Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/partner/help/pt-br/index.html?contextId=endpoint-threat-protection

Endpoint: Proteção contra ameaças

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

Nota

Esta página descreve as configurações da política para computadores endpoint. Para servidores, aplicam-se diferentes configurações da política.

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Para obter mais informações sobre como avaliamos ameaças, consulte Sophos Threat Center.

Usar configurações recomendadas

Alerta

Pense bem antes de alterar os configurações recomendadas, pois isso pode reduzir a sua proteção.

Clique em Usar configurações recomendadas se quiser usar as configurações recomendadas pela Sophos. Elas lhe proporcionam a melhor proteção possível sem configurações complexas.

No futuro, se mudarmos nossas recomendações, iremos automaticamente atualizar sua política com as novas configurações.

As configurações recomendadas oferecem:

  • Detecção de malwares conhecidos.
  • Verificações em nuvem para habilitar a detecção dos mais recentes malwares que a Sophos tem conhecimento.
  • Detecção proativa de malwares que nunca foram vistos antes.
  • Limpeza automática de malwares.

Configurar a proteção contra ameaças

Este vídeo explica como configurar uma política de proteção contra ameaças e inclui as nossas práticas recomendadas.

Deep Learning

O deep learning utiliza um modelo de treinamento de máquina para detectar ameaças. Ele pode identificar malwares conhecidos e previamente desconhecidos e aplicativos potencialmente indesejados sem usar assinaturas.

O deep learning está disponível apenas com o Sophos Intercept X.

Live Protection

Live Protection verifica os arquivos suspeitos em relação aos mais recentes malwares encontrados no banco de dados do SophosLabs.

Você pode selecionar estas opções:

Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online: Isso irá verificar os arquivos durante a varredura em tempo real.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

Varreduras em tempo real verificam os arquivos conforme os usuários tentam acessá-los, e permitem o acesso caso o arquivo esteja limpo.

Os arquivos locais são verificados por default. Você também pode selecionar Arquivos remotos para analisar arquivos em compartilhamentos de rede.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los. Você pode selecionar estas opções:

Varredura de downloads em andamento: Esta configuração controla se será feita a varredura dos downloads e elementos de páginas antes que eles cheguem ao navegador.

  • Conexões HTTP: Fazemos a varredura de todos os elementos e downloads.
  • Conexões HTTPS: Não fazemos a varredura de nenhum elemento, a menos que você ative Descriptografar sites usando SSL/TLS.

Bloquear acesso a sites da web mal-intencionados: Esta opção nega o acesso a sites da web que são conhecidos por hospedar malwares.

Fazemos uma verificação de reputação para ver se o site é conhecido por hospedar conteúdo mal-intencionado (pesquisa SXL4). Se você desativar o Live Protection, também estará desativando essa verificação.

  • Conexões HTTP: Todas as URLs são verificadas, incluindo solicitações GET HTTP completas.
  • Conexões HTTPS: As URLs base são verificadas (SNI). Se você ativar Descriptografar sites usando SSL/TLS, todas as URLs serão verificadas, incluindo solicitações GET HTTP completas.

Detectar arquivos de baixa reputação: Esta configuração verifica a reputação do download com base na origem do arquivo, na frequência com que ele é baixado e mais. Use as opções a seguir para decidir como os downloads são tratados.

Você pode especificar:

  • Ação a ser tomada no caso de downloads de baixa reputação: Use uma destas opções:

    • Prompt para o usuário: Quando um arquivo com reputação desconhecida ou baixa é selecionado para download, o usuário é solicitado a bloqueá-lo ou confiar e permitir o download. Essa é a configuração padrão.
    • Somente log: Os detalhes do arquivo baixado são registrados no log local, mas o usuário não receberá nenhum aviso.

  • Nível de reputação: Use uma destas opções:

    • Recomendado: Arquivos de baixa reputação são bloqueados automaticamente. Essa é a configuração padrão.
    • Estrito: Downloads de reputação média e baixa são bloqueados automaticamente e relatados ao Sophos Central.

Consulte Reputação de download.

Correção

As opções de remediação são as seguintes:

  • Eliminar malwares automaticamente: O Sophos Central elimina automaticamente o malware detectado e registra a limpeza no log. Você pode ver isso na lista Eventos.

    Restrição

    Os computadores Windows sempre limpam os itens detectados, independentemente dessa configuração. Você pode restaurar itens que foram eliminados no Windows. Você não pode restaurar esses itens em Macs, mas ainda assim recomendamos que você ative a limpeza automática em Macs.

    Quando o Sophos Central limpa um arquivo, ele remove o arquivo de seu local atual e o coloca em quarentena no SafeStore. Os arquivos permanecem no SafeStore até que sejam permitidos ou removidos para dar espaço a novas detecções. Você pode restaurar arquivos em quarentena no SafeStore adicionando-os a Aplicativos permitidos. Consulte Aplicativos permitidos.

    O SafeStore tem os seguintes limites padrão:

    • O limite de um único arquivo é de 100 GB.
    • O limite de tamanho geral da quarentena é de 200 GB.
    • O número máximo de arquivos armazenados é 2000.

  • Habilitar criação de Gráfico de Ameaça: Casos de ameaça permitem investigar a cadeia de eventos em um ataque de um malware e identificar áreas onde você pode melhorar a sua segurança.

Proteção em tempo de execução

Você deve participar do Early Access Program para usar algumas opções.

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego. Você pode selecionar:

Proteger arquivos de documento de ransomwares (CryptoGuard): Esta opção protege arquivos de documento contra malwares que restringem o acesso a arquivos e depois exigem um pagamento para liberá-lo. Você também pode optar por proteger computadores de 64 bits contra ransomwares executados de um local remoto.

Você também pode usar estas opções:

  • Proteger de ransomware executado remotamente: Isso garante a proteção em toda a sua rede. Recomendamos que você deixe essa configuração ativada.
  • Proteger contra ataques de criptografia ao sistema de arquivos: Isso protege o computador contra o ransomware que criptografa o sistema de arquivos. Escolha qual ação você quer tomar se o ransomware for detectado. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.

Proteger contra ransomwares em registro mestre de inicialização: Protege o computador de ransomwares que encriptam registros mestres de inicialização (e impedem a inicialização) e de ataques que limpam o disco rígido.

Proteger funcionalidades críticas nos navegadores da web (Safe Browsing): Esta opção protege seus navegadores da web contra explorações por malware.

Mitigar explorações em aplicativos vulneráveis: Esta opção protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.

Proteger processos: Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares. Você pode escolher estas opções:

  • Prevenir ataques vazados ao processo: Esta opção protege contra ataques de substituição de processos.

    Desativar essa configuração facilita para o invasor evitar o software de segurança.

  • Prevenir o carregamento de DLLs de pastas não confiáveis: Esta opção protege contra o carregamento de arquivos .DLL de pastas não confiáveis.

  • Prevenir roubo de credenciais: Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
  • Prevenir utilização de code cave: Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
  • Prevenir violação APC: Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
  • Prevenir escalonamento de privilégio: Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.

Proteção dinâmica de shellcode: Esta opção detecta o comportamento de agentes de acesso remoto ocultos e impede que invasores obtenham controle de suas redes.

Validar o chamador do protocolo CTF: Esta opção intercepta e bloqueia aplicativos que tentam explorar o CTF.

Uma vulnerabilidade em um componente do Windows, conhecida apenas como "CTF", presente em todas as versões anteriores ao Windows XP, permite que um invasor não administrativo e não autorizado sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox.

Impedir o sideload de módulos desprotegidos: Esta opção impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub.

As DLLs ApiSet Stub são DLLs que servem como um proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem colocar DLLs ApiSet Stub mal-intencionadas para manipular a funcionalidade, ou ignorar a proteção contra adulteração e encerrar a proteção antimalware.

Desativar isso reduz significativamente sua proteção.

Proteger cookies do navegador usados no início de sessão MFA. Esta opção impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

Prevenir que beacons mal-intencionados se conectem para o comando e controle de servidores: Essa configuração identifica e bloqueia beacons que tentam se evadir da detecção permanecendo criptografados.

Monitorar o uso de APIs do driver: Esta configuração detecta tentativas de abuso de APIs normalmente usadas por aplicativos legítimos, como impressoras ou adaptadores de rede virtual para interagir com o código de modo kernel.

Prevenir uso mal-intencionado de instruções syscall: Esta configuração bloqueia as tentativas de evitar o monitoramento por meio de chamadas diretas às APIs do sistema.

Prevenir abuso de ponto de interrupção de hardware: Esta configuração impede o uso indevido de pontos de interrupção de hardware.

Proteger o tráfego de rede

  • Detectar conexões mal-intencionadas para comandar e controlar servidores. Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
  • Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS). Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos.

Detectar comportamentos mal-intencionados: Protege contra ameaças ainda desconhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

Proteção AMSI (com varredura melhorada contra ameaças baseadas em script): Esta opção protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI). A varredura dos códigos enviados por AMSI é realizada antes de estes serem executados, e a Sophos notifica os aplicativos que são usados para executar o código de ameaças. Se a ameaça for detectada, um evento é registrado. Você pode impedir a remoção do registro AMSI nos seus computadores. Consulte Antimalware Scan Interface (AMSI).

Impedir a remoção de registro AMSI: Essa configuração garante que o AMSI não possa ser removido dos seus computadores.

Proteção Adaptativa contra Ataques

Ativar proteções adicionais automaticamente quando um dispositivo estiver sob ataque: Aplica um conjunto de proteções mais agressivo quando é detectado um ataque. Essas proteções extras foram projetadas para interromper as ações de um invasor.

Você também pode ativar os recursos da Proteção Adaptativa contra Ataques permanentemente.

  • Habilitar proteção no modo seguro: Esta configuração habilita a proteção da Sophos quando os dispositivos estão sendo executados no Modo Seguro. Alguns componentes e recursos, como o Retransmissor de mensagens e o Cache de atualização, não estão disponíveis no Modo Seguro.

  • Bloquear abuso do modo seguro: Esta configuração detecta e bloqueia atividades que indicam que um invasor está tentando colocar o dispositivo no Modo Seguro.

Configurações avançadas

Estes configurações destinam-se apenas a testes ou resolução de problemas. Recomendamos que você os deixe configurados com os valores default.

Bloquear conexões do navegador QUIC

Em Macs, você só pode utilizar esta funcionalidade se tiver se cadastrado no Early Access Program.

Selecione Bloquear acesso do navegador QUIC (Quick UDP Internet Connections) aos sites para impedir essas conexões.

Os navegadores habilitados por QUIC podem ignorar a nossa verificação de site de determinados sites. Bloquear o QUIC garante que apliquemos a descriptografia SSL/TLS e a verificação a esses sites.

Por padrão, essa configuração está desativada.

Descriptografia de SSL/TLS de sites HTTPS

Em Macs, você só pode utilizar esta funcionalidade se tiver se cadastrado no Early Access Program.

Se você selecionar Descriptografar sites usando SSL/TLS, faremos a descriptografia e verificaremos o conteúdo dos sites HTTPS quanto a ameaças nos computadores de seus clientes.

Se descriptografarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a descriptografia está desativada.

Nota

Se a descriptografia estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

Se você ativar esta configuração, seus clientes não poderão fazer alterações.

Nota

Se seus clientes estiverem participando do EAP "New Endpoint Protection Features", eles poderão ativar ou desativar a descriptografia em sites HTTPS. Eles podem fazer alterações nas configurações que você escolher.

Isolamento do dispositivo

Se você selecionar esta opção, os dispositivos irão se auto-isolar da sua rede se a integridade deles estiver no vermelho. A integridade de um dispositivo entra no "vermelho" se forem detectadas ameaças nele, se houver um software desatualizado, se ele for incompatível com a política ou se não estiver protegido adequadamente.

Nota

O Sophos Central usa uma maior variedade de fatores para determinar a integridade. Isso pode significar que ele relata um status de integridade diferente para um dispositivo a partir do próprio dispositivo. Isso não afeta o isolamento. Usamos apenas um status de integridade vermelho fornecido por um dispositivo para isolá-lo.

Você pode continuar a gerenciar dispositivos isolados a partir do Sophos Central. Você pode usar exclusões de varredura ou exclusões globais para dar acesso limitado a eles para a resolução do problema.

Você não pode remover esses dispositivos do isolamento. Eles voltarão a se comunicar com a rede assim que a sua integridade volte para "verde".

Recomendamos que você avalie o impacto dessa opção na sua rede antes de aplicá-la. Para fazer isso, ative-a em uma política e aplique a política a uma amostra representativa de dispositivos.

Nota

Quando os dispositivos de seus usuários entram em isolamento, eles podem ainda ser capazes de acessar seus arquivos de rede. Isso se deve ao recurso do Windows "Sempre disponível offline", que cria cópias locais de unidades de rede mapeadas que os usuários podem acessar quando desconectados. Esse comportamento não afeta o isolamento do dispositivo.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

A verificação agendada é uma técnica legada para detectar malware. Ela raramente é necessária agora que temos a varredura em segundo plano. Ela pode aumentar a carga do sistema e diminuir significativamente a velocidade da varredura. Recomendamos que você não use varreduras agendadas, a menos que seja necessário.

Você pode selecionar estas opções:

  • Habilitar varredura agendada: Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

    Nota

    O horário da varredura agendada é o horário nos computadores endpoint (não um horário UTC).

  • Habilitar varredura aprofundada: Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

A varredura agendada só acontece quando o computador está online. Se o computador estiver offline durante o horário agendado para a varredura, a varredura não ocorre. O sistema iniciará uma varredura no próximo horário agendado, desde que o computador esteja online.

Exclusões

Você pode excluir arquivos, pastas, sites da Web ou aplicativos da varredura para identificação de ameaças, conforme descrito abaixo.

Restrição

Não é possível criar uma exclusão "Mitigação de exploração e Monitoramento de atividade (Windows)" na página Modelos globais.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada. Use uma exclusão de explorações detectadas.

As exclusões definidas em uma política são usadas apenas para os usuários a quem a política se aplica.

Nota

Se quiser aplicar exclusões a todos os seus usuários e servidores, você pode definir exclusões globais. No Sophos Central Admin, vá para Meus produtos > Configurações gerais > Exclusões globais.

Para criar uma política de varredura, siga este procedimento:

  1. Em Exclusões de políticas, clique em Adicionar exclusão.

  2. Em Adicionar Exclusão, faça o seguinte:

    1. Em Tipo de exclusão, selecione um tipo de item para excluir. Por exemplo, arquivo ou pasta, site, aplicativo potencialmente indesejado ou isolamento de dispositivo.

    2. Em Valor, especifique o item, ou itens, que deseja excluir. Para obter mais informações sobre exclusões, consulte Usando exclusões com segurança.

      Você deve inserir detalhes adicionais dependendo do seu tipo de exclusão.

    3. Clique em Adicionar. A exclusão é adicionada à lista de exclusões de varredura.

    4. (Opcional) Clique em Adicionar outro para adicionar outra exclusão.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos ajustes e clique em Atualizar.

Mensagens de desktop

Mensagens de desktop envia suas notificações sobre eventos de proteção contra ameaças. O default da opção é estar ativada.

Você pode inserir a sua própria mensagem para adicionar ao final das notificações padrão.