Sophos Endpoint [Lab][15] Live Protection

Live Protection​

I. Mở đầu​

Live Protection là tính năng tra cứu cơ sở dữ liệu đám mây theo thời gian thực của Sophos. Đây là một lớp bảo vệ cực kỳ quan trọng, giúp máy tính phát hiện các mối đe dọa mới nhất ngay cả khi các mẫu nhận diện (signatures) chưa kịp cập nhật xuống Endpoint.

II. Lý thuyết​

Live Protection: Khi một file hoặc tiến trình khả nghi xuất hiện, Sophos Endpoint sẽ gửi thông tin đến SophosLabs để kiểm tra theo thời gian thực.
Mục tiêu: Ngăn chặn malware mới, ransomware, và các mối đe dọa chưa được nhận diện trong cơ sở dữ liệu offline.
Cách hoạt động:

• Endpoint phát hiện file đáng ngờ.
• Gửi hash hoặc metadata đến SophosLabs.
• Nhận phản hồi ngay lập tức (cho phép hoặc chặn).

Ưu điểm của Live Protection

• Phản ứng nhanh: Không cần chờ cập nhật định kỳ, giảm nguy cơ bị tấn công zero-day.
• Tối ưu hiệu suất: Chỉ gửi thông tin cần thiết (hash, metadata), không làm chậm hệ thống.
• Tích hợp chính sách: Có thể bật/tắt trong phần Threat Protection Policy của Sophos Central.

III. Hướng dẫn cấu hình​

My product > Endpoint > Policy

Chọn một Policy mục Threat Protection muốn bật

Mình chọn Custom Policy đã tạo trước đó

Vào Setting
Bật Live Protection
(Thực tế Live Protection đã bật sẵn khi tạo Policy theo như cấu hình đề xuất của Sophos)


Save

IV. Tổng kết​

Live Protection là cơ chế bảo mật dựa trên điện toán đám mây, đóng vai trò cầu nối trực tiếp giữa các Endpoint và trung tâm tình báo SophosLabs. Việc duy trì tính năng này giúp hệ thống luôn được bảo vệ bởi những dữ liệu nhận diện mới nhất mà không cần phụ thuộc hoàn toàn vào việc tải về các bản cập nhật mẫu virus (signatures) định kỳ.