Blog

Sophos Intercept X: Các cấu hình hay và chuẩn nhất cho Threat Protection Policy

Overview

Intercept X là một công cụ mạnh mẽ, có thể bảo vệ khỏi nhiều mối đe doạ khác nhau và không dựa vào một hình thức quét cụ thể nào cả. Do đó, sức mạnh càng lớn thì đi kèm với trách nhiệm càng lớn. Trách nhiệm của Sophos Intercept X đó chính là việc cấu hình các chính sách. Các chính sách được cấu hình sai sẽ dẫn đến việc bảo vệ chống lại các mối đe doạ sẽ không thể hoạt động khi có kẻ xấu tấn công. Bài viết sẽ hỗ trợ bạn có thể cấu hình các chính sách của mình một cách an toàn nhất có thể

Endpoint Threat Protection Policy

  • Chọn mục SETTINGS của Threat Protection trong Endpoint Protection
  • Sophos khuyến nghị chúng ta nên chọn Use Recommend Settings để có khả năng bảo vệ cao nhất
  • Nếu bạn muốn custom chính sách riêng, dưới đây sẽ là chi tiết về các tính năng của Threat Protection

Initial Scan Settings

  • Live Protection cho khả năng tra cứu trực tuyến thông tin về các mối đe doạ, các virus mới nhất từ trên Sophos Labs
  • Deep Learning là dạng máy học Al cho khả năng nhận diện các mối nguy chưa được biết đến, không có trong danh sách signatures
    • Có khả năng scan các file thực thi portable (PE), scan các file trước khi thực thi và đồng thời cung cấp các đánh giá về mức độ tin cậy của các file có độc hại hay không
    • Quá trình scan diễn ra nhanh chóng và luôn được thực hiện trên PE, nhưng nếu bạn đã loại trừ PE thì nó sẽ bỏ qua kết quả quét và cho phép PE đi qua. Vì không cần signature nên Sophos có khả năng phát hiện phần mềm độc hại dưới nhiều loại hình thức hoặc thậm chí là các phần mềm độc hại chưa từng thấy trước dây, các mối đe doạ Zero-day
    • Sophos kiểm tra các mẫu phát hiện dưới nhiều loại mô hình khác nhau để giảm thiểu khả năng nhận dạng sai nhưng vẫn có thể xảy một số cơ hội nhỏ
  • Real-time Scanning là lớp bảo vệ thiết bị của bạn đầu tiên
  • Sophos sẽ kiểm tra việc scan PE tại thời điểm thực thi. Việc kiểm tra này bao gồm
    • Reputation scan
    • Deep Learning scan
    • Traditional signature-based scan
    • Application Control scan
    • Nếu bạn tắt real-time scanning – tất cả các tính năng trên sẽ không hoạt động
  • Options:
    • Scan downloads in progress
    • Block access to malicious websites: Sẽ ngăn chặn việc truy cập tới các website đã được biết lưu trữ malware
    • Detect low-reputation files: Sẽ có cảnh báo về việc file download có low reputation. Reputation sẽ dựa vào source file và tần suất file được tải và các yếu tố khác nữa. Bạn có thể chỉ định:
    • Action to take on low-reputation downloads: Nếu bạn chọn Prompt user, người dùng chỉ thấy cảnh báo về file download. Người dùng có thể tin tưởng hoặc delete file. Đây là cấu hình mặc định
    • Reputation level: Nếu bạn chọn Strict, các file có reputation là medium và low sẽ bị cảnh báo. Cấu hình mặc định là Recommended
  • Remediation: là những hành động khắc phục hậu quả khi các mối đe doạ được phát hiện. Ở mục Enable Threat Case creation có nghĩa là khi phát hiện mối đe doạ sẽ tạo 1 threat case gửi cho Threat Analysis Center. Điều này cực kì có lợi khi xử lý việc tấn công

Runtime Protection

  • Cryptoguard là biện pháp bảo vệ chống lại ransomware cho các tài liệu quan trọng thường là mục tiêu của bạn
  • Protect from master boot record ransomware bảo vệ thiết bị khỏi ransomware mã hoá MBR, có thể ngăn chặn việc khởi động và tấn công xoá sạch hard disk
  • Protect critical functions in web browsers (Safe Browsing) bảo vệ việc khai thác từ các trình duyệt web (Javascript Injections, SQL Cross site scritpting và các cách khai thác khác mà trang web có thể buộc trình duyệt web của bạn được hoạt động trên thiết bị của bạn
  • Mitigate exploits in vulnerable applicationsProtect process giúp bảo vệ các ứng dụng và tiến trình dễ bị khai thác (JAVA, Office Docs, …). Các ứng dụng này không độc hại, nhưng những dữ liệu khai thác được đưa vào chúng khiến các ứng dụng này có thể trở nên độc hại
  • CPU branch tracing dành riêng cho bộ xử lý Intel và cho phép theo dõi hoạt động của bộ xử lý để phát hiện các mối nguy

EAP/New Features section

Advanced Settings

  • Đây là các cài đặt nâng cao chứa một số tuỳ chọn để khắc phục sự cố, các tuỳ chọn này chỉ nên bị vô hiệu hoá tạm thời. Để những cài đặt này làm cài đặt mặc định

Device Isolation

  • Device isolation được thiết kế để ngăn chặn sự di chuyển của malware, worms vào trong cơ sở hạ tầng quan trọng. Nó sẽ ngăn chặn máy trạm với hệ thống mạng khi phát hiện trạng thái màu đỏ

Scheduled Scans

  • Do tính năng quét theo thời gian thực và trình quét nền luôn chạy, cho nên việc chạy quét toàn bộ hệ thống là không cần thiết và bạn có thể sử dụng tính năng scan theo lịch trình

Exclusions

  • Trong một số trường hợp, thì việc loại trừ là không thể tránh khỏi. Tuy nhiên cần sử dụng một cách chính xác nhất có thể. Không loại trừ toàn bộ ổ đĩa. Loại trừ các tệp hoặc phát hiện cụ thể thay vì toàn bộ thư mục
  • Hãy nhớ rằng, bất kì PE nào được loại trừ sẽ không bị hạn chế trong việc chạy. Nó có thể làm bất cứ hành động độc hại nào nó muốn
  • Trước khi thực hiện loại trừ, hãy đọc qua tài liệu của chúng tôi về quét loại trừ và trong khi thực hiện loại trừ, hãy đọc mô tả được hiển thị để đảm bảo bạn đang sử dụng đúng loại loại trừ

Server Threat Protection policy

Về phần server, tất cả cài đặt đều khá giống nhau, chúng sẽ có thứ tự hơi khác một chút. Nếu bạn có license Intercept X thì hãy bật tất cả các tính năng nâng cao để được bảo vệ đầy đủ

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận