Pular para o conteúdo

Política de proteção contra ameaças ao servidor

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

Restrição

Você só pode usar algumas opções em servidores Windows.

Nota

Se uma opção estiver bloqueada, o seu parceiro ou Administrador Enterprise aplicou definições globais. Você pode continuar a interromper a detecção de aplicativos, explorações e ransomwares acessando a lista de eventos.

Vá para Server Protection > Políticas para configurar a proteção contra ameaças.

Para configurar uma política, siga este procedimento:

  • Crie uma política de Proteção contra ameaças. Consulte Criar ou editar uma política.
  • Na política, abra a guia Configurações e configure-a como descrito abaixo. Verifique se a política está ativada.

Você pode usar as configurações recomendadas ou alterá-las.

Alerta

Pense bem antes de alterar os configurações recomendadas, pois isso pode reduzir a sua proteção.

Nota

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Para obter mais informações sobre como avaliamos ameaças, consulte Sophos Threat Center.

Intercept X Advanced for Server

Se você tiver esta licença, a sua política de proteção contra ameaças oferece proteção contra ransomware e explorações, detecção de ameaça sem assinatura e gráficos de ameaças para análise de eventos de ameaça.

Recomendamos que você use essas configurações para obter o máximo de proteção.

Nota

Se você ativar algum desses recursos, os servidores designados para essa política usarão uma licença do Intercept X Advanced for Server.

Consulte Server Protection: Intercept X Advanced.

Configurações padrão do Server Protection

Recomendamos que você deixe estas configurações ativadas. Elas lhe proporcionam a melhor proteção possível sem configurações complexas.

Essas configurações oferecem:

  • Detecção de malwares conhecidos.
  • Verificações em nuvem para permitir a detecção dos mais recentes malwares que a Sophos tem conhecimento.
  • Detecção proativa de malwares que nunca foram vistos antes.
  • Limpeza automática de malwares.
  • Exclusão automática de atividade por aplicativos conhecidos da varredura.

Consulte Server Protection: configurações default.

Decodificação de SSL/TLS de sites HTTPS

Se você selecionar Decodificar sites HTTPS usando SSL/TLS, faremos a descriptografia e verificaremos o conteúdo dos sites HTTPS quanto a ameaças.

Se decodificarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a decodificação está desativada.

Nota

Se a decodificação estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

O padrão dessa forma de varredura é estar ativada nos servidores.

Você pode selecionar estas opções:

  • Habilitar varredura agendada. Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

    Nota

    O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

  • Habilitar varredura aprofundada. Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

    Nota

    A verificação de arquivamentos poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões de varredura

Alguns aplicativos têm suas atividades excluídas automaticamente da varredura em tempo real. Consulte Exclusões automáticas.

Você também pode excluir da varredura outros itens ou atividade por outros aplicativos. Isso seria indicado no caso de um aplicativo de banco de dados acessar muitos arquivos, o que dispara muitas varreduras, afetando o desempenho do servidor.

Dica

Para definir as exclusões para um aplicativo, você pode usar a opção de excluir os processos executados a partir do aplicativo em questão. Essa ação é mais segura do que excluir os arquivos ou pastas.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada (utilize uma exclusão de Explorações detectadas).

As exclusões definidas em uma política são usadas apenas para os servidores a quem a política se aplica.

Nota

Se quiser aplicar exclusões a todos os seus usuários e servidores, defina exclusões globais na página Apresentação > Configurações globais > Exclusões globais.

Para cria uma exclusão de varredura de política:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Na lista suspensa Tipo de exclusão, selecione o tipo de item a excluir (arquivo ou pasta, processo, site da web, aplicativo potencialmente indesejado).

  3. Especifique o item, ou itens, que deseja excluir. Aplicam-se as seguintes regras:

    • Arquivos ou pasta (Windows). No Windows, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo. Você pode usar caracteres curinga e variáveis. Exemplos:
      • Pasta: C:\programdata\adobe\photoshop\ (adicione uma barra invertida por pasta)
      • Unidade de disco inteira: D:
      • Arquivo: C:\program files\program\*.vmg
    • Arquivos ou pasta (Linux). No Linux, é possível excluir uma pasta ou arquivo. Você pode usar os caracteres curinga ? e *. Exemplo: /mnt/hgfs/excluded.
    • Arquivos ou pasta (Sophos Security VM). No Windows, em VMs convidadas protegidas por uma Sophos Security VM, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo, exatamente como você faria com outros computadores com Windows. Você pode usar o caractere curinga * apenas no nome dos arquivos.

      Nota

      Por default, as exclusões se aplicam a todas as VMs convidadas protegidas pela VM de segurança. Para exclusões em uma ou mais VMs específicas.

    • Processo (Windows). Você pode excluir qualquer processo em execução de um aplicativo. Isso também exclui arquivos usados pelo processo (mas apenas quando eles são acessados pelo processo em questão). Se possível, forneça o caminho completo do aplicativo, não apenas o nome do processo exibido no Gerenciador de Tarefa. Exemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

      Nota

      Para ver todos os processos ou outros itens que você precisa excluir de um aplicativo, consulte a documentação do fornecedor do aplicativo.

      Nota

      Você pode usar caracteres curinga e variáveis.

    • Site da Web (Windows). Você pode especificar sites da web usando endereço de IP, intervalo de endereços de IP (na notação CIDR) ou domínio. Exemplos:

      • Endereço de IP: 192.168.0.1
      • Intervalo de endereço de IP: 192.168.0.0/24 O apêndice /24 simboliza o número de bits no prefixo comum a todos os endereços de IP deste intervalo. Portanto, /24 é equivalente à máscara de rede 11111111.11111111.11111111.00000000. Em nosso exemplo, o intervalo inclui todos os endereços de IP que começam com 192.168.0.
      • Domínio: google.com
    • Aplicativo Potencialmente Indesejado (Windows). Você pode excluir aplicativos que são normalmente detectados como spywares. Especifique a exclusão usando o mesmo nome pelo qual o sistema o detectou. Acesse mais informações sobre PUAs no Sophos Threat Center.
    • Explorações detectadas (Windows/Mac). É possível excluir qualquer exploração que já tenha sido detectada. Não as detectaremos mais para o aplicativo afetado e tampouco bloquearemos o aplicativo.

      Nota

      Isso desliga a proteção CryptoGuard contra ransomware desta exploração para o aplicativo afetado nos seus Servidores Windows.

    • Proteção AMSI (Windows). No Windows, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo. Não fazemos a varredura de código neste local. Você pode usar um caractere curinga * no nome do arquivo ou na extensão. Consulte Antimalware Scan Interface (AMSI).

    • Isolamento de servidor (Windows). O isolamento do dispositivo (por um administrador) está disponível para servidores se você estiver inscrito no Early Access Program for Intercept X Advanced for Server with XDR.

      Você pode permitir que dispositivos isolados se comuniquem com certa limitação a outros dispositivos.

      Escolha se os dispositivos isolados usarão comunicações de saída, de entrada ou ambas.

      Restrinja essas comunicações com uma ou mais destas configurações:

      • Porta Local: Qualquer dispositivo pode usar esta porta em dispositivos isolados.
      • Porta Remota: Dispositivos isolados podem usar esta porta em qualquer dispositivo.
      • Endereço remoto: Dispositivos isolados só podem se comunicar com o dispositivo com este IP. Exemplo 1: Você quer ter acesso desktop remoto a um dispositivo isolado para poder solucionar problemas.

      • Selecione Conexão de entrada.

      • Em Porta Local, insira o número da porta. Exemplo 2: Você quer acessar um dispositivo isolado e baixar ferramentas de limpeza de um servidor.

      • Selecione Conexão de saída.

      • Em Endereço remoto, insira o endereço do servidor.
      • Para as exclusões de Arquivos ou pasta apenas, na lista suspensa Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.
      • Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Para obter mais informações sobre as exclusões que você pode usar, consulte:

Exclusões de mitigação de exploração

Você pode excluir aplicativos da proteção contra explorações de segurança. Por exemplo, você pode excluir um aplicativo erroneamente detectado como uma ameaça até que o problema seja resolvido.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Apresentação > Configurações globais > Exclusões globais, cria exclusões que se aplicam a todos os usuários e dispositivos.

Recomendamos que você use essa opção e atribua a política que contém a exclusão somente aos servidores onde a exclusão é necessária.

Nota

Você só pode criar exclusões para aplicativos do Windows.

Para criar uma política de exclusão de mitigação de exploração, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Mitigação de exploração (Windows).

    Uma lista dos aplicativos protegidos em sua rede é exibida.

  3. Selecione o aplicativo que deseja excluir.

  4. Se não vir o aplicativo desejado, clique em O aplicativo não está na lista?. Agora você pode excluir seu aplicativo da proteção inserindo o caminho do arquivo. Opcionalmente, use qualquer uma das variáveis.
  5. Em Mitigações, escolha entre o seguinte:
    • Desativar Proteger aplicativo. Seu aplicativo selecionado não é verificado em relação a explorações.
    • Mantenha Proteger aplicativo ativado e selecione os tipos de exploração que deseja ou não verificar.
  6. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista na página Exclusões globais.

    A exclusão se aplica somente a servidores aos quais você atribui essa política.

    Download de Reputação

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Exclusões de proteção contra ransomware

Você pode excluir aplicativos ou pastas usados por aplicativos da proteção contra ransomware.

Você pode excluir um aplicativo que tenha sido detectado incorretamente como uma ameaça ou um aplicativo incompatível com a proteção contra ransomware. Por exemplo, se você tiver um aplicativo que criptografa dados, pode excluí-lo. Isso nos impede de detectar o aplicativo como ransomware.

Ou talvez você queira excluir pastas usadas por aplicativos específicos que mostram problemas de desempenho quando monitorados por proteção contra ransomware. Por exemplo, você pode excluir pastas usadas por aplicativos de backup.

A adição de exclusões reduz sua proteção.

A adição de exclusões usando a opção global, Apresentação > Configurações globais > Exclusões globais, cria exclusões que se aplicam a todos os servidores.

Recomendamos que você use essa opção e atribua a política que contém a exclusão somente aos servidores onde a exclusão é necessária.

Para criar uma política de exclusão de proteção contra ransomware, siga este procedimento:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Em Tipo de exclusão, selecione Proteção contra ransomware (Windows).

  3. Escolha se deseja excluir um processo ou uma pasta.
  4. Em VALOR, insira o caminho do processo ou pasta que deseja excluir.

    Você pode usar variáveis aqui. Consulte Atenuação de exploits ou exclusões de ransomware: curingas e variáveis.

  5. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista na página Exclusões globais.

    A exclusão se aplica somente a servidores aos quais você atribui essa política.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos configurações e clique em Atualizar.

Nota

Você só pode criar exclusões para aplicativos do Windows.

Mensagens de desktop

Você pode adicionar uma mensagem ao final da notificação padrão. Se deixar a caixa de mensagem vazia, será exibida apenas a mensagem padrão.

Ativado é o default de Mensagens de desktop.

Clique na caixa de mensagem e insira o texto que deseja adicionar.

Voltar ao topo