hiep03
Intern
Tạo danh sách loại trừ
I. Mở đầu
Khi triển khai giải pháp bảo mật Sophos Endpoint, đôi khi bạn cần loại trừ một số file, thư mục, ứng dụng hoặc website hợp pháp để tránh Sophos chặn nhầm (false positive).Danh sách loại trừ (Exclusions) chính là công cụ giúp bạn giải quyết vấn đề này. Nếu cấu hình đúng, bạn sẽ giảm thiểu cảnh báo không cần thiết, tránh làm gián đoạn công việc của người dùng mà vẫn đảm bảo mức bảo vệ cao.
Bài viết này sẽ hướng dẫn chi tiết lý thuyết, cách tạo và kiểm tra danh sách loại trừ trong Sophos Central.
II. Lý thuyết
Danh sách loại trừ (Exclusions) dùng để:- Bỏ qua (ignore) một file, thư mục, ứng dụng, website hoặc tiến trình.
- Ngăn Sophos phát hiện hoặc chặn các đối tượng đó.
- Global Exclusions (cấp toàn cục):Có 2 vị tríchính để thiết lập Global Exclusions:
- Global Exclusions chung (từ General Settings) – Áp dụng cho toàn bộ thiết bị và người dùng trong tổ chức.
- Global Exclusions riêng theo Product (Endpoint, Server…) – Một số sản phẩm có phần Global Exclusions riêng.
- Policy Exclusions (Loại trừ theo chính sách): Áp dụng cho một nhóm máy hoặc ứng dụng cụ thểĐây là cách linh hoạt nhất, cho phép bạn loại trừ chỉ áp dụng cho một nhóm máy, một phòng ban hoặc một chính sách riêng, thay vì ảnh hưởng đến toàn bộ hệ thống.
Global Exclusions chung (Toàn tổ chức)
Đây là cấp độ cao nhất, áp dụng cho tất cả mọi thứ (cả Endpoint và Server) được quản lý trong tài khoản Sophos Central của bạn.
- Cách truy cập: Vào giao diện chính Sophos Central > Chọn Settings (ở cột trái dưới cùng) > Chọn Global Exclusions.
Global Exclusions theo Sản phẩm (Endpoint hoặc Server)
Cấp độ này thu hẹp phạm vi lại, chỉ áp dụng cho riêng dòng máy Trạm (Endpoint) hoặc riêng dòng máy Chủ (Server).
- Cách truy cập: Vào My Products > Chọn Endpoint Protection (hoặc Server Protection) > Chọn Settings > Tìm mục Global Exclusions.
Policy-level Exclusions (Theo Chính sách - Linh hoạt nhất)
- Cách truy cập: Vào My Products > Endpoint/Server Protection > Policies > Chọn hoặc Add một Policy cụ thể > Tab Settings > Cuộn xuống mục Exclusions.
III. Demo và kiểm tra
Demo 1: Tạo Global Exclusions cho toàn bộ Product (Loại trừ chung cho toàn bộ một product)Hướng dẫn:
- Chọn My Products -> Endpoint/Server -> General Settings.
- Tìm mục Global Exclusions.
- Nhấn Add Exclusion và chọn loại (File, Folder, Website, Application, v.v.) rồi nhập thông tin.
Ban đầu mình dùng tệp EICAR để test thông báo
EICAR là tệp văn bản vô hại nhưng mọi phần mềm diệt virus đều phải nhận diện nó là virus để test.
- Mở Notepad trên máy tính test.
- Copy dòng mã sau vào:
Mã:X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Sau khi nhấn Save Sophos Agent đã hiện ra cảnh báo
Nội dung trong file đã bị xóa
Thông báo trên Sophos Central
Bây giờ sẽ tạo Product Global Exclusion để không hiện cảnh báo
Các bạn làm theo các bước hướng dẫn trên để vào được giao diện này
Mình sẽ Add loại trừ cho Endpoint
Ý nghĩa là mọi File và Folder trong C:\Exclusion\ sẽ không bị cảnh báo bởi Sophos Endpoint
Save
Kiểm tra:
Tạo thư mục Exclusion > Tạo file txt và thử lại
Không thấy bị cảnh báo và xóa file
Demo 2: Loại trừ theo Chính sách (Policy-level Exclusions)
- Vào Endpoint Protection (hoặc Server Protection).
- Chọn Policies.
- Chọn chính sách Threat Protection muốn chỉnh sửa.
- Chuyển sang tab Settings.
- Kéo xuống phần Exclusions và chọn Add Exclusion.
Các bạn có thể tham khảo cấu hình Policy tại đây
Bây giờ mình sẽ test tính năng chặn web (Web Control Policy) của Sophos và thiết lập Policy loại trừ
Máy Endpoint truy cập
http://sophostest.com/malware/index.html
Bị block
Trên Sophos Central vào
My Product > Endpoint > policy
Chọn Threat Protection > Setting > Exclusions
Add Exclution
Cấu hình này sẽ bỏ chặn các website có domain là sophostest.com
Save
Giờ vào lại đã hết bị chặn
Được quan tâm
Bài viết mới