Impostazioni predefinite di Server Protection

Nel documento Sophos Central Enterprise. Guida in linea (pagine 51-56)

Si consiglia di lasciare attivate queste impostazioni. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Queste impostazioni offrono:

• Rilevamento del malware noto.

• Verifiche nel cloud per abilitare il rilevamento del più recente malware noto a Sophos.

• Rilevamento proattivo del malware inedito.

• Rimozione automatica del malware.

• Esclusione automatica dalla scansione per le attività delle applicazioni note.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

È possibile scegliere tra le seguenti opzioni:

Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

Nota

L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).

Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce procedendo come indicato di seguito.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit.

Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato (utilizzando un'esclusione Exploit rilevati).

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti ai quali viene applicato il criterio.

Nota

Se si desidera applicare esclusioni a tutti gli utenti e i server, impostare esclusioni globali nella pagina Impostazioni globali > Esclusioni globali.

Per creare un’esclusione dalla scansione in un criterio:

1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

2. Nell'elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).

3. Specificare l’elemento o gli elementi da escludere.

4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.

5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

È possibile aggiungere un messaggio al termine delle notifiche standard. Se si lascia vuota la casella del messaggio, verrà visualizzato solamente il messaggio standard.

La Abilita la messaggistica desktop per la protezione dalle minacce è abilitata per impostazione predefinita. Disattivandola, non verrà visualizzato alcun messaggio di notifica relativo alla protezione contro le minacce.

Immettere il testo che si desidera aggiungere.

Concetti correlati

Server Protection: Intercept X Advanced (pagina 50)

Se si è in possesso di una licenza Intercept X Advanced for Server, nel criterio di protezione contro le minacce verranno visualizzate ulteriori opzioni, oltre a quelle standard della Protezione per server.

Server Protection: Impostazioni predefinite (pagina 52)

Il criterio di base per la protezione contro le minacce dei server include le seguenti opzioni standard.

Informazioni correlate

Articolo 121461 della knowledge base Server Protection: Intercept X Advanced

Se si è in possesso di una licenza Intercept X Advanced for Server, nel criterio di protezione contro le minacce verranno visualizzate ulteriori opzioni, oltre a quelle standard della Protezione per server.

Protezione runtime

Restrizione

Alcune opzioni sono disponibili solamente per chi partecipa all'Early Access Program (Programma di accesso in anteprima).

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli nei computer endpoint.

Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto. È possibile selezionare l'azione che si desidera eseguire se viene rilevato ransomware. È presente l'opzione di terminare eventuali processi di ransomware in esecuzione, oppure di isolare qualsiasi processo di ransomware per impedire che scriva sul file system.

Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.

Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.

Impostazioni avanzate dell'attenuazione degli exploit:

— Impedisci furto delle credenziali: Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.

— Impedisci utilizzo dei code cave: Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.

— Impedisci violazione delle APC: Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.

— Impedisci privilege escalation: Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.

Si consiglia di testare queste impostazioni prima di applicare il criterio ai server.

Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere di:

— proteggere i sistemi dagli attacchi di sostituzione dei processi (attacchi di process hollowing).

— proteggere i sistemi dal caricamento di file .DLL da cartelle non attendibili.

Abilita branch tracing della CPU: il rilevamento di codice malevolo nella CPU è una funzionalità dei processori Intel che consente di monitorare l'attività del processore a scopo di rilevamento. Le nostre tecnologie supportano questa funzionalità sui processori Intel e nelle seguenti architetture:

Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake e Kaby Lake.

Non la supportiamo se è presente un hypervisor (legittimo) nel computer.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Correzione

Abilita creazione di casi di minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.

Consenti ai server di inviare a Sophos Central i dati relativi a file sospetti, eventi di rete e attività degli strumenti di amministrazione: questa opzione invia a Sophos i dettagli relativi a potenziali minacce. Verificare che sia attivata in tutti i criteri per i server nei quali si desidera effettuare ricerche sulle minacce.

Nota

Questa opzione è disponibile se è installata Intercept X Advanced with EDR for Server.

Restrizione

È necessario attivare questa opzione sia in Endpoint Protection che in Server Protection per utilizzare Intercept X Advanced for Server with EDR.

Server Protection: Impostazioni predefinite

Il criterio di base per la protezione contro le minacce dei server include le seguenti opzioni standard.

Si consiglia di lasciare attivate queste impostazioni. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Avviso

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Restrizione

Alcune opzioni sono disponibili solamente per i server Windows. Le colonne nella parte destra della pagina indicano il tipo di server a cui è destinata ciascuna opzione.

Restrizione

Alcune opzioni sono disponibili solamente per chi partecipa all'Early Access Program (Programma di accesso in anteprima).

Protezione runtime

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli.

Proteggi traffico di rete

Rileva le connessioni malevole verso i server di comando e controllo (C&C): Con questa opzione viene rilevato il traffico tra computer endpoint e server, quando tale traffico mostra comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint (un attacco di “comando e controllo”).

Previeni il traffico di rete malevolo con l'ispezione dei pacchetti: Questa opzione serve ad analizzare le comunicazioni della rete, identificando e bloccando le minacce prima che possano danneggiare sistema operativo o applicazioni.

Abilita Sophos Security Heartbeat: Questa opzione invia report sullo stato di integrità del server a ciascun Sophos XG Firewall registrato al proprio account Sophos Central. Se è registrato più di un solo firewall, i report verranno inviati a quello più vicino che risulta disponibile. Se un report indica che un server potrebbe essere compromesso, il firewall sarà in grado di limitarne l'accesso.

Protezione AMSI (con scansione ottimizzata per l'individuazione delle minacce basate su script). Questa opzione protegge i sistemi dal codice malevolo (ad es. script di PowerShell) utilizzando l'Antimalware Scan Interface (AMSI) di Microsoft. Il codice inoltrato tramite AMSI viene sottoposto a scansione prima di essere eseguito, e le applicazioni utilizzate per eseguire codice appartenente a minacce ricevono una notifica. Se il sistema rileva una minaccia, viene creato un evento nel log. È possibile impedire che la registrazione ad AMSI venga rimossa dai server.

Live Protection

Sophos Live Protection analizza i file sospetti confrontando i dati con le informazioni più aggiornate sul malware presenti nel database dei SophosLabs.

Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da

SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

Usa Live Protection durante le scansioni pianificate

Scansione in tempo reale - File locali e condivisioni di rete

Le scansioni in tempo reale analizzano i file a cui gli utenti cercano di accedere, autorizzando l'accesso se i file risultano sicuri.

locale e remota: Se invece si seleziona locale, non verrà eseguita la scansione dei file nelle condivisioni di rete.

in lettura: Questa opzione abilita la scansione dei file al momento dell’apertura.

in scrittura: Questa opzione abilita la scansione dei file al momento del salvataggio.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi.

Eseguire la scansione sui download in corso.

Bloccare l'accesso ai siti Web dannosi: Questa opzione blocca l'accesso ai siti web noti per ospitare malware.

Rileva file con reputazione bassa: Questa opzione segnala quando la reputazione di un download è bassa. La valutazione di tale reputazione si basa sull’origine del file, sulla sua frequenza di

download e su altri fattori. È possibile specificare:

Azione da intraprendere sui download con reputazione bassa: Selezionando Richiedi

conferma all'utente, gli utenti vedranno un avviso quando effettuano il tentativo di scaricare un file con reputazione bassa. Si tratta dell’impostazione predefinita.

Livello di reputazione: Selezionando Rigido, verranno rilevati, oltre ai file con reputazione bassa, anche quelli con reputazione media. L’impostazione predefinita è Consigliato.

Correzione

Rimozione automatica del malware: Abilitando questa opzione, verrà effettuato il tentativo di rimuovere automaticamente le minacce rilevate. Questa opzione è supportata su server Windows e VM guest protetti da una Sophos Security VM (solo se provvisti di Sophos Guest VM Agent).

Nota

I file PE (Portable Executable), quali ad esempio applicazioni, librerie e file di sistema, vengono sempre rimossi, anche se si disattiva la rimozione automatica. I file PE verrano messi in quarantena e potranno essere ripristinati.

Nel documento Sophos Central Enterprise. Guida in linea (pagine 51-56)

Documenti correlati