Política de proteção contra ameaças ao servidor

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

Vá para Meus produtos > Server > Políticas para configurar a proteção contra ameaças.

Para configurar uma política, siga este procedimento:

• Crie uma política de Proteção contra ameaças. Consulte Criar ou editar uma política.
• Na política, abra a guia Configurações e configure-a como descrito abaixo. Verifique se a política está ativada.

Você pode usar as configurações padrão ou alterá-las.

Se você alterar alguma das definições desta política e quiser saber qual é o padrão, crie uma nova política. Você não precisa salvá-la, ela mostrará os padrões.

Configurações recomendadas

Por padrão, a política usa nossas configurações recomendadas.

Elas lhe proporcionam a melhor proteção possível sem configurações complexas. Elas oferecem:

• Detecção de malwares conhecidos.
• Verificações em nuvem para permitir a detecção dos mais recentes malwares que a Sophos tem conhecimento.
• Detecção proativa de malwares que nunca foram vistos antes.
• Limpeza automática de malwares.
• Exclusão automática de atividade por aplicativos conhecidos da varredura.

Se estiver usando configurações não recomendadas, você verá avisos na página de configurações da política.

Live Protection

O Live Protection verifica os arquivos suspeitos no banco de dados de ameaças do SophosLabs. Isso ajuda a detectar as ameaças mais recentes e evitar falsos positivos. Você pode usar da seguinte forma:

• Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online. Isso irá verificar os arquivos durante a varredura em tempo real.

• Usar Live Protection durante as varreduras agendadas.

  Nota

  No Linux, as varreduras agendadas usam Live Protection, independentemente dessa configuração.

Para ver nosso banco de dados de ameaças, vá para Sophos Threat Center.

Deep Learning

O Deep Learning pode detectar ameaças automaticamente, especialmente ameaças novas e desconhecidas que não foram vistas nunca antes. Ele usa Machine Learning e não depende de assinaturas.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

A varredura em tempo real verifica se há malware conhecido nos arquivos quando eles são acessados e atualizados. Isso impede que programas mal-intencionados conhecidos sejam executados e que arquivos infectados sejam abertos por aplicativos legítimos.

A varredura oferece varredura em tempo real de arquivos locais e remotos (arquivos acessados na rede) por padrão. Selecione Local se só quiser fazer a varredura de arquivos no dispositivo.

• na leitura: Os arquivos são verificados quando são abertos.
• na gravação: Os arquivos são verificados quando são salvos.

Habilitar varredura do Agente do Server Protection para Linux faz a varredura em tempo real em dispositivos Linux. Isso se aplica ao Sophos Protection for Linux, mas não ao produto Sophos Anti-Virus legado. Consulte Remediação.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los.

Varredura de downloads em andamento

Esta configuração controla se será feita a varredura dos downloads e elementos de páginas antes que eles cheguem ao navegador.

• Conexões HTTP: Fazemos a varredura de todos os elementos e downloads.
• Conexões HTTPS: Não fazemos a varredura de nenhum elemento, a menos que você ative Descriptografar sites usando SSL/TLS.

Bloquear acesso a sites da web mal-intencionados

Esta configuração nega o acesso a sites da web que são conhecidos por hospedar malwares.

Fazemos uma verificação de reputação para ver se o site é conhecido por hospedar conteúdo mal-intencionado (pesquisa SXL4). Se você desativar o Live Protection, também estará desativando essa verificação.

• Conexões HTTP: Todas as URLs são verificadas, incluindo solicitações GET HTTP completas.
• Conexões HTTPS: As URLs base são verificadas (SNI). Se você ativar Descriptografar sites usando SSL/TLS, todas as URLs serão verificadas, incluindo solicitações GET HTTP completas.

Detectar downloads de baixa reputação

Esta configuração verifica a reputação do download com base na origem do arquivo, na frequência com que ele é baixado e mais. Use as opções a seguir para decidir como os downloads são tratados.

Defina Ação a ser tomada como Prompt para o usuário: O usuário final vê um aviso quando um arquivo de baixa reputação é baixado. Depois, poderão confiar no arquivo ou deletá-lo. Essa é a configuração padrão.

Defina Nível de reputação com uma das seguintes opções:

• Recomendado: Arquivos de baixa reputação são bloqueados automaticamente. Essa é a configuração padrão.
• Estrito: Downloads de reputação média e baixa são bloqueados automaticamente e relatados ao Sophos Central.

Para obter mais informações, consulte Reputação de download.

Varredura em tempo real - Opções

Excluir atividade automaticamente por aplicativos conhecidos. Essa configuração exclui aplicativos amplamente usados, conforme recomendado por seus fornecedores.

Para obter mais informações, consulte Sophos Central Server: produtos de terceiros excluídos automaticamente

Remediação

As opções de remediação são as seguintes:

Eliminar malwares automaticamente: O Sophos Central elimina automaticamente o malware detectado e registra a limpeza no log. Você pode ver isso na lista Eventos.

Quando o Sophos Central limpa um arquivo, ele remove o arquivo de seu local atual e o coloca em quarentena no SafeStore. Os arquivos permanecem no SafeStore até que sejam permitidos ou removidos para dar espaço a novas detecções. Você pode restaurar arquivos em quarentena no SafeStore adicionando-os a Aplicativos permitidos. Consulte Aplicativos permitidos.

O SafeStore tem os seguintes limites padrão:

• O limite de um único arquivo é de 100 GB.
• O limite de tamanho geral da quarentena é de 200 GB.
• O número máximo de arquivos armazenados é 2000.

Habilitar a criação do Gráfico de Ameaça. Isso ajuda a investigar a cadeia de eventos em um ataque de malware. Sugerimos que você ative a opção para poder analisar os ataques que detectamos e bloqueamos.

Proteção em Tempo de Execução

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego.

Proteger arquivos de documento de ransomwares (CryptoGuard). Essa configuração protege você contra o malware que restringe o acesso aos seus arquivos e que exige um valor para liberá-los. O recurso está ativado por padrão. É altamente recomendado que você o deixe ativado.

Você também pode usar estas opções:

• Proteger de ransomware executado remotamente. Isso garante a proteção em toda a sua rede. Recomendamos que você deixe essa configuração ativada.
• Proteger contra ataques de criptografia ao sistema de arquivos. Isso protege os dispositivos de 64 bits contra o ransomware que criptografa o sistema de arquivos. Escolha qual ação você quer tomar se o ransomware for detectado. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.
• Proteger contra ransomwares em registro mestre de inicialização. Protege o dispositivo contra ransomwares que criptografam registros mestres de inicialização (e impedem a inicialização) e de ataques que apagam o disco rígido.

Proteger funcionalidades críticas nos navegadores da web (Safe Browsing). Essa configuração protege seus navegadores da Web contra a exploração por malware por meio de seu navegador da Web.

Mitigar explorações em aplicativos vulneráveis. Esta configuração protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.

Proteger processos. Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares. Você pode escolher entre estas opções:

• Prevenir ataques vazados ao processo. Também conhecido como "substituição de processo" ou injeção DLL. Os invasores normalmente usam essa técnica para carregar código mal-intencionado em um aplicativo legítimo para tentar evitar o software de segurança.

  Desativar essa configuração facilita para o invasor evitar o software de segurança.

• Prevenir o carregamento de DLLs de pastas não confiáveis. Esta opção protege contra o carregamento de arquivos DLL de pastas não confiáveis.

• Prevenir roubo de credenciais. Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
• Prevenir utilização de code cave. Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
• Prevenir violação APC. Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
• Prevenir escalonamento de privilégio. Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.

Habilitar rastreio de filial de CPU. A detecção de código mal-intencionado na CPU é um recurso dos processadores Intel que permite rastrear a atividade de detecção do processor. Oferecemos suporte aos processadores Intel com as seguintes arquiteturas: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake. Não haverá suporte se houver um hipervisor legítimo no computador.

Proteção dinâmica de shellcode. Esta configuração detecta o comportamento de agentes de comando e controle remoto ocultos e impede que os invasores obtenham controle de suas redes.

Validar o chamador do protocolo CTF. Esta configuração bloqueia aplicativos que tentam explorar uma vulnerabilidade no CTF, um componente em todas as versões do Windows. A vulnerabilidade permite que um invasor não administrador sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox. Recomendamos que você ative Validar o chamador do protocolo CTF.

Impedir o sideload de módulos desprotegidos. Esta configuração impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub. As DLLs ApiSet Stub servem como proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem usar DLLs ApiSet Stub mal-intencionadas para ignorar a proteção contra adulteração e interromper a proteção antimalware.

Proteger cookies do navegador usados no início de sessão MFA. Esta configuração impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

Proteger o tráfego de rede

• Detectar conexões mal-intencionadas de comando e controle de servidores. Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
• Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS). Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos.

Detecções em tempo de execução Linux. Esta configuração proporciona visibilidade e detecção de ameaças em tempo de execução em contêineres e cargas de trabalho de servidores Linux. Você pode gerenciar esses alertas no Centro de Análise de Ameaças. Consulte Detecções.

Prevenir que beacons mal-intencionados se conectem para o comando e controle de servidores. Essa configuração identifica e bloqueia beacons que tentam se evadir da detecção permanecendo criptografados.

Detectar comportamentos mal-intencionados. Esta configuração protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

Proteção AMSI. Esta configuração protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI).

A varredura dos códigos enviados por AMSI é realizada antes de serem executados, e o endpoint notifica os aplicativos usados para executar o código sobre ameaças. Se a ameaça for detectada, um evento é registrado.

Impedir a remoção de registro AMSI. Essa configuração garante que o AMSI não possa ser removido dos seus computadores.

Habilitar o Sophos Security Heartbeat: Esta configuração envia relatórios de "integridade" do servidor para cada Sophos Firewall registrado na sua conta Sophos Central. Se houver mais de um firewall registrado, os relatórios irão para o mais próximo que esteja disponível. Se um relatório mostrar que um servidor pode estar comprometido, o firewall poderá restringir o acesso.

Proteção Adaptativa contra Ataques

Ativar proteções adicionais automaticamente quando um dispositivo estiver sob ataque. Esta configuração habilita um conjunto de proteções mais agressivo quando é detectado um ataque. Essas proteções extras foram projetadas para interromper as ações de um invasor.

Descriptografia de SSL/TLS de sites HTTPS

Se você selecionar Descriptografar sites HTTPS usando SSL/TLS, faremos a descriptografia e verificaremos o conteúdo dos sites HTTPS quanto a ameaças.

Se descriptografarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a descriptografia está desativada.

Varredura em tempo real para Linux

Se você selecionar Habilitar varredura do Agente do Server Protection para Linux, faremos a varredura dos arquivos enquanto os usuários tentam acessá-los. Se limpo, o acesso ao arquivo é permitido.

Por padrão, a varredura em tempo real do Linux está desativada.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

Você pode selecionar estas opções:

• Habilitar varredura agendada. Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

  O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

• Habilitar varredura aprofundada. Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões de varredura

Alguns aplicativos têm suas atividades excluídas automaticamente da varredura em tempo real. Consulte Exclusões automáticas.

Você também pode excluir da varredura outros itens ou atividade por outros aplicativos. Isso seria indicado no caso de um aplicativo de banco de dados acessar muitos arquivos, o que dispara muitas varreduras, afetando o desempenho do servidor.

Para definir as exclusões para um aplicativo, você pode usar a opção de excluir os processos executados a partir do aplicativo em questão. Essa ação é mais segura do que excluir os arquivos ou pastas.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada (utilize uma exclusão de Explorações detectadas).

As exclusões definidas em uma política são usadas apenas para os servidores a quem a política se aplica.

Se quiser aplicar exclusões a todos os seus usuários e servidores, defina exclusões globais na página Meus produtos > Configurações gerais > Exclusões globais.

Para obter ajuda sobre como usar exclusões, consulte Usando exclusões com segurança.

Para cria uma exclusão de varredura de política:

1. Clique em Adicionar Exclusão (à direita da página).

   O diálogo Adicionar Exclusão é exibido.

2. Na lista suspensa Tipo de exclusão, selecione o tipo de item a excluir (arquivo ou pasta, processo, site da web, aplicativo potencialmente indesejado).

3. Especifique o item, ou itens, que deseja excluir. Aplicam-se as seguintes regras:

   • Arquivos ou pasta (Windows). No Windows, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo. Você pode usar caracteres curinga e variáveis. Exemplos:

     • Pasta: C:\programdata\adobe\photoshop\ (adicione uma barra invertida por pasta)
     • Unidade de disco inteira: D:
     • Arquivo: C:\program files\program\*.vmg

   • Arquivos ou pasta (Linux). No Linux, é possível excluir uma pasta ou arquivo. Você pode usar os caracteres curinga ? e *. Exemplo: /mnt/hgfs/excluded.

   • Processo (Windows). Você pode excluir qualquer processo em execução de um aplicativo. Isso também exclui arquivos usados pelo processo (mas apenas quando eles são acessados pelo processo em questão). Se possível, forneça o caminho completo do aplicativo, não apenas o nome do processo exibido no Gerenciador de Tarefa. Exemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

     Nota

     Para ver todos os processos ou outros itens que você precisa excluir de um aplicativo, consulte a documentação do fornecedor do aplicativo.

     Nota

     Você pode usar caracteres curinga e variáveis.

   • Site da Web (Windows). Você pode especificar sites da web usando endereço de IP, intervalo de endereços de IP (na notação CIDR) ou domínio. Exemplos:

     • Endereço de IP: 192.168.0.1
     • Intervalo de endereço de IP: 192.168.0.0/24 O apêndice /24 simboliza o número de bits no prefixo comum a todos os endereços de IP deste intervalo. Portanto, /24 é equivalente à máscara de rede 11111111.11111111.11111111.00000000. Em nosso exemplo, o intervalo inclui todos os endereços de IP que começam com 192.168.0.
     • Domínio: google.com

     Se você excluir um site, nós não verificaremos a categoria do site e ele será excluído da proteção de controle da Web. Consulte Política de controle da web do servidor.

   • Aplicativo Potencialmente Indesejado (Windows/Mac/Linux). Você pode excluir aplicativos que são normalmente detectados como spywares. Especifique a exclusão usando o mesmo nome pelo qual o sistema o detectou, por exemplo, "PsExec" ou "Cain n Abel". Acesse mais informações sobre PUAs no Sophos Threat Center.

     Pense bem antes de adicionar exclusões de PUA, pois isso pode reduzir a sua proteção.

   • Explorações detectadas (Windows/Mac). É possível excluir qualquer exploração que já tenha sido detectada. Não as detectaremos mais para o aplicativo afetado e tampouco bloquearemos o aplicativo.

     Você também pode excluir explorações detectadas usando um ID de Detecção. Você pode usar essa opção se estiver trabalhando com o Suporte da Sophos para resolver uma detecção de falso positivo. O Suporte da Sophos pode fornecer um ID de Detecção para você poder excluir a detecção de falso positivo. Para fazer isso, clique em A exploração não está na lista? e digite o ID.

     Nota

     Isso desliga a proteção CryptoGuard contra ransomware desta exploração para o aplicativo afetado nos seus Servidores Windows.

   • Proteção AMSI (Windows). No Windows, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo. Não fazemos a varredura de código neste local. Você pode usar um caractere curinga * no nome do arquivo ou na extensão. Consulte Antimalware Scan Interface (AMSI).

   • Isolamento de servidor (Windows). O isolamento do dispositivo (por um administrador) está disponível para servidores se você estiver inscrito no Early Access Program for Intercept X Advanced for Server with XDR.

     Você pode permitir que dispositivos isolados se comuniquem com certa limitação a outros dispositivos.

     Escolha se os dispositivos isolados usarão comunicações de saída, de entrada ou ambas.

     Restrinja essas comunicações com uma ou mais destas configurações:

     • Porta Local: Qualquer dispositivo pode usar esta porta em dispositivos isolados.
     • Porta remota: Dispositivos isolados podem usar esta porta em qualquer dispositivo.
     • Endereço remoto: Dispositivos isolados só podem se comunicar com o dispositivo com este IP.

     Exemplo 1: Você quer ter acesso desktop remoto a um dispositivo isolado para poder solucionar problemas.

     • Selecione Conexão de entrada.
     • Em Porta Local, insira o número da porta.

     Exemplo 2: Você quer acessar um dispositivo isolado e baixar ferramentas de limpeza de um servidor.

     • Selecione Conexão de saída.
     • Em Endereço remoto, insira o endereço do servidor.

4. Para as exclusões de Arquivos ou pasta apenas, na lista suspensa Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.

5. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais informações sobre as exclusões que você pode usar, consulte:

• Exclusões de varredura do Windows.
• Exclusões de sites da web
• Processar exclusões (Windows)

Exclusões de mitigação de exploração

Você pode excluir aplicativos da proteção contra explorações de segurança. Por exemplo, você pode excluir um aplicativo erroneamente detectado como uma ameaça até que o problema seja resolvido.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Configurações gerais > Exclusões globais, cria exclusões que se aplicam a todos os usuários e dispositivos.

Recomendamos que você use essa opção e atribua a política que contém a exclusão somente aos servidores onde a exclusão é necessária.

Para criar uma política de exclusão de mitigação de exploração, siga este procedimento:

1. Clique em Adicionar Exclusão (à direita da página).

   O diálogo Adicionar Exclusão é exibido.

2. Em Tipo de exclusão, selecione Mitigação de exploração (Windows).

   Uma lista dos aplicativos protegidos em sua rede é exibida.

3. Selecione o aplicativo que deseja excluir.

4. Se não vir o aplicativo desejado, clique em O aplicativo não está na lista?. Agora você pode excluir seu aplicativo da proteção inserindo o caminho do arquivo. Opcionalmente, use qualquer uma das variáveis.

5. Em Mitigações, escolha entre o seguinte:

   • Desativar Proteger aplicativo. Seu aplicativo selecionado não é verificado em relação a explorações.
   • Manter Proteger aplicativo ativado e selecionar os tipos de exploração que deseja ou não verificar.

6. Clique em Adicionar ou Adicionar Outro. A exclusão se aplica somente a servidores aos quais você atribui essa política.

   Download de Reputação

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais ajuda sobre exclusões de mitigação de exploração, consulte:

• Exclusões de mitigação de exploração
• Curingas ou variáveis para atenuação de exploits ou ransomwares

Exclusões de proteção contra ransomware

Você pode excluir aplicativos ou pastas usados por aplicativos da proteção contra ransomware.

Você pode excluir um aplicativo que tenha sido detectado incorretamente como uma ameaça ou um aplicativo incompatível com a proteção contra ransomware. Por exemplo, se você tiver um aplicativo que criptografa dados, pode excluí-lo. Isso nos impede de detectar o aplicativo como ransomware.

Ou talvez você queira excluir pastas usadas por aplicativos específicos que mostram problemas de desempenho quando monitorados por proteção contra ransomware. Por exemplo, você pode excluir pastas usadas por aplicativos de backup.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Configurações gerais > Exclusões globais, cria exclusões que se aplicam a todos os servidores.

Recomendamos que você adicione exclusões a uma política e atribua essa política somente aos usuários e dispositivos nos quais as exclusões são necessárias.

Para criar uma política de exclusão de proteção contra ransomware, siga este procedimento:

1. Clique em Adicionar Exclusão (à direita da página).

   O diálogo Adicionar Exclusão é exibido.

2. Em Tipo de exclusão, selecione Proteção contra ransomware (Windows).

3. Escolha se deseja excluir um processo ou uma pasta.

   Escolha Processo para excluir um aplicativo.

4. Em VALOR, insira o caminho do processo ou pasta que deseja excluir.

   Você só pode excluir uma pasta usando o seu caminho local. Você não pode excluí-la por seu caminho remoto no formato UNC, por exemplo, \\servername\shared-folder.

   Você pode usar variáveis quando excluir processos ou pastas. Consulte Curingas ou variáveis para atenuação de exploits ou ransomwares.

5. Clique em Adicionar ou Adicionar Outro. A exclusão se aplica somente a servidores aos quais você atribui essa política.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Mensagens de desktop

Mensagens de desktop envia suas notificações sobre eventos de proteção contra ameaças. O default da opção é estar ativada.

Você pode inserir a sua própria mensagem para adicionar ao final das notificações padrão.