Sophos Endpoint [LAB 06] Cấu hình tính năng Threat Protection trong Sophos Endpoint (Phần 2)

wcuong

wcuong

Moderator

Tiếp nối phần cấu hình các tính năng trong tính năng Threat Protection trước đó

Adaptive Attack Protection​

  • Turn on extra protections automatically when a device is under attack: Khi hệ thống phát hiện thiết bị đang bị tấn công, tính năng này sẽ tự động kích hoạt các biện pháp bảo vệ bổ sung để ngăn chặn mối đe dọa. Các biện pháp bảo vệ bổ sung có thể bao gồm: tăng cường giám sát, chặn các kết nối đáng ngờ, hoặc cô lập thiết bị khỏi mạng.
  • Block safe mode abuse: Ngăn chặn kẻ tấn công lợi dụng chế độ an toàn (Safe Mode) để vô hiệu hóa các biện pháp bảo vệ. Safe Mode thường được sử dụng để khởi động hệ thống với các dịch vụ tối thiểu, nhưng kẻ tấn công có thể lợi dụng nó để tắt các phần mềm bảo mật.
  • Enable protection in safe mode: Kích hoạt các biện pháp bảo vệ ngay cả khi hệ thống đang ở chế độ Safe Mode. Điều này đảm bảo rằng các tính năng bảo mật vẫn hoạt động để bảo vệ thiết bị​
1744789964754.png

Adcanced Settings

  • Turn on anti-ransomware protection and all exploit mitigations: Bật tính năng bảo vệ chống ransomware và các biện pháp giảm thiểu khai thác lỗ hổng. Tính năng này giúp phát hiện và ngăn chặn ransomware cũng như các cuộc tấn công khai thác lỗ hổng trong phần mềm.​
  • Turn on all exploit mitigation hooks: Bật tất cả các "hook" giảm thiểu khai thác lỗ hổng. Các "hook" này là các điểm kiểm tra được chèn vào phần mềm để giám sát và ngăn chặn các hành vi khai thác lỗ hổng. Điều này giúp bảo vệ các ứng dụng khỏi bị khai thác.​
  • Scan trusted installers: Quét các trình cài đặt đáng tin cậy để đảm bảo rằng chúng không bị nhiễm mã độc. Ngay cả các trình cài đặt từ nguồn đáng tin cậy cũng có thể bị tấn công hoặc chèn mã độc.​
  • Use recommended email attachment scanning: Sử dụng các phương pháp quét tệp đính kèm email được khuyến nghị để phát hiện mã độc hoặc các tệp đáng ngờ. Điều này giúp bảo vệ người dùng khỏi các cuộc tấn công qua email.​
  • Deep learning detection level:
    • Cài đặt mức độ phát hiện dựa trên công nghệ học sâu (Deep Learning).
    • Default: Sử dụng mức phát hiện mặc định, cân bằng giữa bảo mật và hiệu suất.
    • Strict: Tăng cường mức độ phát hiện, có thể dẫn đến nhiều cảnh báo hơn nhưng bảo mật cao hơn
  • Track network connections: Theo dõi các kết nối mạng để phát hiện các hành vi bất thường hoặc độc hại. Điều này giúp phát hiện các kết nối đến máy chủ điều khiển (C&C) hoặc các hoạt động mạng đáng ngờ.
  • Turn on event logging: Bật ghi nhật ký sự kiện để lưu lại các hoạt động bảo mật, chẳng hạn như phát hiện mã độc hoặc chặn kết nối độc hại. Nhật ký này có thể được sử dụng để phân tích và điều tra sau này
  • Generate file hashes remotely for event logging: Tạo mã băm (hash) của các tệp từ xa để ghi lại trong nhật ký sự kiện. Điều này giúp quản trị viên xác định chính xác tệp nào đã bị phát hiện hoặc chặn.
  • Periodically scan process memory in the background: Quét định kỳ bộ nhớ của các tiến trình đang chạy để phát hiện mã độc hoặc hành vi bất thường. Điều này giúp phát hiện các mối đe dọa ẩn trong bộ nhớ mà không làm gián đoạn hoạt động của hệ thống
1744790918223.png

  • Block QUIC browser connections: Chặn các kết nối trình duyệt sử dụng giao thức QUIC (Quick UDP Internet Connections). QUIC là một giao thức dựa trên UDP, được thiết kế để tăng tốc độ tải trang web. Tuy nhiên, nó có thể bỏ qua các cơ chế kiểm tra lưu lượng mạng, gây rủi ro bảo mật.
1744791397829.png

  • SSL/TLS decryption of HTTPS websites: Giải mã lưu lượng HTTPS để kiểm tra các mối đe dọa tiềm ẩn trong các kết nối được mã hóa. Nếu bật, tính năng này cũng kích hoạt giải mã HTTPS cho Web Control (kiểm soát web).
Ví dụ:
  • Một trang web độc hại sử dụng HTTPS để che giấu mã độc. Tính năng này sẽ giải mã lưu lượng để kiểm tra và phát hiện mối đe dọa.
1744791791441.png

  • Device Isolation: Cho phép thiết bị tự cô lập khỏi mạng khi phát hiện vấn đề nghiêm trọng (ví dụ: bị nhiễm mã độc). Thiết bị bị cô lập sẽ không thể giao tiếp với các thiết bị khác trong mạng, nhưng vẫn có thể kết nối với Sophos Central để nhận lệnh từ quản trị viên.
Ví dụ:
  • Một máy tính bị nhiễm ransomware. Tính năng này sẽ tự động cô lập máy tính khỏi mạng để ngăn chặn lây lan sang các thiết bị khác.
1744791829504.png

  • Scheduled Scanning: Cho phép lên lịch quét định kỳ vào một thời điểm cụ thể. Có thể chọn ngày và giờ để thực hiện quét, cũng như bật quét sâu (Deep Scanning) để kiểm tra các tệp nén như .zip hoặc .cab.
Ví dụ:
  • Bạn lên lịch quét toàn bộ hệ thống vào 9 giờ tối mỗi thứ Tư để đảm bảo không có phần mềm độc hại nào bị bỏ sót.
1744791919371.png

Exclusion

  • Add Exclusion: Tính năng này cho phép bạn loại trừ một số tệp, thư mục, hoặc quy trình cụ thể khỏi việc quét hoặc giám sát bởi phần mềm bảo mật. Điều này hữu ích khi bạn có các ứng dụng nội bộ hoặc tệp mà hệ thống nhận diện nhầm là độc hại.
Có thể tùy chọn thêm các tệp chọn Add Exclusion
1744792887837.png

  • Có thể tùy chọn các file của các hệ điều hành Windows Mac
  • Process (Windows): Loại trừ một tiến trình cụ thể trên Windows khỏi việc giám sát.
  • Website (Windows/Mac): Loại trừ một trang web hoặc URL cụ thể khỏi việc giám sát hoặc chặn.
  • Potentially Unwanted Application (Windows/Mac): Loại trừ các ứng dụng có thể không mong muốn (PUA) khỏi việc giám sát. PUA là các ứng dụng không phải mã độc nhưng có thể gây phiền toái hoặc rủi ro bảo mật (ví dụ: phần mềm quảng cáo, thanh công cụ trình duyệt).
  • Detected Exploits (Windows/Mac): Loại trừ các khai thác lỗ hổng (exploits) đã được phát hiện khỏi việc giám sát. Điều này hữu ích khi bạn cần chạy một ứng dụng hoặc quy trình mà hệ thống nhận diện nhầm là khai thác lỗ hổng
1744792100459.png

VALUNE

  • Đây là nơi bạn nhập đường dẫn hoặc giá trị cụ thể của đối tượng cần loại trừ.

ACTIVE FOR

  • Real-time and scheduled: Loại trừ đối tượng khỏi cả quét thời gian thực và quét theo lịch.
  • Real-time only: Chỉ loại trừ đối tượng khỏi quét thời gian thực.
  • Scheduled only: Chỉ loại trừ đối tượng khỏi quét theo lịch.
1744792916975.png

  • Add: Thêm ngoại lệ hiện tại vào danh sách.
  • Add Another: Thêm ngoại lệ hiện tại và mở một biểu mẫu mới để thêm ngoại lệ khác.
1744794770427.png

Desktop Messaging​

  • Tùy chọn này cho phép hiển thị thông báo trên màn hình khi hệ thống phát hiện và xử lý mối đe dọa.
  • Người dùng sẽ nhận được thông báo trực tiếp trên máy tính của họ, giúp họ biết rằng một mối đe dọa đã được phát hiện và xử lý.

Configure a message to be added to the end of the standard notification

  • Bạn có thể tùy chỉnh nội dung thông báo để thêm thông tin cụ thể vào cuối thông báo mặc định.
  • Thông báo mặc định thường bao gồm thông tin như: "A threat has been detected and blocked."
  • Phần tùy chỉnh này cho phép bạn thêm thông điệp riêng, chẳng hạn như hướng dẫn liên hệ với bộ phận IT hoặc các bước tiếp theo.
Lưu ý:
  • Các thông báo tùy chỉnh sẽ không được hiển thị cho các sự kiện liên quan đến Intercept X (một tính năng bảo vệ nâng cao của Sophos).
  • Điều này có nghĩa là các sự kiện phức tạp hơn sẽ chỉ hiển thị thông báo mặc định.
1744795274340.png
 
Sửa lần cuối:
Bài viết liên quan
[LAB 07] Tích hợp Sophos Central với Active Directory trên Windows Server bởi wcuong,
[LAB 05] Cấu hình tính năng Threat Protection trong Sophos Endpoint (Phần 1) bởi wcuong,
[LT 02] Tìm hiểu về Sophos ZTNA bởi wcuong,
[LAB 04] Hướng dẫn cài đặt Sophos Endpoint thông qua Update Cache & Massage Relay bởi wcuong,
[LT 01] Tìm hiểu về Sophos Endpoint bởi wcuong,
[LAB 03] Hướng dẫn thay đổi tài khoản User để xác thực ZTNA Agent bởi wcuong,
Được quan tâm
[LT 01] Tìm hiểu về Sophos Endpoint bởi wcuong,
[LAB 04] Hướng dẫn cài đặt Sophos Endpoint thông qua Update Cache & Massage Relay bởi wcuong,
[LT 02] Tìm hiểu về Sophos ZTNA bởi wcuong,
[LAB 05] Cấu hình tính năng Threat Protection trong Sophos Endpoint (Phần 1) bởi wcuong,
[LAB 07] Tích hợp Sophos Central với Active Directory trên Windows Server bởi wcuong,
Bài viết mới
[LAB 07] Tích hợp Sophos Central với Active Directory trên Windows Server bởi wcuong,
[LAB 05] Cấu hình tính năng Threat Protection trong Sophos Endpoint (Phần 1) bởi wcuong,
[LT 02] Tìm hiểu về Sophos ZTNA bởi wcuong,
[LAB 04] Hướng dẫn cài đặt Sophos Endpoint thông qua Update Cache & Massage Relay bởi wcuong,
[LT 01] Tìm hiểu về Sophos Endpoint bởi wcuong,
[LAB 03] Hướng dẫn thay đổi tài khoản User để xác thực ZTNA Agent bởi wcuong,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top