Sophos Endpoint [LAB 08] Tính năng Threat Protection Policy cho Sophos Server Protection (P1)

Chính sách Threat Protection của Sophos Server Protection giúp bảo vệ hệ thống máy chủ của bạn trước các phần mềm độc hại, các loại tệp rủi ro cũng như các truy cập web nguy hiểm và lưu lượng mạng độc hại.

Trong bài viết này mình sẽ giới thiệu và hướng dẫn cấu hình các tính năng trong bộ chính sách Threat Protection.

Bươc 1: Truy cập Sophos Central, vào phần My Products > Server > Policies:


Bước 2: Mặc định ban đầu khi chưa tạo các Custom Policy, tất cả các Server được thêm vào Sophos Server Protection đều sẽ được gán Default Policy. Vì vậy để tùy chỉnh các tính năng cho từng nhóm Server ta chọn Add Policy:


Bước 3: Sổ chọn Threat Protection và chọn Continue:


Bước 4: Đầu tiên đặt tên cho Policy, yêu cầu tên này phải là duy nhất để phân biệt với các Policy khác:


Bước 5: Ở mục SERVERS và GROUPS, tùy chọn Server hoặc nhóm Server mà bạn muốn áp dụng và dùng dấu > để chọn sang phần Assigned Servers:


Bước 6: Ở mục SETTINGS, bạn được tùy chỉnh bật tắt hoặc cài đặt cho từng tính năng trong bộ chính sách Threat Protection. Với một lưu ý các bạn có thể thấy, thông tin ở mục Applied To cho biết tính năng nào được áp dụng cho hệ điều hành Windows (hình cửa sổ) hay Linux (hình chim cánh cụt):


Bước 7: Sau đây là một số tính năng chính trong bộ chính sách Threat Protection mà bạn có thể sử dụng để cấu hình cho Server của mình:

• Live Protection: Tính năng cho phép kiểm tra trực tiếp các tệp đáng ngờ với cơ sở dữ liệu của SophosLabs, giúp phát hiện các mối đe dọa mới nhất và tránh được các cảnh báo sai. Đặc biệt đối với Linux Server, tính năng Linux Protection luôn được sử dụng chung với các lần quét theo lịch trình (Scheduled Scanning)

• Deep Learning: Tính năng cho phép tự động phát hiện các mối đe dọa mới và chưa được biết đến thông qua công nghệ Machine Learning và không phụ thuộc vào Signatures,

• Real-time Scanning - Local Files and Network Shares: Tính năng quét theo thời gian thực để kiểm tra các tệp cục bộ (local) và tệp từ xa (remote - được truy cập từ mạng) nhằm phát hiện các phần mềm độc hại đã biết khi các tệp này được truy cập hay chỉnh sửa. Ngoài ra nếu bạn muốn sử dụng tính năng này cho Linux Server thì bạn cần bật lựa chọn "Enable scan for Server Protection for Linux Agent". Với 2 lựa chọn ứng với hành động bạn sẽ thực thi với tệp mà hệ thống ghi nhận và thực hiện việc quét tệp:
  • on read: Quét tệp khi chúng được mở
  • on write: Quét tệp khi chúng được lưu

• Real-time Scanning - Internet: Tính năng quét theo thời gian thực các tài nguyên trên internet khi người dùng truy cập chúng
  • Scan downloads in progress: Tính năng này sẽ quét các tệp được tải xuống và các thành phần thuộc trang web trước khi người dùng duyệt. Với các kết nối HTTP sẽ được quét tất cả các thành phần và tệp tải xuống. Với kết nối HTTPS, nếu bạn muốn quét bạn cần bật thêm tính năng "SSL/TLS decryption of HTTPS websites" bên dưới
  • Block access to malicious websites: Tính năng giúp chặn các kết nối đến trang web được biết là có phần mềm độc hại dựa vào bảng danh tiếng của chúng, chỉ sử dụng được tính năng này khi bật tính năng "Live Protection". Với các kết nối HTTP, tất cả URL đều được kiểm tra. Với kết nối HTTPS, chỉ kiểm tra được các URL cơ bản, nếu bạn muốn quét đầy đủ bạn cần bật thêm tính năng "SSL/TLS decryption of HTTPS websites" bên dưới
  • Detect low-reputation downloads: Tính năng kiểm tra danh tiếng của các tải tải xuống dựa vào nguồn gốc tệp, tần suất tải xuống và các yếu tố khác. Sophos hiện tại chỉ hỗ trợ tích hợp với các trình duyệt Internet Explorer, Microsoft Edge, Google Chrome và Opera.
    • Action to take on low-reputation downloads: Với 2 lựa chọn bao gồm Prompt User (xuất hiện cảnh báo cho người dùng khi tải xuống một tệp cho danh tiếng thấp) và Log only (chỉ ghi nhận thông tin lại trong hệ thống và Sophos Central)
    • Reputation level: Với 2 lựa chọn cho các tệp được tải xuống bao gồm Recommended (chặn và báo cáo các tệp có danh tiếng thấp) và Strict (chặn và báo cáo các tệp có danh tiếng trung bình và thấp).

• Real-time Scanning - Options: Tính năng này giúp loại trừ việc quét các ứng dụng phổ biến và được sử dụng rộng rãi, theo khuyến nghị của nhà cung cấp.

• Remediation: Với việc bật "Enable Threat Graph creation" cho phép bạn có thể điều tra chuỗi sự kiện tấn công của phần mềm độc hại bằng đồ họa được cung cấp bởi Sophos. Đồng thời Sophos Central cũng sẽ tự động dọn dẹp các mục đã phát hiện trên Server bằng cách xóa khỏi vị trí hiện tại của tệp và cách ly chúng trong phần SafeStore của Sophos trên Server cho đến khi hoặc chúng được cho phép và sẽ được khôi phục bằng cách thêm chúng vào mục "Allowed applications" (Bạn sẽ tìm thấy phần cấu hình ở My Products > General Settings > Allowed Applications) hoặc là chúng sẽ bị xóa để nhường chỗ cho các tệp bị nghi ngờ khác trong SafeStore. SafeStore sẽ được giới hạn như sau:
  • Giới hạn kích thước cho 1 tệp đơn lẻ: 100 GB.
  • Giới hạn tổng kích thước của các tệp được cách ly: 200 GB.
  • Số lượng tệp tối đa được lưu trữ: 2000.

Để cho phép một tệp hoặc ứng dụng nào đó bạn vào phần My Products > General Settings > Allowed Applications và chọn Add apps by path:


Các tính năng tiếp theo sẽ được mình giới thiệu trong Phần 2. Chúc các bạn thành công :">