos de ameaças permitem investigar a cadeia de eventos em um ataque de um malware e identificar áreas onde você pode melhorar a sua segurança.

Proteção em Tempo de Execução

Você deve participar do Early Access Program para usar algumas opções.

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego. Você pode selecionar:

  • Proteger arquivos de documento de ransomwares (CryptoGuard): Esta opção protege arquivos de documento contra malwares que restringem o acesso a arquivos e depois exigem um pagamento para liberá-lo. Você também pode optar por proteger computadores de 64 bits contra ransomwares executados de um local remoto.
  • Proteger contra ataques ao Sistema de Encriptação de Arquivos: Isso protege o computador contra o ransomware que criptografa o sistema de arquivos. Escolha qual ação você quer tomar se o ransomware for detectado. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.
  • Proteger contra ransomwares em registro mestre de inicialização: Protege o computador de ransomwares que encriptam registros mestres de inicialização (e impedem a inicialização) e de ataques que limpam o disco rígido.
  • Proteger funcionalidades críticas nos navegadores da web (Safe Browsing): Esta opção protege seus navegadores da web contra explorações por malware.
  • Mitigar explorações em aplicativos vulneráveis: Esta opção protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.
  • Proteger processos: Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares. Você pode escolher estas opções:
    • Prevenir ataques vazados ao processo. Esta opção protege contra ataques de substituição de processos.
    • Prevenir o carregamento de DLLs de pastas não confiáveis. Esta opção protege contra o carregamento de arquivos .DLL de pastas não confiáveis.
    • Prevenir roubo de credenciais. Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
    • Prevenir utilização de code cave. Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
    • Prevenir violação APC. Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
    • Prevenir escalonamento de privilégio. Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.
  • Proteger o tráfego de rede. Você pode escolher estas opções:
    • Detectar conexões mal-intencionadas para comandar e controlar servidores. Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
    • Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS). Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos.
  • Detectar comportamentos mal-intencionados (HIPS): Protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.
  • Detectar comportamentos mal-intencionados: Protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

  • Proteção AMSI (com varredura melhorada contra ameaças baseadas em script): Esta opção protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI). A varredura dos códigos enviados por AMSI é realizada antes de estes serem executados, e a Sophos notifica os aplicativos que são usados para executar o código de ameaças. Se a ameaça for detectada, um evento é registrado. Você pode impedir a remoção do registro AMSI nos seus computadores. Consulte Antimalware Scan Interface (AMSI).

Configurações Avançadas

Estes configurações destinam-se apenas a testes ou resolução de problemas. Recomendamos que você os deixe configurados com os valores default.

Decodificação de SSL/TLS de sites HTTPS

Se você selecionar Decodificar sites HTTPS usando SSL/TLS, faremos a descriptografia e verificaremos o conteúdo dos sites HTTPS quanto a ameaças.

Se decodificarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a decodificação está desativada.

Nota

Se a decodificação estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

Isolamento do dispositivo

Se você selecionar esta opção, os dispositivos irão se auto-isolar da sua rede se a integridade deles estiver no vermelho. A integridade de um dispositivo entra no vermelho se forem detectadas ameaças nele, se houver um software desatualizado, se ele for incompatível com a política ou se não estiver protegido adequadamente.

Você pode continuar a gerenciar dispositivos isolados a partir do Sophos Central. Você pode usar exclusões de varredura ou exclusões globais para dar acesso limitado a eles para a resolução do problema.

Você não pode remover esses dispositivos do isolamento. Eles voltarão a se comunicar com a rede assim que a sua integridade volte para verde.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

Você pode selecionar estas opções:

  • Habilitar varredura agendada: Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

    Nota

    O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

  • Habilitar varredura aprofundada: Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

    Nota

    A verificação de arquivamentos poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões de varredura

Você pode excluir arquivos, pastas, sites da Web ou aplicativos da varredura para identificação de ameaças, conforme descrito abaixo.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada (utilize uma exclusão de Explorações detectadas).

As exclusões definidas em uma política são usadas apenas para os usuários a quem a política se aplica.

Nota

Se quiser aplicar exclusões a todos os seus usuários e servidores, defina exclusões globais. Para isso, vá para Visão geral > Exclusões globais.

Para obter ajuda sobre como usar exclusões, consulte Usando exclusões com segurança.

Para cria uma exclusão de varredura de política:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Na lista suspensa Tipo de exclusão, selecione um tipo de item a excluir (arquivo ou pasta, site da web, aplicativo potencialmente indesejado ou isolamento de dispositivo).

  3. Especifique o item, ou itens, que deseja excluir.
  4. Para as exclusões de Arquivos ou pasta apenas, na lista suspensa Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.
  5. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais informações sobre as exclusões que você pode usar, consulte:

Exclusões de mitigação de exploração

Você pode excluir aplicativos da proteção contra explorações de segurança. Por exemplo, você pode excluir um aplicativo erroneamente detectado como uma ameaça até que o problema seja resolvido.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Apresentação > Configurações globais > Exclusões globais, cria exclusões que se aplicam a todos os usuários e dispositivos.

Recomendamos que você use essa opção e atribua a política que contém a exclusão apenas aos usuários e dispositivos onde a exclusão é necessária.

Nota

Você só pode criar exclusões para aplicativos do Windows.

Para criar uma política de exclusão de mitigação de exploração, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Mitigação de exploração (Windows).

    Uma lista dos aplicativos protegidos em sua rede é exibida.

  3. Selecione o aplicativo que deseja excluir.

  4. Se não vir o aplicativo desejado, clique em O aplicativo não está na lista?. Agora você pode excluir seu aplicativo da proteção inserindo o caminho do arquivo. Opcionalmente, use qualquer uma das variáveis.
  5. Em Mitigações, escolha entre o seguinte:
    • Desativar Proteger aplicativo. Seu aplicativo selecionado não é verificado em relação a explorações.
    • Mantenha Proteger aplicativo ativado e selecione os tipos de exploração que deseja ou não verificar.
  6. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista na página Exclusões globais.

    A exclusão se aplica somente a usuários ou dispositivos aos quais você atribui essa política.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais ajuda sobre exclusões de mitigação de exploração, consulte:

Exclusões de proteção contra ransomware

Você pode excluir aplicativos ou pastas usados por aplicativos da proteção contra ransomware.

Você pode excluir um aplicativo que tenha sido detectado incorretamente como uma ameaça ou um aplicativo incompatível com a proteção contra ransomware. Por exemplo, se você tiver um aplicativo que criptografa dados, pode excluí-lo. Isso nos impede de detectar o aplicativo como ransomware.

Ou talvez você queira excluir pastas usadas por aplicativos específicos que mostram problemas de desempenho quando monitorados por proteção contra ransomware. Por exemplo, você pode excluir pastas usadas por aplicativos de backup.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Apresentação > Configurações globais > Exclusões globais, cria exclusões que se aplicam a todos os usuários e dispositivos.

Recomendamos que você use essa opção e atribua a política que contém a exclusão apenas aos usuários e dispositivos onde a exclusão é necessária.

Para criar uma política de exclusão de proteção contra ransomware, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Proteção contra ransomware (Windows).

  3. Escolha se deseja excluir um processo ou uma pasta.
  4. Em VALOR, insira o caminho do processo ou pasta que deseja excluir.

    Você pode usar variáveis aqui. Consulte Curingas ou variáveis para atenuação de exploits ou ransomwares.

  5. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista na página Exclusões globais.

    A exclusão se aplica somente a usuários ou dispositivos aos quais você atribui essa política.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Restrição

Você só pode criar exclusões para aplicativos do Windows.

Para obter mais ajuda sobre exclusões de proteção contra ransomware, consulte Exclusões de proteção contra ransomware.

Mensagens de desktop

Nota

É preciso desativar Usar configurações recomendadas para configurar Mensagens de desktop.

Você pode adicionar uma mensagem ao final da notificação padrão. Se deixar a caixa de mensagem vazia, será exibida apenas a mensagem padrão.

Ativado é o default de Mensagens de desktop.

Clique na caixa de mensagem e insira o texto que deseja adicionar.

Voltar ao topo