Distribuzione di un criterio antivirus e HIPS

Si consiglia di distribuire il criterio antivirus e HIPS nel modo seguente:

  1. Creare criteri diversi per gruppi diversi.
  2. Opzioni di Sophos Live Protection Questa funzione utilizza il sistema di ricerca online Sophos per decidere all'istante se un file sospetto rappresenta una minaccia e per aggiornare il vostro software Sophos in tempo reale. Sophos Live Protection è richiesta dalle funzionalità di Rilevamento del traffico malevolo e Reputazione del download.
    • Verificare che le opzioni Abilita Live Protection per la scansione in accesso e Abilita Live Protection per la scansione su richiesta siano selezionate. Se la scansione antivirus su un computer ha identificato un file come sospetto, ma non riesce poi a determinare se sia pulito o malevolo, in base ai file di identità delle minacce (IDE) memorizzati nel computer, alcune caratteristiche del file (come il checksum e altri attributi) vengono inviati a Sophos per un'ulteriore analisi. Il servizio di ricerca online Sophos esegue la ricerca istantanea di un file sospetto nel database di SophosLabs. Se il file viene identificato come pulito o malevolo, la decisione viene inviata al computer e lo stato del file viene automaticamente aggiornato.
    • Selezionare l'opzione Invio automatico di file campione a Sophos. Se un file viene considerato potenzialmente malevolo, ma non può essere identificato con certezza come malevolo solo in base alle caratteristiche del file, Sophos Live Protection consente a Sophos di richiedere un campione del file. Quando è abilitata Live Protection, se l'opzione Invia automaticamente file campione a Sophos è attiva e Sophos non detiene ancora un campione del file, l’invio del file avverrà in maniera automatica. L'invio di tali campioni permette a Sophos di migliorare continuamente il rilevamento del malware senza il rischio di falsi positivi.
    Avvertenza Occorre assicurarsi che il dominio Sophos a cui i dati del file vengono inviati sia considerato fidato nella vostra soluzione di filtraggio web. Per informazioni più dettagliate, consultare l'articolo 62637 della knowledge base. Se si utilizza una soluzione di filtraggio web Sophos, come la Web Appliance WS1000, non c'è bisogno di fare nulla. I domini Sophos sono già considerati fidati.
  3. Rilevare virus e spyware.
    1. Assicurarsi che la scansione in accesso sia abilitata o pianificare una scansione di tutto il sistema per il rilevamento di virus e spyware. La scansione in accesso è abilitata per impostazione predefinita.
    2. Selezionare le opzioni di disinfezione per virus/spyware.
  4. Rilevare file sospetti.
    I file sospetti hanno determinate caratteristiche comuni al malware, ma tali caratteristiche non sono sufficienti perché tali file possano essere identificati come nuovo malware.
    1. Abilitare la scansione in accesso o pianificare una scansione completa del sistema per rilevare file sospetti.
    2. Selezionare l'opzione File sospetti nelle impostazioni di scansione.
    3. Selezionare l'opzione di disinfezione per i file sospetti.
    4. Se del caso, autorizzare tutti i file di cui è consentito l'utilizzo.
  5. Rilevare comportamenti malevoli e sospetti, buffer overflow, oltre che traffico malevolo (monitoraggio del comportamento).

    Queste opzioni monitorano costantemente i processi in esecuzione per stabilire se un determinato programma abbia comportamenti malevoli o sospetti. Sono utili per bloccare eventuali falle alla sicurezza.

    1. Accertarsi che il monitoraggio del comportamento sia abilitato per la scansione in accesso. Dovrebbe essere abilitato per impostazione predefinita.
    2. Verificare che l'opzione Rilevamento di traffico malevolo sia selezionata.
    3. Utilizzare l'opzione Avvisa solamente solo per rilevare comportamenti sospetti e buffer overflow. Questa opzione è abilitata per impostazione predefinita.
    4. Autorizzare tutti i programmi o file che si desidera continuare ad eseguire anche in futuro.
    5. Configurare il criterio in modo da bloccare i programmi e file rilevati eliminando l'opzione Avvisa solamente.
    Questo approccio evita il blocco dei programmi e dei file di cui gli utenti potrebbero aver bisogno. Per ulteriori informazioni, consultare l'articolo 50160 della knowledge base.
  6. Rilevare adware e PUA.

    Quando si esegue la scansione alla ricerca di adware e PUA per la prima volta, si possono generare molti allarmi relativi ad applicazioni già in esecuzione nella rete. Eseguendo per prima cosa una scansione pianificata, è possibile gestire in sicurezza le applicazioni già in esecuzione nella rete.

    1. Pianificare una scansione di tutto il sistema per rilevare tutti gli adware e PUA.
    2. Autorizzare o disinstallare tutte le applicazioni rilevate dalla scansione.
    3. Selezionare l'opzione scansione in accesso di Adware e PUA per rilevare adware e PUA in futuro.
    Per ulteriori informazioni, consultare l'articolo 13815 della knowledge base.
  7. Rilevare minacce nelle pagine web.

    Questa opzione blocca i siti web noti per ospitare contenuti malevoli, esegue la scansione dei download alla ricerca di contenuti malevoli.

    1. Assicurarsi che l'opzione Blocca l'accesso ai siti web malevoli sia impostata su On, per assicurarsi che i siti web malevoli vengano bloccati. Questa opzione è attiva per impostazione predefinita.
    2. Impostare l'opzione Scansione dei contenuti su Attiva o Come in accesso, per effettuare la scansione e bloccare il download di dati malevoli. Come in accesso, impostazione predefinita, consente la scansione dei download solo quando è abilitata la scansione in accesso.
    3. A seconda delle proprie necessità, autorizzare i siti web consentiti.
    4. Controllare che la verifica della reputazione dei file sia abilitata.
    Nota È inoltre possibile utilizzare il criterio di controllo web per controllare l'utilizzo di Internet grazie all'opzione di filtro dei siti web inclusi nelle 14 categorie di siti web inappropriati.

Per ulteriori informazioni su come impostare i criteri di controllo antivirus e HIPS, consultare la Guida in linea di Sophos Enterprise Console.