Sophos Endpoint [Lab][09] Cấu hình schedule Scan

Cấu hình schedule Scan​

I. Mở đầu ​

Trong môi trường Sophos Central, real-time protection (bảo vệ thời gian thực) là lớp phòng thủ chính. Tuy nhiên, để tăng thêm lớp bảo vệ cho các file ít được truy cập, file lưu trữ lâu ngày hoặc phát hiện malware “ngủ đông”, Sophos vẫn hỗ trợ Scheduled Scan (lập lịch quét định kỳ).

Mặc dù Sophos khuyến nghị sử dụng Scheduled Scan một cách tiết kiệm (vì nó là kỹ thuật legacy), nhưng nhiều tổ chức vẫn cần cấu hình để tuân thủ chính sách bảo mật hoặc kiểm tra định kỳ.

Bài viết này hướng dẫn bạn cách cấu hình Schedule Scan trong Threat Protection Policy của Sophos Endpoint.

II. Lý thuyết​

A. Scheduled Scan trong Sophos Endpoint là gì?

• Scheduled Scan thực hiện quét toàn bộ hoặc một phần ổ đĩa theo lịch bạn định sẵn (giờ + ngày trong tuần).
• Thời gian quét được tính theo giờ địa phương của máy endpoint (không phải UTC).
• Quét chỉ chạy khi máy online (kết nối internet). Nếu máy tắt hoặc offline, lịch sẽ chạy vào lần online tiếp theo theo lịch.
• Bạn có thể bật Deep Scanning để quét cả file nén (archive), nhưng điều này sẽ làm chậm quá trình quét và tăng tải hệ thống.

III. Hướng dẫn Schedule Scan​

Bước 1: Vào Sophos Central Admin

Bước 2: Vào My Products > Endpoint > Policies

Chọn policy bạn muốn chỉnh sửa (thường là Threat Protection Policy), hoặc tạo policy mới rồi apply cho group/device cần thiết.
Mình sẽ chọn Threat Protection
Bước 3:
Vào tab Setting

Cuộn xuống Schedule Scanning

Có thể chọn thời gian quét theo giờ : phút
Chọn ngày trong tuần muốn chạy (có thể chọn nhiều ngày, ví dụ: Thứ 2, Thứ 4, Thứ 7).
Enable deep scanning (tùy chọn): Bật nếu muốn quét sâu vào file nén (.zip, .rar, .7z…). Tùy chọn này làm quét chậm hơn rất nhiều.

Mình sẽ cấu hình quét lú chủ nhật lúc 9h. Có bật deep scanning
Save

Schedule Scanning cho Server Protection tương tự

Kiểm tra kết quả Schedule Scan:
Cách 1: Xem từng máy
Vào My Product > Endpoint/Server > Devices/Servers > Chọn thiết bị cụ thể > Qua tab event

Cách 2: Nhật kí sự kiện Event
Ở thanh điều hướng phía trên chọn Reports

Sau đó chọn event


Cách 3: Kiểm tra trực tiếp trên máy Endpoint
Mở Sophos Endpoint trêm máy đã cài

Chọn tab Event

IV. Tổng kết​

Dù công nghệ bảo vệ thời gian thực (Real-time Protection) và trí tuệ nhân tạo (AI) của Sophos đã cực kỳ mạnh mẽ, nhưng Scheduled Scan vẫn đóng vai trò như một lớp bảo vệ cuối cùng, giúp đảm bảo không có mã độc nào có thể ẩn mình lâu ngày trong hệ thống.

Lời khuyên khi cấu hình Scheduled Scan:

• Tần suất: Tránh quét hàng ngày. Tốt nhất nên cấu hình 1 lần/tuần vào ngày nghỉ hoặc ngoài giờ làm việc để không ảnh hưởng đến năng suất của nhân viên.
• Ưu tiên cấu hình cho Server: Các máy chủ tệp (File Server) là nơi chứa dữ liệu tĩnh rất nhiều, đây là đối tượng ưu tiên hàng đầu để bật quét lập lịch.
• Kết hợp với Exclusions: Luôn kiểm tra danh sách loại trừ (Exclusions) để đảm bảo Sophos không quét vào các thư mục dữ liệu khổng lồ nhưng an toàn (như Database), giúp rút ngắn thời gian quét và giảm tải cho hệ thống.

Nên kiểm tra nhật ký sự kiện định kỳ để đảm bảo mọi thứ vẫn luôn trong tầm kiểm soát.