Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/enterprise/help/es-es/index.html?contextId=endpoint-threat-protection

Endpoint: Protección contra amenazas

La protección contra amenazas le mantiene a salvo de malware, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

Nota

Esta página describe la configuración de la política para las estaciones de trabajo. Para los servidores se aplican diferentes ajustes de políticas.

El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Usar configuración recomendada

Aviso

Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.

En caso de que cambiemos nuestras recomendaciones en el futuro, se actualizaría automáticamente su política con la nueva configuración.

La configuración recomendada ofrece:

  • Detección de malware conocido.
  • Controles en la nube para permitir la detección de los últimos programas maliciosos conocidos por Sophos.
  • Detección proactiva de malware que no se conocía.
  • Limpieza automática de programas maliciosos.

Para obtener más información sobre cómo se evalúan las amenazas, consulte el Centro de amenazas de Sophos.

Deep Learning

El Deep Learning utiliza el Machine Learning avanzado para detectar amenazas. Puede identificar programas maliciosos conocidos y nuevos y aplicaciones no deseadas sin utilizar firmas.

El Deep Learning solo está disponible con Sophos Intercept X.

Live Protection

Live Protection compara los archivos sospechosos con el último malware de la base de datos de SophosLabs.

Puede seleccionar estas opciones:

Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online: Esta opción comprueba los archivos durante el escaneado en tiempo real.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real escanea los archivos cuando el usuario trata de acceder a ellos, y autoriza el acceso si el archivo está limpio.

Los archivos locales se escanean por defecto. También puede seleccionar Archivos remotos para escanear archivos en recursos compartidos de red.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos. Puede seleccionar estas opciones:

Escanear descargas en progreso: Esta opción de configuración controla si escaneamos las descargas y los elementos de la página antes de que lleguen al navegador.

  • Conexiones HTTP: Escaneamos todos los elementos y descargas.
  • Conexiones HTTPS: No escaneamos ningún elemento, a menos que active Descifrar sitios web mediante SSL/TLS.

Bloquear el acceso a sitios web maliciosos: Esto deniega el acceso a sitios web que albergan programas maliciosos.

Detectar archivos de baja reputación: Esta opción de configuración comprueba la reputación de las descargas en función del origen del archivo, la frecuencia con la que se descarga, etc. Utilice las siguientes opciones para decidir cómo se gestionan las descargas.

Puede especificar:

  • Acción para descargas de baja reputación: Elija una de estas opciones:

    • Preguntar al usuario: Cuando se selecciona la descarga de un archivo con una reputación desconocida o baja, se pide al usuario que lo bloquee o que dé su consentimiento y permita la descarga. Esta es la opción predeterminada.
    • Solo registrar: Los detalles del archivo descargado se guardan en el registro local, pero el usuario no recibirá ningún aviso.

  • Nivel de reputación: Elija una de estas opciones:

    • Recomendado: Los archivos de baja reputación se bloquean automáticamente. Esta es la opción predeterminada.
    • Estricto: Las descargas de media y baja reputación se bloquean automáticamente y se notifican a Sophos Central.

Consulte Reputación de descargas.

Remediación

Las opciones de remediación son:

  • Limpiar malware automáticamente: Sophos Central limpia automáticamente el malware detectado y registra la limpieza. Puede verlo en la lista Eventos.

    Restricción

    Los equipos Windows siempre limpian los elementos detectados, independientemente de esta opción de configuración. Puede restaurar elementos que hayan sido limpiados en Windows. No puede restaurar estos elementos en Mac, pero aun así le recomendamos que active la limpieza automática en Mac.

    Cuando Sophos Central limpia un archivo, lo elimina de su ubicación actual y lo pone en cuarentena en SafeStore. Los archivos permanecen en SafeStore hasta que se permiten o se eliminan con el objetivo de dejar espacio para nuevas detecciones. Puede restaurar los archivos en cuarentena en SafeStore añadiéndolos a Aplicaciones permitidas. Consulte Aplicaciones permitidas.

    SafeStore tiene los siguientes límites predeterminados:

    • El límite de un único archivo es de 100 GB.
    • El límite de tamaño total de la cuarentena es de 200 GB.
    • El número máximo de archivos almacenados es 2000.

  • Activar creación de gráfico de amenazas: Los casos de amenazas le permiten investigar la cadena de acontecimientos de un ataque de malware e identificar las áreas en las que mejorar la seguridad.

Protección en tiempo de ejecución

Debe inscribirse en el programa de acceso temprano para utilizar algunas opciones.

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos. Puede seleccionar:

Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege los archivos de documentos contra programas maliciosos que restringen el acceso a los archivos y exigen un pago para recuperarlos. También puede optar por proteger equipos de 64 bits contra ransomware ejecutado desde una ubicación remota.

También puede utilizar estas opciones:

  • Proteger de ransomware ejecutado de forma remota: Esto garantiza la protección en toda la red. Recomendamos que deje activada esta opción.
  • Protegerse de ataques de cifrado del sistema de archivos: Esta opción protege el ordenador del ransomware que cifra el sistema de archivos. Elija qué acción desea realizar si se detecta el ransomware. Puede finalizar los procesos de ransomware o aislarlos para impedir que escriban en el sistema de archivos.

Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el equipo contra los programas de ransomware que cifran el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.

Proteger funciones críticas en navegadores web (Navegación segura): Esta opción protege los navegadores web contra la explotación por parte de programas maliciosos.

Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más propensas a la explotación por parte de programas maliciosos. Puede seleccionar los tipos de aplicaciones que desea proteger.

Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de malware. Puede seleccionar las opciones siguientes:

  • Impedir ataques de vaciado de procesos: Esta opción protege contra los ataques de sustitución de procesos.

    Si desactiva esta opción, los ciberdelincuentes podrán burlar su software de seguridad con mayor facilidad.

  • Impedir que se carguen archivos DLL de carpetas de no confianza: Esta opción protege contra la carga de archivos .DLL desde carpetas que no son de confianza.

  • Impedir el robo de credenciales: Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
  • Impedir el uso de cuevas de código: Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
  • Impedir la infracción de APC: Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
  • Impedir el aumento de privilegios: Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.

Protección shellcode dinámica: Esta opción detecta el comportamiento de agentes de acceso remoto encubiertos y evita que los atacantes se hagan con el control de sus redes.

Validar invocador del protocolo CTF: Esta opción intercepta y bloquea las aplicaciones que intentan explotar CTF.

Una vulnerabilidad en un componente de Windows, conocida solo como “CTF”, presente en todas las versiones anteriores hasta Windows XP, permite a un atacante no administrativo y no autorizado secuestrar cualquier proceso de Windows, incluidas las aplicaciones que se ejecutan en un espacio seguro.

Impedir la carga lateral de módulos no seguros: Esta opción evita que una aplicación cargue lateralmente un archivo DLL malicioso que se presente como un archivo ApiSet Stub DLL.

Los archivos ApiSet Stub DLL son archivos DLL que sirven como proxy para mantener la compatibilidad entre aplicaciones anteriores y versiones más nuevas del sistema operativo. Los atacantes pueden colocar archivos ApiSet Stub DLL maliciosos para manipular esta funcionalidad, u omitir la protección contra manipulaciones y finalizar la protección antimalware.

Desactivar esta opción reduce significativamente la protección.

Proteger las cookies del navegador utilizadas para el inicio de sesión con MFA. Esta opción evita que las aplicaciones no autorizadas descifren la clave AES utilizada para cifrar las cookies de autenticación multifactor (MFA).

Impedir que cargas maliciosas se conecten a servidores de comando y control: Esta configuración identifica y bloquea las cargas que intentan eludir la detección permaneciendo cifradas.

Supervisar el uso de las API de controladores: Esta configuración detecta intentos de abuso de las API que normalmente usan aplicaciones legítimas, como impresoras o adaptadores de red virtual, para interactuar con el código en modo kernel.

Evitar el uso malintencionado de instrucciones de llamadas del sistema: Este parámetro bloquea los intentos de eludir la monitorización mediante llamadas directas a las API del sistema.

Prevenir el abuso de los puntos de interrupción de hardware: Este parámetro evita el abuso de los puntos de interrupción de hardware.

Proteger el tráfico de red

  • Detectar conexiones maliciosas con servidores de comando y control. Esto detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
  • Impedir el tráfico de red malicioso con la inspección de paquetes (IPS). Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones.

Detectar comportamiento malicioso: Esta opción protege contra amenazas que no se conocen todavía. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.

Protección AMSI (con escaneado mejorado para las amenazas basadas en scripts): Esto protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft. El código enviado por AMSI se escanea antes de que se ejecute y Sophos notifica a las aplicaciones utilizadas para ejecutar el código de las amenazas Si se detecta una amenaza, se registra un evento. Puede evitar la eliminación del registro de AMSI en los ordenadores. Consulte Interfaz de análisis antimalware (AMSI).

Impedir eliminación del registro de AMSI: Esta opción de configuración garantiza que AMSI no se pueda eliminar de sus equipos.

Protección adaptativa contra ataques

Activar automáticamente protecciones adicionales cuando un dispositivo sufra un ataque: Este parámetro habilita un conjunto más agresivo de protecciones cuando se detecta un ataque. Estas protecciones adicionales están diseñadas para interrumpir las acciones de un atacante.

También puede activar las funciones de Protección adaptativa contra ataques de forma permanente.

  • Activar la protección en modo seguro: Esta opción habilita la protección de Sophos cuando los dispositivos se ejecutan en el modo seguro. Algunos componentes y características, como el repetidor de mensajes y la caché de actualización, no están disponibles en el modo seguro.

  • Bloquear el uso indebido del modo seguro: Esta opción detecta y bloquea las actividades que indican que un atacante está intentando poner el dispositivo en modo seguro.

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Bloquear conexiones de navegador QUIC

En dispositivos Mac, solamente puede utilizar esta función si forma parte del Early Access Program.

Seleccione Bloquear acceso de navegador QUIC (Quick UDP Internet Connections) a los sitios web para evitar estas conexiones.

Los navegadores habilitados para QUIC pueden eludir nuestra comprobación de sitios web para algunas páginas. El bloqueo de QUIC garantiza que apliquemos el descifrado SSL/TLS y la comprobación a esos sitios.

Por defecto, esta opción está desactivada.

Descifrado SSL/TLS de sitios web HTTPS

En dispositivos Mac, solamente puede utilizar esta función si forma parte del Early Access Program.

Si selecciona Descifrar sitios web mediante SSL/TLS, desciframos y comprobamos el contenido de los sitios web HTTPS en busca de amenazas en los ordenadores de sus clientes.

Si desciframos un sitio web que es de riesgo, lo bloqueamos. Mostramos al usuario un mensaje y le damos la opción de enviar el sitio a SophosLabs para que lo vuelvan a evaluar.

De forma predeterminada, el descifrado está desactivado.

Nota

Si el descifrado está activado en la política de protección contra amenazas para un dispositivo, también se utiliza para las comprobaciones de la política de control web en el mismo dispositivo.

Si activa esta opción, sus clientes no podrán realizar cambios.

Nota

Si sus clientes participan en el EAP "Nuevas funciones de Endpoint Protection", pueden activar o desactivar el descifrado para sitios web HTTPS. Pueden realizar cambios en la configuración que elija.

Aislamiento de dispositivo

Si selecciona esta opción, los dispositivos se aislarán de la red si su estado de seguridad es de color rojo. El estado de seguridad de un dispositivo es de color rojo si se han detectado amenazas, si tiene software no actualizado, si no cumple con las políticas o si no está debidamente protegido.

Nota

Sophos Central utiliza una gama más amplia de factores para determinar el estado de seguridad. Esto puede significar que notifica un estado de seguridad de un dispositivo diferente al del propio dispositivo. Esto no afecta al aislamiento. Solo utilizamos un estado de seguridad rojo emitido por un dispositivo para aislarlo.

Puede seguir gestionando el dispositivo aislado desde Sophos Central. También puede utilizar exclusiones de escaneado o exclusiones globales para darles acceso limitado para resolver problemas.

No puede sacar estos dispositivos del aislamiento. Se volverán a comunicar con la red una vez que su estado de seguridad sea de color verde.

Le recomendamos que evalúe el impacto de esta opción en su red antes de aplicarla. Para ello, actívela en una política y aplique la política a una muestra representativa de dispositivos.

Nota

Cuando los dispositivos de sus usuarios se aíslan, aparentemente aún pueden acceder a sus archivos de red. Esto se debe a la función de Windows "Siempre disponible sin conexión", que crea copias locales de unidades de red asignadas a las que los usuarios pueden acceder mientras están desconectados. Este comportamiento no afecta al aislamiento del dispositivo.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

El escaneado programado es una técnica heredada para detectar malware. Rara vez es necesario ahora que disponemos de escaneado en segundo plano. Puede aumentar la carga del sistema y ralentizar considerablemente el escaneado. Le recomendamos que no utilice escaneados programados a menos que sea necesario.

Puede seleccionar estas opciones:

  • Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.

    Nota

    La hora del escaneado programado es la hora de las estaciones (no una hora UTC).

  • Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

El escaneado programado solo tiene lugar cuando el ordenador está online. Si el ordenador está sin conexión a la hora del escaneado programado, el escaneado no se ejecutará. El sistema iniciará un escaneado a la siguiente hora programada, siempre que el ordenador esté online.

Exclusiones

Se pueden excluir archivos, carpetas, sitios web o aplicaciones del escaneado de amenazas, tal como se describe a continuación.

Restricción

No puede crear una exclusión "Mitigación de exploits y supervisión de actividad (Windows)" en la página Plantillas globales.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado. Utilice una exclusión Exploits detectados.

Las exclusiones definidas en una política solo se usan para los usuarios a los que aplica la política.

Nota

Para aplicar exclusiones a todos sus usuarios y servidores, puede definir exclusiones globales. En Sophos Central Admin, vaya a Mis productos > Configuración general > Exclusiones globales.

Para crear una exclusión de escaneado de políticas, haga lo siguiente:

  1. En Exclusiones de políticas, haga clic en Añadir exclusión.

  2. En Añadir exclusión, haga lo siguiente:

    1. En Tipo de exclusión, seleccione un tipo de elemento para excluir. Por ejemplo, archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo.

    2. En Valor, especifique el elemento o elementos que desea excluir. Para obtener más información sobre las exclusiones, consulte Utilizar las exclusiones de forma segura.

      Debe introducir datos adicionales en función del tipo de exclusión.

    3. Haga clic en Añadir. La exclusión se añade a la lista de exclusiones de escaneado.

    4. (Opcional) Haga clic en Añadir otra para añadir otra exclusión.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Mensaje de escritorio

Mensaje de escritorio le envía notificaciones sobre eventos de protección contra amenazas. Está activado por defecto.

Puede introducir su propio mensaje para añadirlo al final de las notificaciones estándar.