Saltar al contenido

Estación: Protección contra amenazas

La protección contra amenazas le mantiene a salvo de programas maliciosos, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Usar configuración recomendada

Aviso

Considere la opción detenidamente antes de cambiar la configuración recomendada, ya que puede reducir la protección.

Haga clic en Usar configuración recomendada si desea usar la configuración que recomienda Sophos. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

En caso de que cambiemos nuestras recomendaciones en el futuro, se actualizaría automáticamente su política con la nueva configuración.

La configuración recomendada ofrece:

  • Detección de programas maliciosos conocidos.
  • Controles en la nube para permitir la detección de los últimos programas maliciosos conocidos por Sophos.
  • Detección proactiva de programas maliciosos que no se conocían.
  • Limpieza automática de programas maliciosos.

Para obtener más información sobre cómo se evalúan las amenazas, consulte el Centro de amenazas de Sophos.

Configurar la protección contra amenazas

Este vídeo explica cómo configurar una política de protección contra amenazas e incluye nuestras recomendaciones de prácticas recomendadas.

Deep Learning

El Deep Learning utiliza el Machine Learning avanzado para detectar amenazas. Puede identificar programas maliciosos conocidos y nuevos y aplicaciones no deseadas sin utilizar firmas.

El Deep Learning solo está disponible con Sophos Intercept X.

Live Protection

Live Protection compara los archivos sospechosos con el último malware de la base de datos de SophosLabs.

Puede seleccionar estas opciones:

Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online: Esta opción comprueba los archivos durante el escaneado en tiempo real.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real escanea los archivos cuando el usuario trata de acceder a ellos, y autoriza el acceso si el archivo está limpio.

Los archivos locales se escanean por defecto. También puede seleccionar Archivos remotos para escanear archivos en recursos compartidos de red.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos. Puede seleccionar estas opciones:

Escanear descargas en progreso

Bloquear el acceso a sitios web maliciosos: Esto deniega el acceso a sitios web que albergan programas maliciosos.

Detectar archivos de baja reputación: Esta opción avisa si una descarga tiene una reputación baja. La reputación se basa en el origen de un archivo, con qué frecuencia se descarga y otros factores.

Puede especificar:

  • Acción para descargas de baja reputación: Si selecciona Preguntar, los usuarios verán un aviso cuando descarguen un archivo de reputación baja. Pueden optar por permitir el archivo o eliminarlo. Esta es la opción predeterminada.
  • Nivel de reputación: Si selecciona Estricto, se detectarán archivos de reputación media y reputación baja. La opción predeterminada es Recomendado.

Consulte Reputación de descargas.

Remediación

Las opciones de remediación son:

  • Limpiar malware automáticamente: Sophos Central intentará limpiar el malware detectado automáticamente.

    Si la limpieza se realiza correctamente, la alerta del malware detectado se elimina de la lista de alertas. La detección y la limpieza aparecen en la lista de eventos.

    Nota

    Siempre limpiamos los archivos PE (portables ejecutables) como aplicaciones, bibliotecas y archivos de sistema, incluso si desactiva la limpieza automática. Los archivos PE se ponen en cuarentena y pueden restaurarse.

  • Activar creación de gráfico de amenazas: Los casos de amenazas le permiten investigar la cadena de acontecimientos de un ataque de malware e identificar las áreas en las que mejorar la seguridad.

Protección en tiempo de ejecución

Debe inscribirse en el programa de acceso temprano para utilizar algunas opciones.

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos. Puede seleccionar:

  • Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege los archivos de documentos contra programas maliciosos que restringen el acceso a los archivos y exigen un pago para recuperarlos. También puede optar por proteger equipos de 64 bits contra ransomware ejecutado desde una ubicación remota.

    • Protegerse de ataques de cifrado del sistema de archivos: Esta opción protege el ordenador del ransomware que cifra el sistema de archivos. Elija qué acción desea realizar si se detecta el ransomware. Puede finalizar los procesos de ransomware o aislarlos para impedir que escriban en el sistema de archivos.
  • Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el equipo contra los programas de ransomware que cifran el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.

  • Proteger funciones críticas en navegadores web (Navegación segura): Esta opción protege los navegadores web contra la explotación por parte de programas maliciosos.
  • Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más propensas a la explotación por parte de programas maliciosos. Puede seleccionar los tipos de aplicaciones que desea proteger.
  • Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de programas maliciosos.

    Puede seleccionar las opciones siguientes:

    • Impedir ataques de vaciado de procesos. Esta opción protege contra los ataques de sustitución de procesos.
    • Impedir que se carguen archivos DLL de carpetas de no confianza. Esta opción protege contra la carga de archivos .DLL desde carpetas que no son de confianza.
    • Impedir el robo de credenciales. Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
    • Impedir el uso de cuevas de código. Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
    • Impedir la infracción de APC. Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
    • Impedir el aumento de privilegios. Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.
  • Protección shellcode dinámica. Esta opción detecta el comportamiento de agentes de acceso remoto encubiertos y evita que los atacantes se hagan con el control de sus redes.

  • Validar invocador del protocolo CTF. Esta opción intercepta y bloquea las aplicaciones que intentan explotar CTF.

    Una vulnerabilidad en un componente de Windows, conocida solo como “CTF”, presente en todas las versiones anteriores hasta Windows XP, permite a un atacante no administrativo y no autorizado secuestrar cualquier proceso de Windows, incluidas las aplicaciones que se ejecutan en un espacio seguro.

  • Impedir la carga lateral de módulos no seguros. Esta opción evita que una aplicación cargue lateralmente un archivo DLL malicioso que se presente como un archivo ApiSet Stub DLL.

    Los archivos ApiSet Stub DLL son archivos DLL que sirven como proxy para mantener la compatibilidad entre aplicaciones anteriores y versiones más nuevas del sistema operativo. Los atacantes pueden colocar archivos ApiSet Stub DLL maliciosos para manipular esta funcionalidad, u omitir la protección contra manipulaciones y finalizar la protección antimalware.

  • Proteger las cookies del navegador utilizadas para el inicio de sesión con MFA. Esta opción evita que las aplicaciones no autorizadas descifren la clave AES utilizada para cifrar las cookies de autenticación multifactor (MFA).

  • Proteger el tráfico de red. Puede seleccionar las opciones siguientes:

    • Detectar conexiones maliciosas con servidores de comando y control. Esta opción detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
    • Impedir el tráfico de red malicioso con la inspección de paquetes (IPS). Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones.
  • Detectar comportamiento malicioso: Esta opción protege contra amenazas que no se conocen todavía. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.

  • Protección AMSI (con escaneado mejorado para las amenazas basadas en scripts): Esto protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft. El código enviado por AMSI se escanea antes de que se ejecute y Sophos notifica a las aplicaciones utilizadas para ejecutar el código de las amenazas Si se detecta una amenaza, se registra un evento. Puede evitar la eliminación del registro de AMSI en los ordenadores. Consulte Interfaz de análisis antimalware (AMSI).

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Aislamiento de dispositivo

Si selecciona esta opción, los dispositivos se aislarán de la red si su estado de seguridad es de color rojo. El estado de seguridad de un dispositivo es de color rojo si se han detectado amenazas, si tiene software no actualizado, si no cumple con las políticas o si no está debidamente protegido.

Puede seguir gestionando el dispositivo aislado desde Sophos Central. También puede utilizar exclusiones de escaneado o exclusiones globales para darles acceso limitado para resolver problemas.

No puede sacar estos dispositivos del aislamiento. Se volverán a comunicar con la red una vez que su estado de seguridad sea de color verde.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Puede seleccionar estas opciones:

  • Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.

    Nota

    La hora del escaneado programado es la hora de las estaciones (no una hora UTC).

  • Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones

Se pueden excluir archivos, carpetas, sitios web o aplicaciones del escaneado de amenazas, tal como se describe a continuación.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado (use una exclusión Exploits detectados).

Las exclusiones definidas en una política solo se usan para los usuarios a los que aplica la política.

Nota

Para aplicar exclusiones a todos sus usuarios y servidores, defina exclusiones globales en la página Configuración global > Exclusiones globales.

Para crear una política de exclusión de escaneado:

  1. Haga clic en Añadir exclusión (parte derecha de la página).

    Se abrirá el cuadro de diálogo Añadir exclusión.

  2. En la lista desplegable Tipo de exclusión, seleccione un tipo de elemento que deba excluirse (archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo).

  3. Especifique el elemento o elementos que desea excluir.
  4. Para las exclusiones de Archivos o carpetas solamente, en la lista desplegable Activo para especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
  5. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Mensaje de escritorio

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Activar los mensajes de escritorio para la protección contra amenazas está activado por defecto. Si desactiva esta opción, no verá ningún mensaje de notificación relacionado con la protección contra amenazas.

Introduzca el texto que desea añadir.