Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Follow Us On Social Media

Sophos Endpoint [LAB 09] Tính năng Threat Protection Policy cho Sophos Server Protection (P2)

HanaLink

HanaLink

Administrator
Joined
Mar 11, 2022
Messages
50
Reaction score
7
Points
8
Age
25
Location
Ho Chi Minh City
Trong bài viết trước mình đã giới thiệu một số tính năng trong bộ chính sách Threat Protection cho Server, hãy tiếp tục các tính năng còn lại trong phần này nhé.

Bước 1: Các bạn truy cập Sophos Central, vào phần My Products > Server > Policies sau đó tiến hành Add Policy hoặc Edit policy đã tạo và vào phần SETTINGS:
1737014338785.png


Bước 2: Tiếp theo với tính năng Runtime Protection, đây là tính năng giúp bảo vệ chống lại các mối đe dọa bằng cách phát hiện các hành vi hoặc lưu lượng đáng ngờ và độc hại:
  • Protect document files from ransomware (CryptoGuard): Tính năng giúp bảo vệ hệ thống khỏi phần mềm độc hại làm cho hệ thống bị mất quyền truy cập và thường bị yêu cầu một khoản phí để giải mã khi hệ thống bị tấn công. Đây là tính năng được khuyến nghị nên luôn được bật. Với các tùy chọn sau:
    • Protect from remotely run ransomware: Tùy chọn giúp triển khai tính năng này trên toàn bộ mạng của bạn
    • Protect from Encrypting File System attacks:Tùy chọn này bảo vệ các thiết bị 64-bit khỏi ransomware mã hóa hệ thống tệp và chọn hành động để thực hiện với chúng khi hệ thống phát hiện có tệp bị mã hóa thông qua Action to take on ransomware detection bao gồm:
      • Terminate Processes: Ngăn chặn hoàn toàn tiến trình ransomeware khi bị phát hiện
      • Isolate Processes: Cô lập tiến trình ransomeware để chúng không ghi vào hệ thống tệp
1737014829778.png

  • Protect from master boot record ransomware: Tính năng này giúp bảo vệ thiết bị khỏi ransomeware mã hóa bản ghi khi thiết bị khởi động (ngăn thiết bị khởi động hệ thống) và các cuộc tấn công xóa dữ liệu ổ cứng
1737014981546.png

  • Protect critical functions in web browsers (Safe Browsing): Tính năng cho phép bảo hệ trình duyệt web của người dùng khỏi việc bị khai thác bởi phần mềm độc hại thông qua trình duyệt
1737015465380.png

  • Mitigate exploits in vulnerable applications: Tính năng cho phép bảo vệ các ứng dụng dễ bị khai thác bởi phần mềm độc hại, bạn có thể tùy chọn các loại ứng dụng cần được bảo vệ như ứng dụng web, media hay office,
1737015572838.png

  • Protect processes:Tính năng giúp ngăn chặn phần mềm độc hại chiếm quyền điều khiển các ứng dụng hợp pháp với cac tùy chọn sau:
    • Prevent process hollowing attacks: Ngăn chặn trước cuộc tấn công "Hollowing" hay còn gọi là "thay thế tiến trình" hay DLL injection, kẻ tấn công thường sử dụng để tải mã độc vào một ứng dụng hợp pháp nhằm vượt qua phần mềm bảo mật
    • Prevent DLLs loading from untrusted folders: Chống lại việc tải các tệp DLL từ các thư mục không đáng tin cậy
    • Prevent credential theft: Ngăn chặn việc đánh cắp mật khẩu và thông tin hash từ bộ nhớ, registry hoặc ổ cứng
    • Prevent code cave utilisation: Phát hiện mã độc được chèn vào một ứng dụng hợp pháp khác
    • Prevent APC violation: Ngăn chặn các cuộc tấn công sử dụng Application Procedure Calls (APC) để chạy mã độc
    • Prevent privilege escalation: Ngăn chặn các cuộc tấn công từ việc nâng cấp một tiến trình có đặc quyền thấp lên quyền cao hơn để truy cập hệ thống của người dùng
1737019318300.png

  • Enable CPU branch tracing: Dựa vào chức năng của bộ xử lý Intel, cho phép theo dõi hoạt động của bộ xử lý để phát hiện mã độc. Hiện tại Sophos hỗ trợ các bộ xử lý của Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, và Kaby Lake. Lưu ý tính năng này không hỗ trợ cho máy chủ sử dụng hypervisor hợp pháp.
1737019739070.png

  • Dynamic shellcode protection: Tính năng phát hiện hành vi của các tác nhân điều khiển từ xa ẩn và ngăn chặn kẻ tấn công chiếm quyền kiểm soát mạng
1737019799971.png

  • Validate CTF Protocol caller: Tính năng giúp chặn các ứng dụng cố gắng khai thác lỗ hổng trong CTF, một thành phần có trong tất cả máy Windows. Lỗ hổng này cho phép kẻ tấn công không phải quản trị viên chiếm quyền điều khiển bất kỳ tiến trình Windows, bao gồm các ứng dụng chạy trong sandbox.
1737019959512.png

  • Prevent side loading of insecure modules: Tính năng giúp chặn một ứng dụng tải lên một DLL độc hại giả dạng như một ApiSet Stub DLL (ApiSet Stub DLL hoạt động như một proxy để duy trì khả năng tương thích giữa các ứng dụng cũ và các phiên bản hệ điều hành mới hơn). Kẻ tấn công có thể sử dụng ApiSet Stub DLL độc hại để vượt qua hàng rào bảo vệ chống giả mạo (Tamper Protection) và vô hiệu hóa tính năng bảo vệ chống phần mềm độc hại.
1737020138625.png

  • Protect browser cookies used for MFA sign-in: Tính năng cho phép ngăn chặn các ứng dụng trái phép giải mã khóa AES được sử dụng để mã hóa cookie xác thực đa yếu tốt (MFA)
1737020524634.png

  • Protect network traffic: Với tùy chọn "Detect malicious connections to command and control servers" giúp phát hiện lưu lượng bất hợp pháp như chiếm quyền kiểm soát giữa máy tính đầu cuối (endpoint) với máy chủ,
1737020958924.png

  • Linux runtime detections: Tính năng cung cấp khả năng hiển thị cảnh báo và phát hiện các mối đe dọa trong thời gian thực của công việc và container trên máy chủ Linux.
1737021063132.png

  • Monitor use of driver APIs: Tính năng giúp phát hiện các hành vi lạm dụng API thường được sử dụng bởi các ứng dụng hợp pháp như máy in hoặc virtual network adapter, để tương tác với mã kernel
1737021243078.png

  • Prevent malicious use of syscall instructions: Tính năng giúp chặn các truy cập né tránh việc giám sát thông qua việc truy cập trực tiếp đến hệ thống API
1737020552421.png

  • Prevent hardware breakpoint abuse: Tính năng ngăn chặn việc lạm dụng các breakpoint của phần cứng (Hardware breakpoint là một cơ chế được sử dụng trong quá trình gỡ lỗi (debugging) để tạm dừng thực thi chương trình tại một vị trí hoặc khi có điều kiện cụ thể, dựa trên phần cứng của bộ xử lý)
1737020583938.png

  • Detect malicious behavior: Tính năng bảo vệ chống lại các mối đe dọa chưa được biết đến, cụ thể phát hiện và ngăn chặn các hành vi được biết là độc hajiu và đáng ngờ
1737021590666.png

  • AMSI Protection (with enhanced scan for script-based threats):Tính năng bảo vệ chống lại mã độc hại như script PowerShell bằng cách sử dụng Microsoft Antimalware Scan Interface (AMSI). Mã được chuyển qua AMSI sẽ được quét trước khi chạy và hệ thống sẽ thống báo cho các ứng dụng sử dụng mã đó về mối đe dọa, nếu phát hiện thật sự là mối đe dọa, hệ thống sẽ ghi lại dự kiện của cuộc tấn công
    • Prevent the removal of AMSI registration: Tùy chọn này ngăn chặn thao tác gỡ bỏ AMSI khỏi máy chủ của bạn
1737021616887.png

  • Enable Sophos Security Heartbeat: Tính năng này cho phép tích hợp Sophos Server Protection với tính năng Sophos Security Heartbeat của Sophos Firewall khi trong hệ thống của bạn đang sử dụng 2 giải pháp này song song với nhau, với điều kiện Sophos Firewall của bạn phải được register trên Sophos Central và cũng được bật tính năng Heartbeat. Các báo cáo của máy chủ sẽ được gửi đến Firewall gần nhất và Firewall sẽ hạn chế quyền truy cập của máy chủ nếu có phát hiện mối đe dọa hoặc bị xâm phạm
1737021824560.png




  • Adaptive Attack Protection
  • SSL/TLS decryption of HTTPS websites
  • Real-time scanning for Linux
  • Scheduled scanning
  • Scanning exclusions
  • Exploit Mitigation exclusions
  • Ransomware Protection Exclusions
  • Desktop Messaging
 

Attachments

  • 1737021034663.png
    1737021034663.png
    149 KB · Views: 0
  • 1737021789532.png
    1737021789532.png
    147.2 KB · Views: 0
Last edited:
You must log in or register to reply here.

Follow Us On Social Media

About Us

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt.

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

What's new

New posts
New profile posts
Latest activity

Online statistics

Members online
0
Guests online
0
Total visitors
0
Totals may include hidden visitors.
Top