Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/partner/help/it-it/index.html?contextId=endpoint-threat-protection

Endpoint: Protezione dalle minacce

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

Nota

Questa pagina descrive le impostazioni dei criteri per i computer endpoint. Per i server sono applicabili impostazioni diverse dei criteri.

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici, al fine di garantire i massimi livelli di protezione.

Per maggiori informazioni su come valutiamo le minacce, visitare il Sophos Threat Center.

Usa impostazioni consigliate

Avviso

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Cliccare su Usa impostazioni consigliate se si desidera utilizzare le impostazioni consigliate da Sophos. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Se in futuro le nostre impostazioni consigliate dovessero cambiare, provvederemo ad aggiornare automaticamente il criterio con le modifiche apportate.

Le impostazioni consigliate offrono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per abilitare il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.

Configurazione della Protezione contro le minacce

Questo video spiega come configurare un criterio di Protezione contro le minacce e include i nostri consigli sulle best practice.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Il deep learning è disponibile solamente con Sophos Intercept X.

Live Protection

Sophos Live Protection analizza i file sospetti confrontando i dati con le informazioni più aggiornate sul malware presenti nel database dei SophosLabs.

È possibile scegliere tra le seguenti opzioni:

Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

Scansione in tempo reale - File locali e condivisioni di rete

Le scansioni in tempo reale analizzano i file a cui gli utenti cercano di accedere, autorizzando l'accesso se i file risultano sicuri.

I file locali vengono sottoposti a scansione per impostazione predefinita. È anche possibile selezionare File remoti per eseguire la scansione dei file sulle condivisioni di rete.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi. È possibile scegliere tra le seguenti opzioni:

Eseguire la scansione sui download in corso: Questa impostazione controlla se i download e gli elementi della pagina debbano essere sottoposti a scansione prima di raggiungere il browser.

  • Connessioni HTTP: tutti gli elementi e tutti i download vengono sottoposti a scansione.
  • Connessioni HTTPS: nessun elemento viene sottoposto a scansione, a meno che non venga attivata l’opzione Decrittografa siti web utilizzando SSL/TLS.

Bloccare l'accesso ai siti Web dannosi: Questa opzione blocca l'accesso ai siti web noti per ospitare malware.

Viene eseguita una verifica della reputazione per sapere se il sito è noto per ospitare contenuti dannosi (ricerca SXL4). Se si disattiva Live Protection, verrà disattivata anche questa verifica.

  • Connessioni HTTP: tutti gli URL vengono verificati, incluse le richieste HTTP GET complete.
  • Connessioni HTTPS: vengono controllati gli URL di base (SNI). Se si attiva Decrittografa siti web utilizzando SSL/TLS, verranno verificati tutti gli URL, incluse le richieste HTTP GET complete.

Rileva file con reputazione bassa: Questa impostazione verifica la reputazione dei download in base all’origine del file, alla frequenza con cui viene scaricato e ad altre caratteristiche. Utilizzare le seguenti opzioni per decidere come devono essere gestiti i download.

È possibile specificare:

  • Azione da intraprendere sui download con reputazione bassa: impostarla su una delle seguenti opzioni:

    • Richiedi conferma all’utente: quando un file con una reputazione sconosciuta o bassa viene selezionato per il download, all’utente viene chiesto di bloccare il file o di considerarlo attendibile e autorizzare il download. Si tratta dell’impostazione predefinita.
    • Registra solo nel log: i dettagli del file scaricato vengono registrati nel log locale, ma l’utente non riceverà alcuna richiesta.

  • Livello di reputazione: impostarlo su una delle seguenti opzioni:

    • Consigliato: i file con reputazione bassa verranno bloccati automaticamente. Si tratta dell’impostazione predefinita.
    • Rigido: i download con reputazione media e bassa verranno automaticamente bloccati e segnalati a Sophos Central.

Vedere Reputazione dei download.

Correzione

Le opzioni di correzione sono le seguenti:

  • Rimuovi automaticamente il malware: Sophos Central rimuoverà automaticamente il malware rilevato e registrerà nei log l’azione di rimozione. Può essere visualizzata nell’elenco Eventi.

    Restrizione

    I computer Windows rimuovono sempre gli elementi rilevati, indipendentemente da questa impostazione. Per i computer Windows è possibile ripristinare gli elementi che sono stati rimossi. Per i Mac non è possibile ripristinare gli elementi rimossi, ma consigliamo comunque di attivare la rimozione automatica sui Mac.

    Quando Sophos Central pulisce un file, lo rimuove dalla posizione attuale e lo mette in quarantena in SafeStore. I file rimarranno in SafeStore fino a quando non verranno autorizzati o rimossi per fare spazio a nuovi rilevamenti. I file messi in quarantena in SafeStore possono essere ripristinati aggiungendoli alle Applicazioni autorizzate. Vedere Applicazioni autorizzate.

    SafeStore ha i seguenti limiti predefiniti:

    • Le dimensioni massime per un singolo file sono pari a 100 GB.
    • Il limite totale per le dimensioni della quarantena è pari a 200 GB.
    • Il numero massimo di file in archiviazione è 2.000.

  • Abilita creazione di grafici delle minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.

Protezione runtime

Per poter utilizzare alcune opzioni, occorre iscriversi al Programma di accesso in anteprima (Early Access Program, EAP).

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli. È possibile selezionare:

Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto.

È anche possibile utilizzare le seguenti opzioni:

  • Proteggi contro ransomware eseguito in remoto: Questa opzione garantisce protezione all’interno dell’intera rete. Si consiglia di lasciarla attivata.
  • Proteggi contro attacchi di crittografia dei file system: Questa opzione protegge il computer dal ransomware che agisce cifrando il file system. Selezionare l’azione che si desidera eseguire se viene rilevato ransomware. È possibile terminare i processi di ransomware o isolarli per impedire che scrivano sul file system.

Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.

Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra queste opzioni:

  • Impedisci attacchi di process hollowing: Questa opzione difende i sistemi dagli attacchi di sostituzione dei processi.

    Se si disattiva questa impostazione, per gli hacker risulterà più facile eludere i software di sicurezza.

  • Impedisci il caricamento di DLL da cartelle non attendibili: Questa opzione protegge dal caricamento di file .DLL da cartelle non attendibili.

  • Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
  • Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
  • Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
  • Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Protezione dinamica dello shellcode: Questa opzione rileva il comportamento tipico degli agenti di accesso remoto clandestini e impedisce ai cybercriminali di ottenere il controllo delle reti.

Convalida chiamante Protocollo CTF: Questa opzione intercetta e blocca le applicazioni che cercano di attaccare CTF tramite exploit.

Esiste una vulnerabilità in un componente di Windows, noto semplicemente come “CTF”, che è presente in tutte le versioni a partire da Windows XP. Permette a cybercriminali non autorizzati e senza privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, comprese le applicazioni eseguite in una sandbox.

Impedisci sideload di moduli non sicuri: Questa opzione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL.

Le ApiSet Stub DLL sono DLL che svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono collocare ApiSet Stub DLL dannose nei sistemi, per manipolare questa funzionalità o per bypassare il blocco rimozione e terminare la protezione antimalware.

La disattivazione di questa funzionalità riduce il livello di protezione in maniera significativa.

Proteggi i cookie del browser con l’accesso tramite autenticazione a fattori multipli (MFA). Questa opzione impedisce alle applicazioni non autorizzate di decifrare la chiave AES utilizzata per cifrare i cookie dell’autorizzazione a fattori multipli (Multi-Factor Authentication, MFA).

Impedisci ai beacon dannosi di connettersi ai server di comando e controllo: Questa impostazione identifica e blocca i beacon che cercano di eludere il rilevamento rimanendo crittografati.

Monitora l’uso di API del driver: Questa impostazione rileva i tentativi di utilizzo improprio delle API normalmente utilizzate da applicazioni legittime (come stampanti o schede di rete virtuali) per interagire con il codice in modalità kernel.

Impedisci l’uso dannoso di istruzioni SysCall: Questa impostazione blocca i tentativi di eludere il monitoraggio per mezzo di chiamate dirette alle API di sistema.

Impedisci uso improprio del punto di interruzione dell’hardware: Questa impostazione impedisce l’uso improprio dei punti di interruzione dell’hardware.

Proteggi traffico di rete

  • Rileva le connessioni malevole verso i server di comando e controllo (C&C). Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
  • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti. Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni.

Rileva comportamento dannoso: Questa opzione difende i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere malevoli.

Protezione AMSI (con scansione ottimizzata per l'individuazione delle minacce basate su script): Questa opzione protegge i sistemi dal codice malevolo (ad es. script di PowerShell) utilizzando l'Antimalware Scan Interface (AMSI) di Microsoft. Il codice inoltrato tramite AMSI viene sottoposto a scansione prima di essere eseguito e le applicazioni utilizzate per eseguire codice appartenente a minacce ricevono una notifica da Sophos. Se il sistema rileva una minaccia, viene creato un evento nel log. È possibile impedire che la registrazione ad AMSI venga rimossa dai computer. Vedere Antimalware Scan Interface (AMSI).

Impedisci la rimozione della registrazione ad AMSI: Questa impostazione garantisce che AMSI non possa essere rimossa dai computer.

Protezione adattiva contro gli attacchi

Attiva automaticamente funzionalità di protezione aggiuntive quando un dispositivo si trova sotto attacco: questa opzione applica un set più aggressivo di soluzioni di protezione quando viene rilevato un attacco. Queste protezioni aggiuntive sono progettate per bloccare le azioni di un utente malintenzionato.

È anche possibile attivare le funzionalità della Protezione adattiva contro gli attacchi in modo permanente.

  • Abilita protezione in modalità provvisoria: Questa impostazione abilita la protezione Sophos quando i dispositivi si eseguono in modalità provvisoria. Alcuni componenti e funzionalità, come i Relay dei messaggi e le Cache degli aggiornamenti, non sono disponibili in modalità provvisoria.

  • Blocca uso improprio della modalità provvisoria: Questa impostazione rileva e blocca le attività che indicano che un utente malintenzionato sta cercando di attivare la modalità provvisoria del dispositivo.

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.

Blocca connessioni browser tramite QUIC

Per i Mac, questa funzionalità è disponibile solo per chi partecipa al Programma di accesso in anteprima (Early Access Program).

Selezionare Blocca l’accesso del browser ai siti web tramite QUIC (Quick UDP Internet Connections) per bloccare queste connessioni.

Per alcuni siti, i browser nei quali è abilitato QUIC possono bypassare la nostra verifica dei siti web. Bloccando QUIC, vengono applicate la decrittografia SSL/TLS e la verifica di tali siti.

Questa opzione è disattivata per impostazione predefinita.

Decrittografia SSL/TLS di siti web HTTPS

Per i Mac, questa funzionalità è disponibile solo per chi partecipa al Programma di accesso in anteprima (Early Access Program).

Se si seleziona Decrittografa siti web utilizzando SSL/TLS, i contenuti dei siti web HTTPS vengono decifrati ed esaminati, per individuare eventuali minacce sui computer dei clienti.

Se decrittografiamo un sito web rischioso, viene bloccato. Mostriamo all’utente un messaggio e offriamo la possibilità di inviare il sito ai SophosLabs per eseguirne una nuova valutazione.

Per impostazione predefinita, la decrittografia è disattivata.

Nota

Se la decrittografia è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

Se si attiva questa impostazione, i clienti non potranno apportare modifiche.

Nota

Se i clienti partecipano all’EAP “Nuove funzionalità di Endpoint Protection”, possono attivare o disattivare la decifratura per i siti web HTTPS. Possono apportare modifiche alle impostazioni che sono state specificate.

Isolamento dispositivi

Selezionando questa opzione, i dispositivi si isoleranno automaticamente dalla rete se il loro stato di integrità dovesse diventare rosso. Lo stato di integrità di un dispositivo diventa “rosso” quando vengono rilevate minacce, quando è presente software obsoleto, quando il dispositivo non risulta conforme al criterio, oppure quando non è dotato di una protezione adeguata.

Nota

Sophos Central utilizza una gamma più ampia di fattori per determinare lo stato di integrità. Di conseguenza, lo stato di integrità di un dispositivo potrebbe essere segnalato come diverso da quello fornito dal dispositivo stesso. Questo non influisce sulla protezione. Isoliamo un dispositivo solo in presenza di uno stato di integrità rosso fornito dal dispositivo stesso.

I dispositivi isolati possono continuare a essere gestiti da Sophos Central. È anche possibile utilizzare esclusioni dalla scansione o esclusioni globali per concedere accesso limitato a scopo di risoluzione dei problemi.

Questi dispositivi non possono essere rimossi dall'isolamento. Comunicheranno di nuovo con la rete una volta ripristinato uno stato di integrità “verde”.

Si consiglia di valutare l'impatto di questa opzione sulla rete, prima di applicarla. Per farlo, può essere attivata in un criterio e applicata a un campione rappresentativo di dispositivi.

Nota

Durante l’isolamento, potrebbe sembrare che i dispositivi degli utenti siano ancora in grado di accedere ai file di rete. Questo è dovuto alla funzionalità Windows “Sempre disponibile offline”, che crea copie locali di unità di rete mappate, alle quali gli utenti possono accedere quando sono disconnessi. Questo comportamento non influisce sull’isolamento del dispositivo.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

La scansione pianificata è una tecnica legacy che veniva utilizzata per rilevare il malware. Ora è richiesta molto raramente, visto che è disponibile la scansione in background. Può aumentare il carico del sistema e rallentare notevolmente la scansione. Si consiglia di non utilizzare le scansioni pianificate, a meno che non sia necessario.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

    Nota

    L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).

  • Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

La scansione pianificata si esegue solo se il computer è on-line. Se il computer è off-line all’orario pianificato, la scansione non verrà eseguita. Il sistema avvierà una scansione al successivo orario pianificato, a condizione che il computer sia on-line.

Esclusioni

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce procedendo come indicato di seguito.

Restrizione

Non è possibile creare un’esclusione “Attenuazione degli exploit e monitoraggio delle attività (Windows)” nella pagina Modelli globali.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato. Utilizzare un’esclusione Exploit rilevati.

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti ai quali viene applicato il criterio.

Nota

Se si desidera applicare esclusioni a tutti gli utenti e i server, è possibile impostare esclusioni globali. In Sophos Central Admin, selezionare Prodotti > Impostazioni generali > Esclusioni globali.

Per creare un’esclusione dalla scansione in un criterio, procedere come segue:

  1. In Esclusioni per i criteri, cliccare su Aggiungi esclusione.

  2. In Aggiungi esclusione, procedere come segue:

    1. In Tipo di esclusione, selezionare un tipo di elemento da escludere. Ad esempio, file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo.

    2. In Valore, specificare l’elemento o gli elementi da escludere. Per saperne di più sulle esclusioni, vedere Utilizzo sicuro delle esclusioni.

      Occorre inserire ulteriori dettagli, a seconda del tipo di esclusione.

    3. Cliccare su Aggiungi. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

    4. (Facoltativo) Cliccare su Aggiungi un’altra per aggiungere un’altra esclusione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

La Messaggistica desktop invia notifiche relative agli eventi di protezione contro le minacce. È abilitata per impostazione predefinita.

È possibile immettere un messaggio personale da aggiungere alla fine delle notifiche standard.