Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/enterprise/help/es-es/index.html?contextId=server-threat-protection-InterceptX-Advanced

Protección contra amenazas para servidores: Intercept X Advanced

Si tiene una licencia de Intercept X Advanced for Server, verá opciones en su política de protección contra amenazas adicionales a las opciones estándar de Server Protection.

Protección en tiempo de ejecución

Debe inscribirse en el programa de acceso temprano para utilizar algunas opciones.

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos en los ordenadores.

  • Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege los archivos de documentos contra programas maliciosos que restringen el acceso a los archivos y exigen un pago para recuperarlos. También puede optar por proteger equipos de 64 bits contra ransomware ejecutado desde una ubicación remota. Puede elegir qué acción desea realizar si se detecta ransomware. Puede finalizar cualquier proceso de ransomware que se esté ejecutando, o puede evitar que cualquier proceso de ransomware escriba en el sistema de archivos aislándolos.
  • Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el equipo contra los programas de ransomware que cifran el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.
  • Proteger funciones críticas en navegadores web (Navegación segura): Esta opción protege los navegadores web contra la explotación por parte de programas maliciosos.
  • Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más propensas a la explotación por parte de programas maliciosos. Puede seleccionar los tipos de aplicaciones que desea proteger.

  • Configuración de mitigación de exploits avanzada:

    • Impedir el robo de credenciales: Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
    • Impedir el uso de cuevas de código: Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
    • Impedir la infracción de APC: Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
    • Impedir el aumento de privilegios: Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema. Recomendamos probar esta configuración antes de aplicar la política a los servidores.

  • Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de programas maliciosos. Puede hacer lo siguiente:

    • Protegerse contra ataques de sustitución de procesos (ataques de vaciado de procesos).
    • Protegerse contra la carga de archivos .DLL por parte de carpetas que no son de confianza.

  • Activar seguimiento de bifurcaciones de CPU: La detección de código malicioso en la CPU es una función de los procesadores Intel que permite rastrear la actividad del procesador para su detección. La función es compatible en procesadores Intel con las siguientes arquitecturas: Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake y Kaby Lake.

    No es compatible si hay un hipervisor (legítimo) en el equipo.

  • Protección shellcode dinámica. Esta opción detecta el comportamiento de agentes de acceso remoto encubiertos y evita que los atacantes se hagan con el control de sus redes.

  • Validar invocador del protocolo CTF. Esta opción intercepta y bloquea las aplicaciones que intentan explotar CTF.

    Una vulnerabilidad en un componente de Windows, conocida solo como “CTF”, presente en todas las versiones anteriores hasta Windows XP, permite a un atacante no administrativo y no autorizado secuestrar cualquier proceso de Windows, incluidas las aplicaciones que se ejecutan en un espacio seguro.

  • Impedir la carga lateral de módulos no seguros. Esta opción evita que una aplicación cargue lateralmente un archivo DLL malicioso que se presente como un archivo ApiSet Stub DLL.

    Los archivos ApiSet Stub DLL son archivos DLL que sirven como proxy para mantener la compatibilidad entre aplicaciones anteriores y versiones más nuevas del sistema operativo. Los atacantes pueden colocar archivos ApiSet Stub DLL maliciosos para manipular esta funcionalidad, u omitir la protección contra manipulaciones y finalizar la protección antimalware.

  • Proteger las cookies del navegador utilizadas para el inicio de sesión con MFA. Esta opción evita que las aplicaciones no autorizadas descifren la clave AES utilizada para cifrar las cookies de autenticación multifactor (MFA).

  • Detecciones en tiempo de ejecución de Linux: Esto le proporciona visibilidad y detección de amenazas en tiempo de ejecución para contenedores y cargas de trabajo en servidores Linux. Puede gestionar estas alertas en el Centro de análisis de amenazas de Sophos Central Admin.

    Necesita una licencia de Intercept X Advanced for Server with XDR o Server MTR para utilizar esta opción.

Deep Learning

El Deep Learning utiliza el Machine Learning avanzado para detectar amenazas. Puede identificar programas maliciosos conocidos y nuevos y aplicaciones no deseadas sin utilizar firmas.

Remediación

  • Activar creación de gráfico de amenazas: Los casos de amenazas le permiten investigar la cadena de acontecimientos de un ataque de malware e identificar las áreas en las que mejorar la seguridad.