Protección contra amenazas para servidores

La protección contra amenazas le mantiene a salvo de malware, tipos de archivo y sitios web peligrosos y tráfico de red malicioso.

El equipo de SophosLabs puede controlar de forma independiente los archivos que se escanean. Puede añadir o eliminar el escaneado de determinados tipos de archivos para ofrecer la mejor protección.

Puede usar la configuración recomendada o cambiarla.

Para obtener más información sobre cómo se evalúan las amenazas, consulte Adware y PUA.

Intercept X Advanced for Server

Si tiene esta licencia, su política de protección contra amenazas ofrece protección contra el ransomware y los exploits, detección de amenazas sin firmas y análisis de causa raíz de los eventos de amenazas.

Le recomendamos que utilice esta configuración para la máxima protección.

Si activa cualquiera de estas funciones, los servidores asignados a esta política usarán una licencia de Intercept X Advanced for Server.

Consulte Intercept X Advanced for Server.

Configuración predeterminada de Server Protection

Recomendamos que deje activada esta configuración. Esta proporciona la mejor protección posible sin que sea necesario realizar una configuración compleja.

Estas opciones de configuración ofrecen:

• Detección de malware conocido.
• Controles en la nube para permitir la detección de los últimos programas maliciosos conocidos por Sophos.
• Detección proactiva de malware que no se conocía.
• Exclusión automática del escaneado de la actividad de aplicaciones conocidas.

Consulte Configuración predeterminada de la protección contra amenazas para servidores.

Live Protection

Live Protection compara los archivos sospechosos con la base de datos de amenazas de SophosLabs. Esto ayuda a detectar las amenazas más recientes y evitar falsos positivos.

Use Live Protection para comprobar la información sobre amenazas más reciente de SophosLabs online: Esta opción comprueba los archivos durante el escaneado en tiempo real.

Para ver nuestra base de datos de amenazas, vaya a Adware y PUA.

Deep Learning

El Deep Learning detecta automáticamente las amenazas, en particular las nuevas y desconocidas que no se han visto antes. Utiliza Machine Learning y no depende de las firmas.

Escaneado en tiempo real - Archivos locales y recursos de red

El escaneado en tiempo real comprueba los archivos en busca de malware conocido cuando se accede a ellos y se actualizan. Evita que se ejecute malware conocido y que las aplicaciones legítimas abran archivos infectados.

Escaneado proporciona un escaneado en tiempo real de los archivos locales y remotos (archivos a los que se accede desde la red) por defecto.

Seleccione Local si solo desea escanear archivos en el dispositivo.

• al leer: Esto escanea los archivos cuando los abre.
• al escribir: Esto escanea los archivos cuando los guarda.

Activar escaneado para Server Protection para el agente Linux: Esta opción proporciona un escaneado en tiempo real en dispositivos Linux.

Escaneado en tiempo real - Internet

El escaneado en tiempo real escanea los recursos de Internet cuando el usuario intenta acceder a los mismos.

Escanear descargas en progreso

Esta opción de configuración controla si escaneamos las descargas y los elementos de la página antes de que lleguen al navegador.

• Conexiones HTTP: Escaneamos todos los elementos y descargas.
• Conexiones HTTPS: No escaneamos ningún elemento, a menos que active Descifrar sitios web mediante SSL/TLS.

Bloquear el acceso a sitios web maliciosos

Esta opción deniega el acceso a sitios web que albergan malware.

Hacemos una comprobación de reputación para ver si el sitio es conocido por albergar contenido malicioso (búsqueda SXL4). Si desactiva Live Protection, también desactivará esta comprobación.

• Conexiones HTTP: Se comprueban todas las URL, incluidas las solicitudes HTTP GET completas.
• Conexiones HTTPS: Las URL base se comprueban con la indicación de nombre del servidor (SNI). Si activa Descifrar sitios web mediante SSL/TLS, se comprueban todas las URL, incluidas las solicitudes HTTP GET completas.

Detectar descargas de baja reputación

Esta opción de configuración comprueba la reputación de las descargas en función del origen del archivo, la frecuencia con la que se descarga, etc. Utilice las siguientes opciones para decidir cómo se gestionan las descargas.

Defina la Acción que realizar en Preguntar al usuario: El usuario final ve una advertencia cuando se descarga un archivo de baja reputación. Pueden optar por permitir el archivo o eliminarlo. Esta es la opción predeterminada.

Establezca el Nivel de reputación en una de las siguientes opciones:

• Recomendado: Los archivos de baja reputación se bloquean automáticamente. Esta es la opción predeterminada.
• Estricto: Las descargas de media y baja reputación se bloquean automáticamente y se notifican a Sophos Central.

Para obtener más información sobre los niveles de reputación, vaya a la página Reputación de descargas.

Escaneado en tiempo real - Opciones

Excluir automáticamente actividad de aplicaciones conocidas: Esta opción excluye las aplicaciones más utilizadas, según lo recomendado por sus proveedores.

Para más información, consulte Productos de terceros excluidos automáticamente.

Remediación

Activar creación de gráfico de amenazas: Esto le ayuda a investigar la cadena de eventos en un ataque de malware. Le sugerimos que la active para que pueda analizar los ataques que hemos detectado y detenido.

Sophos Central limpia automáticamente los elementos detectados en ordenadores Windows y dispositivos Linux que ejecutan Sophos Protection para Linux. Sophos Central elimina el archivo de su ubicación actual y lo pone en cuarentena en SafeStore. Los archivos permanecen en SafeStore hasta que se permiten o se eliminan con el objetivo de dejar espacio para nuevas detecciones. Puede restaurar los archivos en cuarentena en SafeStore añadiéndolos a Aplicaciones permitidas. Consulte Aplicaciones permitidas.

SafeStore tiene los siguientes límites predeterminados:

• El límite de un único archivo es de 100 GB.
• El límite de tamaño total de la cuarentena es de 200 GB.
• El número máximo de archivos almacenados es 2000.

Protección en tiempo de ejecución

La protección en tiempo de ejecución protege contra amenazas detectando tráfico o comportamientos sospechosos o maliciosos.

Proteger archivos de documentos de ransomware (CryptoGuard): Esta opción protege contra malware que restringe el acceso a sus archivos y exige un pago para recuperarlos. La función está activada por defecto. Le recomendamos encarecidamente que la deje activada.

También puede utilizar las siguientes opciones:

• Proteger de ransomware ejecutado de forma remota: Esto garantiza la protección en toda la red. Recomendamos que deje activada esta opción.
• Protegerse de ataques de cifrado del sistema de archivos: Esta opción protege los dispositivos de 64 bits del ransomware que cifra el sistema de archivos. Si se detecta ransomware, puede elegir qué acción tomar. Puede finalizar los procesos de ransomware o aislarlos para impedir que escriban en el sistema de archivos.

Proteger contra el ransomware de registro de arranque maestro: Esta opción protege el dispositivo contra el ransomware que cifra el registro de arranque maestro (y así impide el inicio) y los ataques que borran el disco duro.

Proteger funciones críticas en navegadores web (Navegación segura): Esta opción de configuración protege los navegadores web de los ataques de malware que actúan explotando el navegador web.

Mitigar vulnerabilidades en aplicaciones vulnerables: Esta opción protege las aplicaciones más susceptibles de ser atacadas por malware. Puede seleccionar los tipos de aplicaciones que desea proteger.

Proteger procesos: Esta opción ayuda a impedir el secuestro de aplicaciones legítimas por parte de malware. Puede elegir entre las siguientes opciones:

• Impedir ataques de vaciado de procesos: También conocido como "sustitución de procesos" o inyección de DLL. Los atacantes suelen utilizar esta técnica para cargar código malicioso en una aplicación legítima con el fin de intentar eludir el software de seguridad.

  Si desactiva esta opción, los ciberdelincuentes podrán burlar su software de seguridad con mayor facilidad.

• Impedir que se carguen archivos DLL de carpetas de no confianza: Esta opción protege contra la carga de archivos DLL desde carpetas que no son de confianza.

• Impedir el robo de credenciales: Esta opción evita el robo de contraseñas e información de hash de la memoria, el registro o el disco duro.
• Impedir el uso de cuevas de código: Esta opción detecta código malicioso que se ha insertado en otra aplicación legítima.
• Impedir la infracción de APC: Esta opción impide que los ataques utilicen llamadas a procedimientos de aplicaciones (APC) para ejecutar su código.
• Impedir el aumento de privilegios: Esta opción evita que un proceso con privilegios limitados obtenga privilegios más altos para acceder al sistema.

Protección shellcode dinámica: Esta opción de configuración detecta el comportamiento de agentes de comando y control remotos ocultos y evita que los atacantes se hagan con el control de sus redes.

Validar invocador del protocolo CTF: Esta opción de configuración bloquea las aplicaciones que intentan explotar una vulnerabilidad en CTF, un componente de todas las versiones de Windows. La vulnerabilidad permite a un atacante no administrador secuestrar cualquier proceso de Windows, incluidas las aplicaciones que se ejecutan en un entorno seguro. Le recomendamos que active Validar invocador del protocolo CTF.

Impedir la carga lateral de módulos no seguros: Esta opción evita que una aplicación cargue lateralmente un archivo DLL malicioso que se presente como un archivo ApiSet Stub DLL. Los archivos ApiSet Stub DLL sirven como proxy para mantener la compatibilidad entre aplicaciones anteriores y versiones más nuevas del sistema operativo. Los atacantes pueden utilizar archivos ApiSet Stub DLL maliciosos para omitir la protección contra manipulaciones y detener la protección antimalware.

Proteger las cookies del navegador utilizadas para el inicio de sesión con MFA: Esta opción evita que las aplicaciones no autorizadas descifren la clave AES utilizada para cifrar las cookies de autenticación multifactor (MFA).

Evitar el uso malintencionado de instrucciones de llamadas del sistema: Este parámetro bloquea los intentos de eludir la monitorización mediante llamadas directas a las API del sistema.

Prevenir el abuso de los puntos de interrupción de hardware: Este parámetro evita el abuso de los puntos de interrupción de hardware.

Proteger el tráfico de red

• Detectar conexiones maliciosas con servidores de comando y control: Esto detecta tráfico entre un ordenador y un servidor que indica un posible intento de toma de control del ordenador.
• Impedir el tráfico de red malicioso con la inspección de paquetes (IPS): Esta opción escanea el tráfico al nivel más bajo y bloquea amenazas antes de que puedan perjudicar el sistema operativo o las aplicaciones. Esta opción está desactivada por defecto.

Detecciones en tiempo de ejecución de Linux: Esta configuración le proporciona visibilidad y detección de amenazas en tiempo de ejecución para contenedores y cargas de trabajo en servidores Linux. Puede gestionar estas alertas en el Centro de análisis de amenazas. Consulte Detecciones.

Impedir que cargas maliciosas se conecten a servidores de comando y control: Esta configuración identifica y bloquea las cargas que intentan eludir la detección permaneciendo cifradas.

Supervisar el uso de las API de controladores: Esta configuración detecta intentos de abuso de las API que normalmente usan aplicaciones legítimas, como impresoras o adaptadores de red virtual, para interactuar con el código en modo kernel.

Detectar comportamientos maliciosos: Esta opción protege contra amenazas que no se conocen todavía. Lo hace mediante la detección y el bloqueo de comportamiento que se sabe que es malicioso o es sospechoso.

Protección AMSI: Esta opción protege frente al código malicioso (por ejemplo, scripts de PowerShell) usando la Interfaz de análisis antimalware (AMSI) de Microsoft.

El código enviado por AMSI se escanea antes de que se ejecute y la estación de trabajo notifica las amenazas a las aplicaciones utilizadas para ejecutar el código. Si se detecta una amenaza, se registra un evento.

Impedir eliminación del registro de AMSI: Esta opción de configuración garantiza que AMSI no se pueda eliminar de sus equipos.

Supervisar los eventos del controlador de dominio: Esta opción proporciona una mayor visibilidad y protección frente a ataques dirigidos a controladores de dominio, como PetitPotam. Esta opción está activada por defecto.

Activar Sophos Security Heartbeat: Esta opción envía informes de "estado" del servidor a cada firewall Sophos Firewall registrado con su cuenta de Sophos Central. Si hay más de un firewall registrado, los informes se envían al firewall más cercano. Si un informe muestra que un servidor puede estar en peligro, el firewall puede restringir su acceso.

Protección adaptativa contra ataques

Activar automáticamente protecciones adicionales cuando un dispositivo sufra un ataque: Este parámetro habilita un conjunto más agresivo de protecciones cuando se detecta un ataque. Estas protecciones adicionales están diseñadas para interrumpir las acciones de un atacante.

También puede activar las funciones de Protección adaptativa contra ataques de forma permanente.

• Activar la protección en modo seguro: Esta opción habilita la protección de Sophos cuando los dispositivos se ejecutan en el modo seguro. Algunos componentes y características, como el repetidor de mensajes y la caché de actualización, no están disponibles en el modo seguro.
• Bloquear el uso indebido del modo seguro: Esta opción detecta y bloquea las actividades que indican que un atacante está intentando poner el dispositivo en modo seguro.

Configuración avanzada

Estas configuraciones son solo para pruebas o solución de problemas. Recomendamos que mantenga las opciones predeterminadas.

Bloquear conexiones de navegador QUIC

Seleccione Bloquear acceso de navegador QUIC (Quick UDP Internet Connections) a los sitios web para evitar estas conexiones.

Los navegadores habilitados para QUIC pueden eludir nuestra comprobación de sitios web para algunas páginas. El bloqueo de QUIC garantiza que apliquemos el descifrado SSL/TLS y la comprobación a esos sitios.

Por defecto, esta opción está desactivada.

Descifrado SSL/TLS de sitios web HTTPS

Si selecciona Descifrar sitios web HTTPS usando SSL/TLS, desciframos y comprobamos el contenido de los sitios web HTTPS en busca de amenazas.

Si desciframos un sitio web que es de riesgo, lo bloqueamos. Mostramos al usuario un mensaje y le damos la opción de enviar el sitio a SophosLabs para que lo vuelvan a evaluar.

De forma predeterminada, el descifrado está desactivado.

Si el descifrado HTTPS está activado en la política que se aplica a un dispositivo, rige lo siguiente:

• El descifrado HTTPS también está activado para las comprobaciones de la política de control web en el mismo dispositivo.
• Las funciones de protección en Escaneado en tiempo real - Internet también pueden acceder al contenido completo del sitio, las descargas y las URL de las páginas.

Exclusiones de descifrado HTTPS

Por defecto, excluimos del descifrado algunas categorías de sitios, como banca y correo web. Esto es porque los sitios en estas categorías contienen información personal.

Puede cambiar las exclusiones en la configuración general. Vaya a Mis productos > Configuración general > General > Descifrado SSL/TLS de sitios web HTTPS.

Escaneado en tiempo real para Linux

Si selecciona Activar escaneado para Server Protection para el agente Linux, analizamos los archivos a medida que los usuarios intentan acceder a ellos. Permitimos el acceso si el archivo está limpio.

De forma predeterminada, el escaneado en tiempo real para Linux está desactivado.

Escaneado programado

El escaneado programado realiza un escaneado en el momento o los momentos que especifique.

Es posible que el escaneado programado no sea necesario cuando el escaneado en tiempo real está activado. Sin embargo, puede seguir siendo útil para diferentes casos de uso, como comprobar archivos antiguos y ayudar en investigaciones de seguridad. Recomendamos ejecutar los escaneados programados durante las horas de menor actividad para minimizar posibles impactos en la carga del sistema. También recomendamos utilizar el escaneado en tiempo real, que analiza los archivos a medida que se accede a ellos o se modifican, en lugar de depender solo de los intervalos de escaneado programado. Consulte Escaneado en tiempo real - Archivos locales y recursos de red.

Puede seleccionar las opciones siguientes:

• Activar escaneado programado: Esto le permite definir la hora y uno o más días en los que debe realizarse el escaneado.

  La hora del escaneado programado es la hora de los endpoints (no UTC).

• Activar escaneado profundo: Si selecciona esta opción, los archivos se escanean durante los escaneados programados. Esto puede aumentar la carga del sistema y ralentizar el escaneado de forma significativa.

Exclusiones

Se pueden excluir archivos, carpetas, sitios web o aplicaciones del escaneado de amenazas, tal como se describe a continuación.

Los elementos excluidos se seguirán verificando en busca de exploits. Sin embargo, puede dejarse de buscar un exploit que ya se haya detectado. Utilice una exclusión Exploits detectados.

Las exclusiones definidas en una política solo se usan para los usuarios a los que aplica la política.

Consulte Exclusiones automáticas.

Para crear una política de exclusión de escaneado:

1. En Exclusiones, haga clic en Añadir exclusión.

2. En el cuadro de diálogo Añadir exclusión, haga lo siguiente:

   1. En Tipo de exclusión, seleccione un tipo de elemento para excluir. Por ejemplo, archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivo.
   2. En Valor, especifique el elemento o elementos que desea excluir. Para obtener más información sobre las exclusiones, consulte Utilizar las exclusiones de forma segura.
   3. Para las exclusiones de Archivos o carpetas solamente, en Activo para, especifique si la exclusión debe ser válida para el escaneado en tiempo real, para el escaneado programado o para ambos.
   4. (Opcional) Haga clic en Añadir otra para añadir otra exclusión.

3. En la página Protección contra amenazas, haga clic en Guardar.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Exclusiones de escaneado

Puede excluir archivos, carpetas, sitios web o aplicaciones del escaneado en busca de amenazas.

Las exclusiones definidas en una política solo se utilizan para los servidores a los que se aplica la política.

Para obtener más información sobre el uso de exclusiones, consulte Utilizar las exclusiones de forma segura.

Para crear una exclusión de escaneado, haga lo siguiente:

1. En Exclusiones, haga clic en Añadir exclusión.
2. En el cuadro de diálogo Añadir exclusión, en Tipo de exclusión, seleccione un tipo de elemento que deba excluirse (archivo o carpeta, sitio web, aplicación no deseada o aislamiento de dispositivos).

3. Especifique el elemento o elementos que desea excluir. Se aplican las siguientes reglas:

   • Archivo o carpeta (Windows): En Windows, puede excluir una unidad, carpeta o archivo por su ruta de acceso completa. Puede utilizar caracteres comodín y variables. Vea los siguientes ejemplos.

     • Carpeta: C:\programdata\adobe\photoshop\
     • Toda la unidad: D:
     • Archivos: C:\program files\program\*.vmg

   • Archivo o carpeta (Linux): En Linux, puede excluir una carpeta o archivo. Se permite el uso de los caracteres comodín ? y *. Ejemplo: /mnt/hgfs/excluded.

   • Proceso (Windows): Puede excluir cualquier proceso ejecutado desde una aplicación. Esto excluye también los archivos que utiliza el proceso (pero sólo cuando el proceso accede a ellos). Si es posible, introduzca la ruta completa de la aplicación, no sólo el nombre del proceso que se muestra en el Administrador de tareas. Ejemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe.

     Nota

     Para ver todos los procesos u otros objetos que necesite excluir para una aplicación, consulte la documentación del proveedor de la aplicación.

   • Sitio web (Windows): Puede especificar sitios web como una dirección IP, un intervalo de direcciones IP (en notación CIDR) o un dominio. Ejemplos:

     • Dirección IP: 192.168.0.1
     • Intervalo de direcciones IP: 192.168.0.0/24 El apéndice /24 simboliza el número de bits en el prefijo común a todas las direcciones IP de este intervalo. Por lo tanto, /24 equivale a la máscara de red 11111111.11111111.11111111.00000000, o 255.255.255.0 en representación decimal. En nuestro ejemplo, el intervalo incluye todas las direcciones IP desde 192.168.0.0 hasta 192.168.0.255.
     • Dominio: google.com

     Si excluye un sitio web, no comprobamos la categoría del sitio web y se excluye de la protección de control web. Consulte Control web del servidor.

   • Aplicación no deseada (Windows/Mac/Linux): Puede excluir aplicaciones que suelen detectarse como spyware. Especifique la exclusión utilizando el mismo nombre con el que el sistema la detectó, por ejemplo, PsExec o Cain n Abel. Para obtener más información sobre las aplicaciones no deseadas, consulte Adware y PUA.

   • Exploits detectados (Windows/Mac). Puede excluir exploits detectados mediante un ID de detección. Puede utilizar esta opción cuando trabaje con el soporte de Sophos para resolver una detección de falsos positivos. El soporte de Sophos puede proporcionarle un ID de detección y, a continuación, podrá excluir la detección de falsos positivos. Para ello, haga clic en ¿El exploit no está en la lista? e introduzca el ID.

4. Haga clic en Añadir o Añadir otro. La exclusión se añade a la lista de exclusiones de escaneado.

Para editar una exclusión posteriormente, haga clic en el nombre en la lista de exclusiones, introduzca una configuración nueva y haga clic en Actualizar.

Exclusión de creación de hash

Esta exclusión detiene la creación de hash de archivos para Data Lake y los diarios de Sophos, lo que puede afectar al rendimiento.

Para añadir una exclusión de creación de hash, haga lo siguiente:

1. En Exclusiones, haga clic en Añadir exclusión.

2. En el cuadro de diálogo Añadir exclusión, haga lo siguiente:

   1. En Tipo de exclusión, seleccione Exclusión de creación de hash (Windows).
   2. En Archivo/Carpeta o proceso, seleccione un archivo o carpeta, o un proceso.
   3. En Valor, introduzca la ruta de exclusión. Puede excluir una unidad, una carpeta o un archivo. También puede utilizar caracteres comodín. Consulte Exclusiones de escaneado de Windows.
   4. Haga clic en Añadir.

3. En la página Protección contra amenazas, haga clic en Guardar.

Mensaje de escritorio

Puede añadir un mensaje al final de la notificación estándar. Si deja vacío el cuadro del mensaje, solo se muestra el mensaje estándar.

Activar los mensajes de escritorio para la protección contra amenazas está activado por defecto. Si desactiva esta opción, no verá ningún mensaje de notificación relacionado con la Protección contra amenazas.

Introduzca el texto que desea añadir.