跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/enterprise/help/zh-tw/index.html?contextId=endpoint-threat-protection

端點:安全威脅防護

威脅防護能保護您的安全,使您免受惡意程式、危險檔案類型和網站,以及惡意網路資料流量的威脅。

SophosLabs 可以獨立控制掃描哪些檔案。可新增或移除掃描特定檔案類型,以提供最佳防護。

使用建議設定

則警告

變更推薦的設定前務必謹慎,因為這樣做可能會降低防護。

如果您希望使用 Sophos 建議的設定,請按一下 使用建議設定。這些設定提供了無需複雜設定即可擁有的最佳防護。

如果我們將來變更建議,我們會自動使用新設定更新您的策略。

建議設定提供了:

  • 已知惡意程式偵測。
  • 雲端檢查,以便啟用對 Sophos 已知的最新惡意程式的偵測。
  • 主動偵測以前未曾見過的惡意程式。
  • 自動清理惡意程式。

有關如何評估威脅的更多資訊,請參見 Sophos Threat Center

設定威脅保護

本影片說明如何設定威脅保護原則並包含我們針對最佳做法所提出的建議。

Deep Learning

Deep Learning 會使用進階機器學習偵測威脅。無須使用特徵比對檔,即可識別已知及先前未知的惡意軟體與可能不需要的應用程式。

Deep Learning 僅限 Sophos Intercept X 提供。

即時防護

會根據 SophosLabs 資料庫中的最新惡意程式資訊即時防護檢查可疑檔案。

您可以選取這些選項:

使用即時防護在線上檢查來自 Sophos 實驗室的最新威脅資訊:此功能會在即時掃描期間檢查檔案。

即時掃描 - 本機檔案及網路共用

即時掃描在使用者嘗試存取檔案時對其進行掃描,如果檔案安全,則允許存取。

根據預設值會掃描本機檔案。您也可以選取 遠端檔案 來掃描網路共用上的檔案。

即時掃描 - 網路

即時掃描會在使用者嘗試存取網際網路資源時對其進行掃描。您可以選取這些選項:

掃描進行中的下載

攔截存取惡意網站:這會拒絕存取已知含有惡意程式的網站。

偵測低信譽檔案:警告終端使用者注意是否下載信譽較低。該信譽基於檔案的來源、下載頻率以及其他因素。

您可以指定:

  • 針對低信譽下載採取行動:如果選取 提示使用者,使用者在下載低信譽檔案時會看到警告。然後,他們可以信任或刪除該檔案。這是預設設定。
  • 信譽等級:如果選取 限制,將會偵測中等信譽和低信譽檔案。預設設定為 建議

參閱下載信譽

校正

校正選項包括:

  • 自動清理惡意軟體:Sophos Central 將嘗試自動清理偵測到的惡意程式。

    如果清理成功,偵測到惡意軟體的警示會從警示清單中刪除。偵測與清理會在事件清單中顯示。

    注意

    我們始終會清理諸如應用程式、庫和系統檔案等 PE (可攜式執行檔) 檔案,即使您關閉自動清理功能。PE 檔案會被隔離且可以恢復。

  • 啟用威脅圖表建立:透過威脅案例,您可以調查惡意軟體攻擊中的事件鏈,並識別可以提高安全性的區域。

即時防護

您必須加入提前存取計劃才能使用部分選項。

執行階段保護透過偵測可疑或惡意行為或資料流來防止受到威脅。您可以選取:

  • 保護來自 Ransomware 的文件檔案 (CryptoGuard):此功能可以防止文件檔案受到惡意軟體的威脅,惡意軟體會限制對檔案的存取,然後要求付費來釋放它們。您還可以選取保護 64 元電腦免受從遠端位置執行的勒索軟體的威脅。

    • 保護以免受加密檔案系統的攻擊:這樣可保護電腦免受加密檔案系統的勒索軟體攻擊。選擇偵測到勒索軟體時要採取的動作。您可以終止勒索軟體處理序或將其隔離,以使其停止寫入檔案系統。

  • 防止主開機記錄勒索軟體:可保護電腦避免能將主開機紀錄加密(造成無法開機)的勒索軟體,以及將硬碟抹除的攻擊。

  • 保護網頁瀏覽器的關鍵功能 (安全瀏覽):此功能可以保護您的網頁瀏覽器以防其受到惡意軟體的利用。
  • 在易受攻擊的應用程式中降低襲擊:此功能可以保護最容易受到惡意軟體利用的應用程式。您可以選取要保護哪些應用程式類型。

  • 防護程序:這有助於防止惡意程式劫持合法應用程式。

    您可以選取這些選項:

    • 預防偽裝程序攻擊。這樣可以防止處理序替換攻擊。
    • 預防從不受信任的資料夾載入 DLL。這樣可以防止從不受信任的資料夾載入 DLL 檔案。
    • 防止憑證盜竊。這防止記憶體、登錄或硬碟的密碼及雜湊資訊受竊取。
    • 防止使用代碼漏洞。這偵測被置入到另一個合法應用程式的惡意程式碼。
    • 防止 APC 違反情況。這防止攻擊使用應用程式程序呼叫 (APC) 執行其程式碼。
    • 防止權限提升。這防止攻擊將低權限處理序提升到高權限以存取系統。

  • 動態 Shellcode 保護。這會偵測隱秘的遠端存取代理程式的行為,並防止攻擊者取得您網路的控制權。

  • 驗證 CTF 協定調用者。這會攔截並封鎖嘗試利用 CTF 的應用程式。

    Windows 元件中的弱點(僅稱爲 “CTF”)存在於 Windows XP 的所有版本中,它允許非管理且未經授權的攻擊者劫持任何 Windows 進程,包括在沙箱中執行的應用程式。

  • 防止側面載入不安全的模塊。這可防止應用程式將惡意 DLL 作爲 ApiSet Stub DLL 進行側載。

    ApiSet Stub DLL 是作爲 Proxy 的 DLL,用於維護較舊應用程式和較新作業系統版本之間的相容性。攻擊者可能會放置惡意的 ApiSet Stub DLL 來操縱此功能,或略過竄改防護並終止反惡意程式防護。

  • 保護用於 MFA 登入的瀏覽器 Cookie。這可防止未經授權的應用程式解密用於加密多重要素驗證 (MFA) Cookie 的 AES 金鑰。

  • 保護網路資料流。您可以選取這些選項:

    • 偵測命令與控制伺服器的惡意網路流量。此功能可以偵測端點計算機和伺服器之間的資料流,表現出一種可能控制端點計算機的企圖。
    • 使用封包檢查功能阻止惡意網路流量 (IPS)。這會在最低層級掃描資料流,並在威脅可以損壞作業系統或應用程式之前封鎖威脅。

  • 偵測惡意行為: 此功能用以防止出現尚未明確的威脅。它透過偵測並攔截已知具有惡意或可疑的行為來達到這一目的。

  • AMSI Protection(增強對指令碼型威脅的掃描):這會使用 Microsoft 反惡意程式掃描介面 (AMSI) 防止惡意代碼(例如,PowerShell 指令碼)。使用 AMSI 轉寄的代碼會在執行之前進行掃描,並且 Sophos 會通知用於執行該代碼的應用程式。如果偵測到威脅,則會記錄一次事件。您可以防止電腦上的 AMSI 註冊刪除。參閱Antimalware Scan Interface (AMSI)

進階設定

這些設置僅用於測試或疑難排解。我們建議您將這些選項設定為預設值。

裝置隔離

如果選取此選項,如果裝置的安全狀態為紅色,則會將自己與網路隔離。如果裝置偵測到威脅、軟體過期、不符合策略或未得到適當保護,則其安全狀態為紅色。

您仍然可以從 Sophos Central 管理隔離的裝置。您還可以使用掃描排除項或全域排除項來限制存取它們以進行疑難排解。

您不能從隔離中移除這些裝置。電腦的安全狀態為綠色時,它們將重新與網路通訊。

排程掃描

排程掃描按您指定的時間執行掃描。

您可以選取這些選項:

  • 啟用排程掃描:這使您可以定義要執行掃描的時間以及日期(一日或多日)。

    注意

    排程掃描時間是端點電腦上的時間(不是 UTC 時間)。

  • 啟用深度掃描:如果選取此選項,將在排程掃描期間掃描封存。這可能會增加系統負載,並使掃描速度明顯變慢。

排除項

您可以從威脅掃描中排除檔案、資料夾、網站或應用程式,如下所述。

我們仍然會檢查被排除的項目有無漏洞。但是,您可以停止檢測已經偵測到的漏洞(使用已偵測漏洞排除項)。

在策略中設定的排除項僅用於策略所適用的使用者。

注意

如果您要將排除項套用到所有使用者和伺服器,請在 整體設定 > 全域排除項 頁面中設定全域排除項。

若要建立策略掃描排除項:

  1. 按一下 新增例外項目(在頁面右側)。

    會顯示 新增例外項目 對話方塊。

  2. 例外項目類型 下拉式清單中,選取要排除的項目類型(檔案或資料夾、網站、可能不需要的應用程式或裝置隔離)。

  3. 指定要排除的項目。
  4. 僅對於檔案或資料夾排除項,在 啟用狀態,適用於: 下拉式清單中可指定排除項對於即時掃描、排程掃描或兩者是否有效。
  5. 按一下 新增新增另一項。排除項新增到掃描排除項清單中。

之後若要編輯排除項,在排除項清單中按一下其名稱,輸入新設定並按一下 更新

桌面傳訊

您可以在標準通知的末端新增訊息。如果您留空訊息方塊,則僅會顯示標準訊息。

啟用桌面傳訊用於威脅防護 在預設情況下為開啟。如果您關閉 ,將不會看到任何關於威脅保護的通知訊息。

輸入要新增的文字。