Proteção contra ameaças ao servidor

A Proteção contra Ameaças o mantém protegido contra malware, tipos arriscados de arquivos e sites da web e tráfego de rede mal-intencionado.

O SophosLabs pode controlar independentemente quais arquivos são verificados. Varreduras de certos tipos de arquivos poderão ser adicionadas ou removidas para oferecer uma melhor proteção.

Você pode usar as configurações recomendadas ou alterá-las.

Para obter mais informações sobre como avaliamos ameaças, consulte Adware e PUAs.

Intercept X Advanced for Server

Se você tiver esta licença, a sua política de proteção contra ameaças oferece proteção contra ransomware e explorações, detecção de ameaça sem assinatura e análise de causa raiz de eventos de ameaça.

Recomendamos que você use essas configurações para obter o máximo de proteção.

Se você habilitar algum desses recursos, os servidores designados para essa política usarão uma licença do Intercept X Advanced for Server.

Consulte Intercept X Advanced for Server.

Configurações padrão do Server Protection

Recomendamos que você deixe estas configurações ativadas. Elas lhe proporcionam a melhor proteção possível sem configurações complexas.

Essas configurações oferecem:

• Detecção de malwares conhecidos.
• Verificações em nuvem para habilitar a detecção dos mais recentes malwares que a Sophos tem conhecimento.
• Detecção proativa de malwares que nunca foram vistos antes.
• Exclusão automática de atividade por aplicativos conhecidos da varredura.

Consulte Configurações padrão de Proteção contra ameaças ao servidor.

Live Protection

O Live Protection verifica os arquivos suspeitos no banco de dados de ameaças do SophosLabs. Isso ajuda a detectar as ameaças mais recentes e evitar falsos positivos.

Usar Live Protection para verificar as mais recentes informações sobre ameaças no SophosLabs online: Isso irá verificar os arquivos durante a varredura em tempo real.

Para ver nosso banco de dados de ameaças, vá para Adware e PUAs.

Deep Learning

O Deep Learning detecta ameaças automaticamente, especialmente ameaças novas e desconhecidas que não foram vistas nunca antes. Ele usa Machine Learning e não depende de assinaturas.

Varredura em tempo real - arquivos locais e compartilhamentos de rede

A varredura em tempo real verifica se há malware conhecido nos arquivos quando eles são acessados e atualizados. Isso impede que programas mal-intencionados conhecidos sejam executados e que arquivos infectados sejam abertos por aplicativos legítimos.

A varredura oferece varredura em tempo real de arquivos locais e remotos (arquivos acessados na rede) por padrão.

Selecione Local se só quiser fazer a varredura de arquivos no dispositivo.

• na leitura: Os arquivos são verificados quando são abertos.
• na gravação: Os arquivos são verificados quando são salvos.

Habilitar varredura do agente do Server Protection para Linux: Fornece varredura em tempo real em dispositivos Linux.

Varredura em tempo real - Internet

A varredura em tempo real verifica os recursos da internet conforme os usuários tentam acessá-los.

Varredura de downloads em andamento

Esta configuração controla se será feita a varredura dos downloads e elementos de páginas antes que eles cheguem ao navegador.

• Conexões HTTP: Fazemos a varredura de todos os elementos e downloads.
• Conexões HTTPS: Não fazemos a varredura de nenhum elemento, a menos que você ative Descriptografar sites usando SSL/TLS.

Bloquear acesso a sites da web mal-intencionados

Esta configuração nega o acesso a sites da web que são conhecidos por hospedar malwares.

Fazemos uma verificação de reputação para ver se o site é conhecido por hospedar conteúdo mal-intencionado (pesquisa SXL4). Se você desativar o Live Protection, também estará desativando essa verificação.

• Conexões HTTP: Todas as URLs são verificadas, incluindo solicitações GET HTTP completas.
• Conexões HTTPS: As URLs de base são verificadas pelo SNI (Indicação de Nome de Servidor). Se você ativar Descriptografar sites usando SSL/TLS, todas as URLs serão verificadas, incluindo solicitações GET HTTP completas.

Detectar downloads de baixa reputação

Esta configuração verifica a reputação do download com base na origem do arquivo, na frequência com que ele é baixado e mais. Use as opções a seguir para decidir como os downloads são tratados.

Defina Ação a ser tomada como Prompt para o usuário: O usuário final vê um aviso quando um arquivo de baixa reputação é baixado. Depois, poderão confiar no arquivo ou deletá-lo. Essa é a configuração padrão.

Defina Nível de reputação com uma das seguintes opções:

• Recomendado: Arquivos de baixa reputação são bloqueados automaticamente. Essa é a configuração padrão.
• Estrito: Downloads de reputação média e baixa são bloqueados automaticamente e relatados ao Sophos Central.

Para obter mais informações sobre os níveis de reputação, consulte Download Reputation.

Varredura em tempo real - Opções

Excluir atividade automaticamente por aplicativos conhecidos: Essa configuração exclui aplicativos amplamente usados, conforme recomendado por seus fornecedores.

Para obter mais informações, consulte Automatically excluded third-party products.

Correção

Habilitar criação de Gráfico de Ameaça: Isso ajuda a investigar a cadeia de eventos em um ataque de malware. Sugerimos que você ative a opção para poder analisar os ataques que detectamos e bloqueamos.

O Sophos Central limpa automaticamente os itens detectados em computadores Windows e dispositivos Linux que executam o Sophos Protection for Linux. O Sophos Central remove o arquivo de seu local atual e o coloca em quarentena no SafeStore. Os arquivos permanecem no SafeStore até que sejam permitidos ou removidos para dar espaço a novas detecções. Você pode restaurar arquivos em quarentena no SafeStore adicionando-os a Aplicativos permitidos. Consulte Aplicativos permitidos.

O SafeStore tem os seguintes limites padrão:

• O limite de um único arquivo é de 100 GB.
• O limite de tamanho geral da quarentena é de 200 GB.
• O número máximo de arquivos armazenados é 2000.

Proteção em tempo de execução

A proteção em tempo de execução protege contra ameaças por meio da detecção de comportamentos suspeitos ou mal-intencionados ou tráfego.

Proteger arquivos de documento de ransomwares (CryptoGuard): Essa configuração protege você contra o malware que restringe o acesso aos seus arquivos e que exige um valor para liberá-los. O recurso está ativado por padrão. É altamente recomendado que você o deixe ativado.

Você também pode usar as seguintes opções:

• Proteger de ransomware executado remotamente: Isso garante a proteção em toda a sua rede. Recomendamos que você deixe essa configuração ativada.
• Proteger contra ataques de criptografia ao sistema de arquivos: protege os dispositivos de 64 bits contra o ransomware que criptografa o sistema de arquivos. Se um ransomware for detectado, você pode escolher qual ação tomar. Você pode encerrar processos de ransomware ou isolá-los para impedir que gravem no sistema de arquivos.

Proteger contra ransomwares em registro mestre de inicialização: Protege o dispositivo contra ransomwares que criptografam registros mestres de inicialização (e impedem a inicialização) e de ataques que apagam o disco rígido.

Proteger funcionalidades críticas nos navegadores da web (Safe Browsing): Essa configuração protege seus navegadores da Web contra a exploração por malware por meio de seu navegador da Web.

Mitigar explorações em aplicativos vulneráveis: Esta configuração protege os aplicativos mais propensos a explorações por malwares. Você pode selecionar quais tipos de aplicativos proteger.

Proteger processos: Esta opção ajuda a impedir a intercepção de aplicativos genuínos por malwares. Você pode escolher entre estas opções:

• Prevenir ataques vazados ao processo: Também conhecido como "substituição de processo" ou injeção DLL. Os invasores normalmente usam essa técnica para carregar código mal-intencionado em um aplicativo legítimo para tentar evitar o software de segurança.

  Desativar essa configuração facilita para o invasor evitar o software de segurança.

• Prevenir o carregamento de DLLs de pastas não confiáveis: Esta opção protege contra o carregamento de arquivos DLL de pastas não confiáveis.

• Prevenir roubo de credenciais: Esta opção impede o roubo de senhas e informações de hash da memória, registro ou disco rígido.
• Prevenir utilização de code cave: Esta opção detecta códigos mal-intencionados que foram inseridos em outro aplicativo legítimo.
• Prevenir violação APC: Esta opção impede que os ataques utilizem chamadas APC (Application Procedure Call) para executar seus códigos.
• Prevenir escalonamento de privilégio: Esta opção impede que os ataques de escalonamento de processos de baixo privilégio para privilégios mais altos deem acesso aos seus sistemas.

Proteção dinâmica de shellcode: Esta configuração detecta o comportamento de agentes de comando e controle remoto ocultos e impede que os invasores obtenham controle de suas redes.

Validar o chamador do protocolo CTF: Esta configuração bloqueia aplicativos que tentam explorar uma vulnerabilidade no CTF, um componente em todas as versões do Windows. A vulnerabilidade permite que um invasor não administrador sequestre qualquer processo do Windows, inclusive aplicativos executados em uma área restrita de sandbox. Recomendamos que você ative Validar o chamador do protocolo CTF.

Impedir o sideload de módulos desprotegidos: Esta configuração impede que um aplicativo faça o sideload de uma DLL mal-intencionada que se faz passar por uma DLL ApiSet Stub. As DLLs ApiSet Stub servem como proxy para manter a compatibilidade entre aplicativos mais antigos e versões mais recentes do sistema operacional. Os invasores podem usar DLLs ApiSet Stub mal-intencionadas para ignorar a proteção contra adulteração e interromper a proteção antimalware.

Proteger cookies do navegador usados no início de sessão MFA: Esta configuração impede que aplicativos não autorizados descriptografem a chave AES usada para criptografar cookies de autenticação multifator (MFA).

Prevenir uso mal-intencionado de instruções syscall: Esta configuração bloqueia as tentativas de evitar o monitoramento por meio de chamadas diretas às APIs do sistema.

Prevenir abuso de ponto de interrupção de hardware: Esta configuração impede o uso indevido de pontos de interrupção de hardware.

Proteger o tráfego de rede

• Detectar conexões mal-intencionadas de comando e controle de servidores: Detecta o tráfego entre um terminal e um servidor que indica uma possível tentativa de assunção de controle do terminal.
• Prevenir tráfego de rede mal-intencionado com inspeção de pacotes (IPS): Faz a varredura do tráfego no nível mais inferior e bloqueia ameaças antes que elas danifiquem o sistema operacional ou aplicativos. Esta opção é desativada por padrão.

Detecções em tempo de execução Linux: Esta configuração proporciona visibilidade e detecção de ameaças em tempo de execução em contêineres e cargas de trabalho de servidores Linux. Você pode gerenciar esses alertas no Centro de Análise de Ameaças. Consulte Detecções.

Prevenir que beacons mal-intencionados se conectem para o comando e controle de servidores: Essa configuração identifica e bloqueia beacons que tentam se evadir da detecção permanecendo criptografados.

Monitorar o uso de APIs do driver: Esta configuração detecta tentativas de abuso de APIs normalmente usadas por aplicativos legítimos, como impressoras ou adaptadores de rede virtual para interagir com o código de modo kernel.

Detectar comportamentos mal-intencionados: Esta configuração protege contra ameaças que ainda não são conhecidas. Para isso, detecta e bloqueia o comportamento que é reconhecido como mal-intencionado ou que é suspeito.

Proteção AMSI: Esta configuração protege contra códigos mal-intencionados (por exemplo, scripts PowerShell) usando Microsoft Antimalware Scan Interface (AMSI).

A varredura dos códigos enviados por AMSI é realizada antes de serem executados, e o endpoint notifica os aplicativos usados para executar o código sobre ameaças. Se a ameaça for detectada, um evento é registrado.

Impedir a remoção de registro AMSI: Essa configuração garante que o AMSI não possa ser removido dos seus computadores.

Monitorar eventos do controlador de domínio: Esta configuração fornece visibilidade adicional e proteção contra ataques direcionados a controladores de domínio, como o PetitPotam. Esta configuração está ativada por padrão.

Habilitar o Sophos Security Heartbeat: Esta configuração envia relatórios de "integridade" do servidor para cada Sophos Firewall registrado na sua conta Sophos Central. Se houver mais de um firewall registrado, os relatórios irão para o mais próximo que esteja disponível. Se um relatório mostrar que um servidor pode estar comprometido, o firewall poderá restringir o acesso.

Proteção Adaptativa contra Ataques

Ativar proteções adicionais automaticamente quando um dispositivo estiver sob ataque: Esta configuração habilita um conjunto de proteções mais agressivo quando é detectado um ataque. Essas proteções extras foram projetadas para interromper as ações de um invasor.

Você também pode ativar os recursos da Proteção Adaptativa contra Ataques permanentemente.

• Habilitar proteção no modo seguro: Esta configuração habilita a proteção da Sophos quando os dispositivos estão sendo executados no Modo Seguro. Alguns componentes e recursos, como o Retransmissor de mensagens e o Cache de atualização, não estão disponíveis no Modo Seguro.
• Bloquear abuso do modo seguro: Esta configuração detecta e bloqueia atividades que indicam que um invasor está tentando colocar o dispositivo no Modo Seguro.

Configurações avançadas

Estes configurações destinam-se apenas a testes ou resolução de problemas. Recomendamos que você os deixe configurados com os valores default.

Bloquear conexões do navegador QUIC

Selecione Bloquear acesso do navegador QUIC (Quick UDP Internet Connections) aos sites para impedir essas conexões.

Os navegadores habilitados por QUIC podem ignorar a nossa verificação de site de determinados sites. Bloquear o QUIC garante que apliquemos a descriptografia SSL/TLS e a verificação a esses sites.

Por padrão, essa configuração está desativada.

Descriptografia de SSL/TLS de sites HTTPS

Se você selecionar Descriptografar sites HTTPS usando SSL/TLS, faremos a descriptografia e verificaremos o conteúdo dos sites HTTPS quanto a ameaças.

Se descriptografarmos um site arriscado, nós o bloquearemos. Mostramos ao usuário uma mensagem e lhe damos a opção de enviar o site para o SophosLabs para reavaliação.

Por padrão, a descriptografia está desativada.

Se a descriptografia HTTPS estiver ativada na política que se aplica a um dispositivo, aplica-se o seguinte:

• A descriptografia HTTPS também estará ativada para verificações de Controle da Web nesse dispositivo.
• Os recursos de proteção em Varredura em tempo real - Internet também podem acessar todo o conteúdo, downloads e URLs de páginas do site.

Exclusões de descriptografia de HTTPS

Por padrão, excluímos algumas categorias de sites, como serviços bancários e webmail, da descriptografia. Isso porque os sites nessas categorias contêm informações pessoais.

Você pode alterar as exclusões nas configurações gerais. Vá para Meus produtos > Configurações gerais > Geral > Descriptografia de SSL/TLS de sites HTTPS.

Varredura em tempo real para Linux

Se você selecionar Habilitar varredura do Agente do Server Protection para Linux, faremos a varredura dos arquivos enquanto os usuários tentam acessá-los. Se limpo, o acesso ao arquivo é permitido.

Por padrão, a varredura em tempo real do Linux está desativada.

Varredura agendada

A varredura agendada realiza uma verificação no horário, ou horários, que você especificar.

A varredura agendada não será necessária quando a varredura em tempo real estiver ativada. No entanto, ainda pode ser útil para diferentes casos de uso, incluindo a verificação de arquivos mais antigos e auxílio em investigações de segurança. Recomendamos executar varreduras agendadas durante os horários de menor movimento para minimizar os impactos potenciais na carga do sistema. Também recomendamos o uso de varredura em tempo real, que varre os arquivos conforme são acessados ou modificados, em vez de fazer sua varredura apenas em intervalos agendados. Consulte Varredura em tempo real - arquivos locais e compartilhamentos de rede.

Você pode selecionar as seguintes opções:

• Habilitar varredura agendada: Esta opção permite que você defina um horário e um ou mais dias em que a varredura deverá ser realizada.

  O horário da varredura agendada é o horário nos computadores endpoint (não o UTC).

• Habilitar varredura aprofundada: Se você selecionar esta opção, a varredura dentro do arquivamento será realizada durante as varreduras agendadas. Isso poderá aumentar a carga no sistema e tornar a varredura significativamente mais lenta.

Exclusões

Você pode excluir arquivos, pastas, sites da Web ou aplicativos da varredura para identificação de ameaças, conforme descrito abaixo.

Ainda assim verificaremos os itens excluídos para identificar as explorações de vulnerabilidades. No entanto, é possível interromper a verificação de uma exploração de vulnerabilidade que já tenha sido detectada. Use uma exclusão de Explorações detectadas.

As exclusões definidas em uma política são usadas apenas para os usuários a quem a política se aplica.

Consulte Exclusões automáticas.

Para cria uma exclusão de varredura de política:

1. Em Exclusões, clique em Adicionar exclusão.

2. Na caixa de diálogo Adicionar exclusão, faça o seguinte:

   1. Em Tipo de exclusão, selecione um tipo de item para excluir. Por exemplo, arquivo ou pasta, site, aplicativo potencialmente indesejado (PUA) ou isolamento de dispositivo.
   2. Em Valor, especifique o item, ou itens, que deseja excluir. Para obter mais informações sobre exclusões, consulte Usando exclusões com segurança.
   3. Para as exclusões de Arquivos ou pasta apenas, em Ativo para, especifique se a exclusão será válida para a varredura em tempo real, para a varredura agendada ou para ambas.
   4. (Opcional) Clique em Adicionar outro para adicionar outra exclusão.

3. Na página Proteção contra ameaças, clique em Salvar.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos ajustes e clique em Atualizar.

Exclusões de varredura

Você pode excluir arquivos, pastas, sites da web ou aplicativos da varredura por ameaças.

As exclusões definidas em uma política são usadas apenas para servidores aos quais a política se aplica.

Para obter ajuda sobre como usar exclusões, consulte Usando exclusões com segurança.

Para criar uma exclusão de varredura, siga este procedimento:

1. Em Exclusões, clique em Adicionar exclusão.
2. Na caixa de diálogo Adicionar exclusão, em Tipo de exclusão, selecione um tipo de item para excluir (arquivo ou pasta, site, aplicativo potencialmente indesejado ou isolamento de dispositivo).

3. Especifique o item, ou itens, que deseja excluir. Aplicam-se as seguintes regras:

   • Arquivos ou pasta (Windows): No Windows, é possível excluir uma unidade, pasta ou arquivo usando o caminho completo. Você pode usar caracteres curinga e variáveis. Consulte os exemplos a seguir.

     • Pasta: C:\programdata\adobe\photoshop\
     • Unidade de disco inteira: D:
     • Arquivos: C:\program files\program\*.vmg

   • Arquivo ou pasta (Linux): No Linux, é possível excluir uma pasta ou arquivo. Você pode usar os caracteres curinga ? e *. Exemplo: /mnt/hgfs/excluded.

   • Processo (Windows): Você pode excluir qualquer processo em execução de um aplicativo. Isso também exclui arquivos usados pelo processo (mas apenas quando eles são acessados pelo processo em questão). Se possível, forneça o caminho completo do aplicativo, não apenas o nome do processo exibido no Gerenciador de Tarefa. Exemplo: %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe.

     Nota

     Para ver todos os processos ou outros itens que você precisa excluir de um aplicativo, consulte a documentação do fornecedor do aplicativo.

   • Site da Web (Windows): Você pode especificar sites da web usando endereço de IP, intervalo de endereços de IP (na notação CIDR) ou domínio. Exemplos:

     • Endereço IP: 192.168.0.1
     • Intervalo de endereço de IP: 192.168.0.0/24 O apêndice /24 simboliza o número de bits no prefixo comum a todos os endereços IP desse intervalo. Dessa forma, /24 equivale à máscara de rede 11111111.11111111.11111111.00000000, ou 255.255.255.0 em representação decimal. Em nosso exemplo, o intervalo inclui todos os endereços IP de 192.168.0.0 a 192.168.0.255.
     • Domínio: google.com

     Se você excluir um site, nós não verificaremos a categoria do site e ele será excluído da proteção de controle da Web. Consulte Controle da Web do servidor.

   • Aplicativo Potencialmente Indesejado (Windows/Mac/Linux): Você pode excluir aplicativos que são normalmente detectados como spywares. Especifique a exclusão usando o mesmo nome pelo qual o sistema o detectou, por exemplo, PsExec ou Cain n Abel. Para obter mais informações sobre PUAs, consulte Adware e PUAs.

   • Explorações detectadas (Windows/Mac). Você pode excluir explorações detectadas usando um ID de Detecção. Você pode usar essa opção quando estiver trabalhando com o Suporte da Sophos para resolver uma detecção de falso positivo. O Suporte da Sophos pode fornecer um ID de Detecção para você poder excluir a detecção de falso positivo. Para fazer isso, clique em A exploração não está na lista? e digite o ID.

4. Clique em Adicionar ou Adicionar Outro. A exclusão é adicionada à lista de exclusões de varredura.

Para editar uma exclusão posteriormente, clique no nome da exclusão na lista, insira novos ajustes e clique em Atualizar.

Exclusão de hash

A exclusão de hash interrompe o hash de arquivo do diário da Sophos e do Data Lake, o que pode impactar o desempenho.

Para adicionar uma exclusão de hash, siga este procedimento:

1. Em Exclusões, clique em Adicionar exclusão.

2. Na caixa de diálogo Adicionar exclusão, faça o seguinte:

   1. Em Tipo de exclusão, selecione Exclusão de hash (Windows).
   2. Selecione um arquivo ou pasta ou um processo em Arquivo/pasta ou Processo.
   3. Insira o valor do caminho de exclusão. Você pode excluir uma unidade, pasta ou arquivo. Você também pode usar caracteres curinga. Consulte Exclusões de varredura do Windows.
   4. Clique em Adicionar.

3. Na página Proteção contra ameaças, clique em Salvar.

Mensagens de desktop

Você pode adicionar uma mensagem ao final da notificação padrão. Se deixar a caixa de mensagem vazia, será exibida apenas a mensagem padrão.

Ativado é o default de Habilitar mensagens de desktop para a Proteção contra Ameaças. Se Desativado, você não verá as mensagens de notificação relacionadas à Proteção contra Ameaças.

Introduza o texto que pretende adicionar.