Server Threat Protection

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici, al fine di garantire i massimi livelli di protezione.

È possibile utilizzare le impostazioni consigliate, oppure modificarle.

Intercept X Advanced for Server

Se si è in possesso di questa licenza, il criterio di protezione contro le minacce offrirà sicurezza contro ransomware ed exploit, con rilevamento delle minacce indipendente dalle firme e analisi delle cause all'origine degli eventi delle minacce.

Si consiglia di utilizzare queste impostazioni per i massimi livelli di protezione.

Se si abilitano una o più funzionalità, i server assegnati a questo criterio utilizzeranno una licenza Intercept X Advanced for Server.

Vedere Intercept X Advanced for Server.

Impostazioni predefinite di Server Protection

Si consiglia di lasciare attivate queste impostazioni. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione. Vedere Impostazioni predefinite del criterio di Server Threat Protection.

Queste impostazioni offrono:

• Rilevamento del malware noto.
• Verifiche nel cloud per abilitare il rilevamento del più recente malware noto a Sophos.
• Rilevamento proattivo del malware inedito.
• Rimozione automatica del malware.
• Esclusione automatica dalla scansione per le attività delle applicazioni note.

Live Protection

Live Protection analizza i file sospetti confrontando i dati con le informazioni sulle minacce disponibili nel database dei SophosLabs. Questo aiuta a rilevare le minacce più recenti e a evitare falsi positivi.

Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

Deep Learning

Il deep learning rileva automaticamente le minacce, in particolare quelle nuove e sconosciute, che non sono mai state osservate prima. Utilizza il machine learning e non dipende dalle firme.

Scansione in tempo reale - File locali e condivisioni di rete

La scansione in tempo reale verifica la presenza di malware noto nei file, al momento dell’accesso e dell’aggiornamento. Impedisce alle applicazioni legittime di eseguire programmi noti per essere dannosi e di aprire file infetti.

L’opzione Scansione esegue la scansione in tempo reale di file locali e remoti (file a cui si accede dalla rete) per impostazione predefinita.

Selezionare Locale se si desidera analizzare solo i file sul dispositivo.

• in lettura: Questa opzione abilita la scansione dei file al momento dell’apertura.
• in scrittura: Questa opzione abilita la scansione dei file al momento del salvataggio.

Abilita la scansione per l’agente di Server Protection per Linux: questa opzione permette di eseguire la scansione in tempo reale sui dispositivi Linux.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi.

Eseguire la scansione sui download in corso

Questa impostazione controlla se i download e gli elementi della pagina debbano essere sottoposti a scansione prima di raggiungere il browser.

• Connessioni HTTP: tutti gli elementi e tutti i download vengono sottoposti a scansione.
• Connessioni HTTPS: nessun elemento viene sottoposto a scansione, a meno che non venga attivata l’opzione Decrittografa siti web utilizzando SSL/TLS.

Bloccare l’accesso ai siti Web dannosi

Questa opzione nega l’accesso a siti web noti per ospitare malware.

Viene eseguita una verifica della reputazione per sapere se il sito è noto per ospitare contenuti dannosi (ricerca SXL4). Se si disattiva Live Protection, verrà disattivata anche questa verifica.

• Connessioni HTTP: tutti gli URL vengono verificati, incluse le richieste HTTP GET complete.
• Connessioni HTTPS: gli URL di base vengono verificati con l’Indicazione nome server (SNI). Se si attiva Decrittografa siti web utilizzando SSL/TLS, verranno verificati tutti gli URL, incluse le richieste HTTP GET complete.

Rilevamento dei download con reputazione bassa

Questa impostazione verifica la reputazione dei download in base all’origine del file, alla frequenza con cui viene scaricato e ad altre caratteristiche. Utilizzare le seguenti opzioni per decidere come devono essere gestiti i download.

Impostare l’Azione da intraprendere su Richiedi conferma all’utente: gli utenti finali vedranno un avviso quando viene scaricato un file con reputazione bassa. Potranno quindi scegliere di considerare il file attendibile, oppure di eliminarlo. Si tratta dell’impostazione predefinita.

Impostare il Livello di reputazione su una delle seguenti opzioni:

• Consigliato: i file con reputazione bassa verranno bloccati automaticamente. Si tratta dell’impostazione predefinita.
• Rigido: i download con reputazione media e bassa verranno automaticamente bloccati e segnalati a Sophos Central.

Per maggiori informazioni sui livelli di reputazione, vedere Reputazione dei download.

Scansione in tempo reale - Opzioni

Escludi automaticamente l'attività di applicazioni note: Questa impostazione esclude le applicazioni più comunemente utilizzate, in base alle raccomandazioni dei rispettivi vendor.

Per maggiori informazioni, vedere Esclusione automatica di prodotti di terze parti

Correzione

Abilita creazione di grafici delle minacce: Questa opzione permette di indagare sulla catena di eventi di un attacco malware. Consigliamo di attivarla, in modo da permettere l’analisi degli attacchi che abbiamo rilevato e bloccato.

Sophos Central rimuove automaticamente gli elementi malevoli rilevati sui computer Windows e sui dispositivi Linux che eseguono Sophos Protection for Linux. Sophos Central rimuove il file dalla posizione attuale e lo mette in quarantena in SafeStore. I file rimarranno in SafeStore fino a quando non verranno autorizzati o rimossi per fare spazio a nuovi rilevamenti. I file messi in quarantena in SafeStore possono essere ripristinati aggiungendoli alle Applicazioni autorizzate. Vedere Applicazioni autorizzate.

SafeStore ha i seguenti limiti predefiniti:

• Le dimensioni massime per un singolo file sono pari a 100 GB.
• Il limite totale per le dimensioni della quarantena è pari a 200 GB.
• Il numero massimo di file in archiviazione è 2.000.

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli.

Proteggi i file di documento da ransomware (CryptoGuard): Questa impostazione difende il sistema dalle categorie di malware che agiscono limitando l’accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. Questa funzionalità è attivata per impostazione predefinita. Si consiglia vivamente di lasciarla attivata.

È anche possibile utilizzare le seguenti opzioni:

• Proteggi contro ransomware eseguito in remoto: Questa opzione garantisce protezione all’interno dell’intera rete. Si consiglia di lasciarla attivata.
• Proteggi contro attacchi di cifratura dei file system: Questa opzione protegge i dispositivi a 64 bit dal ransomware che agisce crittografando il file system. Se viene rilevato del ransomware, si può scegliere quale azione eseguire. È possibile terminare i processi di ransomware o isolarli per impedire che scrivano sul file system.

Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il dispositivo dai ransomware che crittografano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa impostazione protegge i browser web dagli exploit da parte dei malware che agiscono sfruttando il browser web.

Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra le seguenti opzioni:

• Impedisci attacchi di process hollowing: Detti anche “sostituzione del processo” o DLL injection. Di solito i cybercriminali utilizzano questa tecnica per caricare codice dannoso in un’applicazione legittima, al fine di eludere i software di sicurezza.

  Se si disattiva questa impostazione, per gli hacker risulterà più facile eludere i software di sicurezza.

• Impedisci il caricamento di DLL da cartelle non attendibili: Questa opzione protegge il sistema dal caricamento di file .DLL da cartelle non attendibili.

• Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
• Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
• Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
• Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Protezione dinamica dello shellcode: Questa opzione rileva il comportamento tipico degli agenti di comando e controllo remoti nascosti, impedendo ai cybercriminali di ottenere il controllo delle reti.

Convalida chiamante Protocollo CTF: Questa impostazione blocca le applicazioni che cercano di sfruttare una vulnerabilità in CTF, un componente presente in tutte le versioni di Windows. Questa vulnerabilità permette a un hacker che non ha privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, incluse le applicazioni in esecuzione in una sandbox. Si consiglia di attivare l’opzione Convalida chiamante Protocollo CTF.

Impedisci sideload di moduli non sicuri: Questa impostazione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL. Le ApiSet Stub DLL svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono utilizzare ApiSet Stub DLL dannose per bypassare il blocco rimozione e arrestare la protezione antimalware.

Proteggi i cookie del browser con l'accesso tramite autenticazione a più fattori (MFA): Questa impostazione impedisce alle applicazioni non autorizzate di decrittografare la chiave AES utilizzata per crittografare i cookie dell’autenticazione a fattori multipli (MFA).

Impedisci l’uso dannoso di istruzioni SysCall: Questa impostazione blocca i tentativi di eludere il monitoraggio per mezzo di chiamate dirette alle API di sistema.

Impedisci uso improprio del punto di interruzione dell’hardware: Questa impostazione impedisce l’uso improprio dei punti di interruzione dell’hardware.

Proteggi traffico di rete

• Rileva le connessioni malevole verso i server di comando e controllo (C&C) Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
• Previeni il traffico di rete malevolo con l'ispezione dei pacchetti: Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni. Questa opzione è disattivata per impostazione predefinita.

Rilevamenti di runtime su Linux: Questa impostazione offre visibilità su runtime e rilevamento delle minacce per i workload dei server e i container Linux. Questi avvisi possono essere gestiti nel Centro di analisi delle minacce. Vedere Rilevamenti.

Impedisci ai beacon dannosi di connettersi ai server di comando e controllo: Questa impostazione identifica e blocca i beacon che cercano di eludere il rilevamento rimanendo crittografati.

Monitora l’uso di API del driver: Questa impostazione rileva i tentativi di utilizzo improprio delle API normalmente utilizzate da applicazioni legittime (come stampanti o schede di rete virtuali) per interagire con il codice in modalità kernel.

Rileva comportamento dannoso: Questa impostazione protegge i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere dannosi.

Protezione AMSI: Questa impostazione protegge i sistemi dal codice dannoso (inviato ad es. tramite script di PowerShell) utilizzando l’Antimalware Scan Interface (AMSI) di Microsoft.

Il codice inoltrato tramite AMSI viene sottoposto a scansione prima dell’esecuzione e l’endpoint invia una notifica sulle minacce alle applicazioni utilizzate per eseguire codice. Se il sistema rileva una minaccia, viene creato un evento nel log.

Impedisci la rimozione della registrazione ad AMSI: Questa impostazione garantisce che AMSI non possa essere rimossa dai computer.

Monitora gli eventi del controller di dominio: questa impostazione fornisce maggiore visibilità e protezione dagli attacchi che colpiscono i controller di dominio, come PetitPotam. Questa impostazione è attivata per impostazione predefinita.

Abilita Sophos Security Heartbeat: questa impostazione invia report sullo stato di integrità del server a ciascun Sophos Firewall registrato al proprio account Sophos Central. Se è registrato più di un solo firewall, i report verranno inviati a quello più vicino che risulta disponibile. Se un report indica che un server potrebbe essere compromesso, il firewall sarà in grado di limitarne l'accesso.

Protezione adattiva contro gli attacchi

Attiva automaticamente funzionalità di protezione aggiuntive quando un dispositivo si trova sotto attacco: Questa impostazione abilita un set più aggressivo di soluzioni di protezione quando viene rilevato un attacco. Queste protezioni aggiuntive sono progettate per bloccare le azioni di un utente malintenzionato.

È anche possibile attivare le funzionalità della Protezione adattiva contro gli attacchi in modo permanente.

• Abilita protezione in modalità provvisoria: Questa impostazione abilita la protezione Sophos quando i dispositivi si eseguono in modalità provvisoria. Alcuni componenti e funzionalità, come i Relay dei messaggi e le Cache degli aggiornamenti, non sono disponibili in modalità provvisoria.
• Blocca uso improprio della modalità provvisoria: Questa impostazione rileva e blocca le attività che indicano che un utente malintenzionato sta cercando di attivare la modalità provvisoria del dispositivo.

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.

Blocca connessioni browser tramite QUIC

Selezionare Blocca l’accesso del browser ai siti web tramite QUIC (Quick UDP Internet Connections) per bloccare queste connessioni.

Per alcuni siti, i browser nei quali è abilitato QUIC possono bypassare la nostra verifica dei siti web. Bloccando QUIC, vengono applicate la decrittografia SSL/TLS e la verifica di tali siti.

Questa opzione è disattivata per impostazione predefinita.

Decifratura SSL/TLS di siti web HTTPS

Se si seleziona Decrittografa siti web HTTPS utilizzando SSL/TLS, i contenuti dei siti web HTTPS vengono decrittografati ed esaminati, per individuare eventuali minacce.

Se decrittografiamo un sito web rischioso, viene bloccato. Mostriamo all’utente un messaggio e offriamo la possibilità di inviare il sito ai SophosLabs per eseguirne una nuova valutazione.

Per impostazione predefinita, la decrittografia è disattivata.

Se la decrittografia HTTPS è attivata nel criterio applicabile a un dispositivo:

• La decrittografia HTTPS è attiva anche per le verifiche del Controllo web sullo stesso dispositivo.
• Le funzionalità di protezione di Scansione in tempo reale - Internet possono anche accedere a tutti i contenuti del sito, a tutti i download e a tutti gli URL delle pagine.

Esclusioni dalla decrittografia HTTPS

Per impostazione predefinita, alcune categorie di siti vengono escluse dalla decrittografia, ad esempio Internet banking e webmail. Questo è dovuto al fatto che i siti appartenenti a queste categorie contengono informazioni personali.

Le esclusioni possono essere modificate nelle impostazioni generali. Selezionare Prodotti > Impostazioni generali > Generale > Decrittografia SSL/TLS di siti web HTTPS.

Scansione in tempo reale per Linux

Selezionando Abilita la scansione per l’Agente di Server Protection per Linux, i file verranno sottoposti a scansione quando gli utenti cercano di aprirli. Se il file è pulito, l’accesso viene autorizzato.

Per impostazione predefinita, la scansione in tempo reale per Linux è disattivata.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

La scansione pianificata potrebbe non essere necessaria quando è attivata la scansione in tempo reale. Tuttavia, può essere comunque utile per diversi casi di utilizzo, tra cui controllare file meno recenti e contribuire alle indagini di sicurezza. Si consiglia di eseguire scansioni pianificate durante le ore con meno traffico, per ridurre al minimo i potenziali effetti sul carico di sistema. Inoltre, consigliamo di utilizzare la scansione in tempo reale, che analizza i file al momento dell’accesso o della modifica, anziché fare affidamento solo sugli intervalli tra le scansioni pianificate. Vedere Scansione in tempo reale - File locali e condivisioni di rete.

È possibile selezionare tra le seguenti opzioni:

• Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

  L’ora in cui viene eseguita la scansione pianificata è la stessa dei computer endpoint (non UTC).

• Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce procedendo come indicato di seguito.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato. Utilizzare un’esclusione Exploit rilevati.

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti ai quali viene applicato il criterio.

Per creare un’esclusione dalla scansione in un criterio:

1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

   Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

2. Nell'elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).

3. Specificare l’elemento o gli elementi da escludere.
4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.
5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Esclusioni dalla scansione

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce.

Le esclusioni impostate in un criterio vengono utilizzate solamente per i server ai quali viene applicato il criterio.

Per maggiori informazioni sull’utilizzo delle esclusioni, vedere Utilizzo sicuro delle esclusioni.

Per creare un’esclusione dalla scansione, procedere come segue:

1. In Esclusioni, cliccare su Aggiungi esclusione.
2. Nella finestra di dialogo Aggiungi esclusione, in Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).

3. Specificare l’elemento o gli elementi da escludere. Sono applicabili le seguenti regole:

   • File o cartella (Windows): In Windows è possibile escludere un’unità, cartella o file specificandone il percorso completo. È possibile utilizzare caratteri jolly e variabili. Vedere i seguenti esempi.

     • Cartella: C:\programdata\adobe\photoshop\
     • Unità intera: D:
     • File: C:\program files\program*.vmg

   • File o cartella (Linux): Su Linux, è possibile escludere una cartella o file. È possibile utilizzare i caratteri jolly ? e *. Esempio: /mnt/hgfs/excluded.

   • Processo (Windows): È possibile escludere qualsiasi processo eseguito da un’applicazione. Questa opzione esclude anche i file utilizzati dal processo stesso (solo in caso di accesso da parte del processo in questione). Se possibile, inserire il percorso completo dell’applicazione, piuttosto che il solo nome del processo visualizzato in Gestione attività. Esempio: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe

     Note

     Per visualizzare tutti i processi o altri elementi da escludere per un’applicazione, consultare la documentazione fornita dal vendor.

   • Sito Web (Windows): È possibile specificare siti web utilizzando indirizzi IP, intervalli di indirizzi IP (in notazione CIDR) o domini. Esempi:

     • Indirizzo IP: 192.168.0.1
     • Intervallo di indirizzi IP: 192.168.0.0/24 L’appendice /24 rappresenta il numero di bit nel prefisso comune a tutti gli indirizzi IP di questo intervallo. Pertanto, /24 è uguale alla netmask 11111111.11111111.11111111.00000000, o 255.255.255.0 nella rappresentazione decimale. Nel nostro esempio, l’intervallo include tutti gli indirizzi IP da 192.168.0.0 a 192.168.0.255.
     • Dominio: google.com

     Se si esclude un sito web, la categoria del sito web non verrà verificata e il sito sarà escluso dalla protezione del controllo web. Vedere Controllo web server.

   • Applicazione potenzialmente indesiderata (Windows/Mac/Linux): Le applicazioni potenzialmente indesiderate (PUA) sono programmi che non sono progettati per essere dannosi, ma che potrebbero essere inadatti agli ambienti aziendali. Potrebbero ad esempio comportare rischi per la privacy, la sicurezza o l’esperienza utente nell’ambiente di un’organizzazione. I clienti possono autorizzare le PUA nel proprio ambiente, in base alle loro esigenze aziendali. Specificare l’esclusione utilizzando lo stesso nome con cui è stata rilevata dal sistema, ad esempio PsExec o Cain n Abel.

   • Exploit rilevati (Windows/Mac). È possibile escludere gli exploit rilevati utilizzando un ID di rilevamento. Questa opzione può essere utile quando si sta cercando di risolvere il rilevamento di un falso positivo con l’assistenza del Supporto Sophos. Il Supporto Sophos può fornire un ID di rilevamento che permette di escludere il falso positivo. Per procedere in questo modo, cliccare su Exploit non elencato? e immetterne l’ID.

4. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Esclusione dall’hashing

L’esclusione dall’hashing blocca l’hashing dei file per i journal di Sophos e per il Data Lake, e questo può avere ripercussioni sulla performance.

Per aggiungere un’esclusione dall’hashing, procedere come segue:

1. In Esclusioni, cliccare su Aggiungi esclusione.

2. Nella finestra di dialogo Aggiungi esclusione, procedere come segue:

   1. In Tipo di esclusione, selezionare Esclusione dall’hashing (Windows).
   2. In File/cartella o processo, selezionare un file o una cartella, oppure un processo.
   3. In Valore, inserire il percorso di esclusione. È possibile escludere unità, cartelle o file È anche possibile utilizzare caratteri jolly. Vedere Esclusioni dalla scansione Windows.
   4. Cliccare su Aggiungi.

3. Nella pagina Protezione contro le minacce, cliccare su Salva.

Messaggistica desktop

È possibile aggiungere un messaggio al termine delle notifiche standard. Se si lascia vuota la casella del messaggio, verrà visualizzato solamente il messaggio standard.

La Abilita la messaggistica desktop per la protezione dalle minacce è abilitata per impostazione predefinita. Disattivandola, non verrà visualizzato alcun messaggio di notifica relativo alla protezione contro le minacce.

Immettere il testo che si desidera aggiungere.