Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/enterprise/help/pt-br/index.html?contextId=endpoint-threat-protection

Endpoint: Proteção contra ameaças

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Usar configurações recomendadas

Alerta

Pense bem antes de alterar os configurações recomendadas, pois isso pode reduzir a sua proteção.

Clique em Usar configurações recomendadas se quiser usar as configurações recomendadas pela Sophos. Elas lhe proporcionam a melhor proteção possível sem configurações complexas.

No futuro, se mudarmos nossas recomendações, iremos automaticamente atualizar sua política com as novas configurações.

As configurações recomendadas oferecem:

  • Detecção de malwares conhecidos.
  • Verificações em nuvem para habilitar a detecção dos mais recentes malwares que a Sophos tem conhecimento.
  • Detecção proativa de malwares que nunca foram vistos antes.
  • Limpeza automática de malwares.

Para obter mais informações sobre como avaliamos ameaças, consulte Sophos Threat Center.

Configurar a proteção contra ameaças

Este vídeo explica como configurar uma política de proteção contra ameaças e inclui as nossas práticas recomendadas.

Deep Learning

O deep learning utiliza um modelo de treinamento de máquina para detectar ameaças. Ele pode identificar malwares conhecidos e previamente desconhecidos e aplicativos potencialmente indesejados sem usar assinaturas.

O deep learning está disponível apenas com o Sophos Intercept X.

Live Protection

Live Protection verifica os arquivos suspeitos em relação aos mais recentes malwares encontrados no banco de dados do SophosLabs.

Você pode selecionar estas opções:

Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online: Isso irá verificar os arquivos durante a varredura em tempo real.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

Varreduras em tempo real verificam os arquivos conforme os usuários tentam acessá-los, e permitem o acesso caso o arquivo esteja limpo.

Os arquivos locais são verificados por default. Você também pode selecionar Arquivos remotos para analisar arquivos em compartilhamentos de rede.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los. Você pode selecionar estas opções:

Varredura de downloads em andamento

Bloquear acesso a sites da web mal-intencionados: Esta opção nega o acesso a sites da web que são conhecidos por hospedar malwares.

Detectar arquivos de baixa reputação: Esta opção alerta se um download apresenta baixa reputação. A reputação é baseada na origem do arquivo, sua frequência de download e outros fatores.

Você pode especificar:

  • Ação a ser tomada no caso de downloads de baixa reputação: Se você selecionar Prompt para o usuário, os usuários verão um alerta quando baixarem um arquivo de baixa reputação. Depois, poderão confiar no arquivo ou deletá-lo. Essa é a configuração padrão.
  • Nível de reputação: Se você selecionar Estrito, serão detectados arquivos de reputação média e de reputação baixa. A configuração padrão é Recomendado.

Consulte Reputação de download.

Correção

As opções de correção são:

  • Eliminar malwares automaticamente: O Sophos Central tentará eliminar o malware detectado automaticamente.

    Se a limpeza for bem-sucedida, o alerta de malware detectado é deletado da lista de alertas. A detecção e a limpeza são exibidas na lista de eventos.

    Nota

    Nós sempre limpamos arquivos PE (Portable Executable), como aplicativos, bibliotecas e arquivos de sistema, mesmo que você desative a limpeza automática. Arquivos PE são postos em quarentena e podem ser restaurados.

  • Habilitar criação de Gráfico de Ameaça: Casos de ameaça permitem investigar a cadeia de eventos em um ataque de um malware e identificar áreas onde você pode melhorar a sua segurança.

Proteção em tempo de execução

Você deve participar do Early Access Program para usar algumas opções.

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego. Você pode selecionar:

  • Proteger arquivos de documento de ransomwares (CryptoGuard): Esta opção protege arquivos de documento contra malwares que restringem o acesso a arquivos e depois exigem um pagamento para liberá-lo. Você também pode optar por proteger computadores de 64 bits contra ransomwares executados de um local remoto.

    • Proteger contra ataques ao Sistema de Encriptação de Arquivos: Isso protege o computador contra o ransomware que criptografa o sistema de arquivos. Escolha qual ação você quer tomar se o ransomware for detectado. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.

  • Proteger contra ransomwares em registro mestre de inicialização: Protege o computador de ransomwares que encriptam registros mestres de inicialização (e impedem a inicialização) e de ataques que limpam o disco rígido.

  • Proteger funcionalidades críticas nos navegadores da web (Safe Browsing): Esta opção protege seus navegadores da web contra explorações por malware.
  • Mitigar explorações em aplicativos vulneráveis: Esta opção protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.

  • Proteger processos: Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares.

    Você pode escolher estas opções:

    • Prevenir ataques vazados ao processo. Esta opção protege contra ataques de substituição de processos.
    • Prevenir o carregamento de DLLs de pastas não confiáveis. Esta opção protege contra o carregamento de arquivos .DLL de pastas não confiáveis.
    • Prevenir roubo de credenciais. Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
    • Prevenir utilização de code cave. Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
    • Prevenir violação APC. Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
    • Prevenir escalonamento de privilégio. Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.

  • Proteção dinâmica de shellcode. Esta opção detecta o comportamento de agentes de acesso remoto ocultos e impede que invasores obtenham controle de suas redes.

  • Validar o chamador do protocolos CTF. Esta opção intercepta e bloqueia aplicativos que tentam explorar o CTF.

    Uma vulnerabilidade em um componente do Windows, conhecida apenas como "CTF", presente em todas as versões anteriores ao Windows XP, permite que um invasor não administrativo e não autorizado sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox.

  • Impedir o sideload de módulos desprotegidos. Esta opção impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub.

    As DLLs ApiSet Stub são DLLs que servem como um proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem colocar DLLs ApiSet Stub mal-intencionadas para manipular a funcionalidade, ou ignorar a proteção contra adulteração e encerrar a proteção antimalware.

  • Proteger cookies do navegador usados no início de sessão MFA. Esta opção impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

  • Proteger o tráfego de rede. Você pode escolher estas opções:

    • Detectar conexões mal-intencionadas para comandar e controlar servidores. Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
    • Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS). Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos.

  • Detectar comportamentos mal-intencionados: Protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

  • Proteção AMSI (com varredura melhorada contra ameaças baseadas em script): Esta opção protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI). A varredura dos códigos enviados por AMSI é realizada antes de estes serem executados, e a Sophos notifica os aplicativos que são usados para executar o código de ameaças. Se a ameaça for detectada, um evento é registrado. Você pode impedir a remoção do registro AMSI nos seus computadores. Consulte Antimalware Scan Interface (AMSI).

Configurações avançadas

Estes configurações destinam-se apenas a testes ou resolução de problemas. Recomendamos que você os deixe configurados com os valores default.

Isolamento do dispositivo

Se você selecionar esta opção, os dispositivos irão se auto-isolar da sua rede se a integridade deles estiver no vermelho. A integridade de um dispositivo entra no vermelho se forem detectadas ameaças nele, se houver um software desatualizado, se ele for incompatível com a política ou se não estiver protegido adequadamente.

Você pode continuar a gerenciar dispositivos isolados a partir do Sophos Central. Você pode usar exclusões de varredura ou exclusões globais para dar acesso limitado a eles para a resolução do problema.

Você não pode remover esses dispositivos do isolamento. Eles voltarão a se comunicar com a rede assim que a sua integridade volte para verde.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

Você pode selecionar estas opções:

  • Habilitar varredura agendada: Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

    Nota

    O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

  • Habilitar varredura aprofundada: Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões

Você pode excluir arquivos, pastas, sites da Web ou aplicativos da varredura para identificação de ameaças, conforme descrito abaixo.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada (utilize uma exclusão de Explorações detectadas).

As exclusões definidas em uma política são usadas apenas para os usuários a quem a política se aplica.

Nota

Se quiser aplicar exclusões a todos os seus usuários e servidores, defina exclusões globais na página Configurações globais > Exclusões globais.

Para cria uma exclusão de varredura de política:

  1. Clique em Adicionar Exclusão (à direita da página).

    O diálogo Adicionar Exclusão é exibido.

  2. Na lista suspensa Tipo de exclusão, selecione um tipo de item a excluir (arquivo ou pasta, site da web, aplicativo potencialmente indesejado ou isolamento de dispositivo).

  3. Especifique o item, ou itens, que deseja excluir.
  4. Para as exclusões de Arquivos ou pasta apenas, na lista suspensa Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.
  5. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos ajustes e clique em Atualizar.

Mensagens de desktop

Você pode adicionar uma mensagem ao final da notificação padrão. Se deixar a caixa de mensagem vazia, será exibida apenas a mensagem padrão.

Ativado é o default de Habilitar mensagens de desktop para a Proteção contra Ameaças. Se Desativado, você não verá as mensagens de notificação relacionadas à proteção contra ameaças.

Introduza o texto que pretende adicionar.