Sophos Central v3.

0 Engineer | Module 1: Central Dashboard

People - Add a User Manually
Puede agregar un usuario individual y protegerlo navegando a Personas > Agregar
> Agregar usuario.
Introduzca el nombre y apellido de los usuarios junto con su dirección de correo
electrónico.
Seleccione un rol de administración para el usuario, el rol predeterminado
asignado siempre será 'usuario'.
Puede optar por introducir los datos de inicio de sesión de Exchange. Estos se
pueden utilizar para configurar el acceso al correo electrónico en dispositivos
móviles.
Para permitir que los usuarios protejan sus propios dispositivos, seleccione el
'Enlace de configuración de correo electrónico'. Cuando el usuario descarga e
instala el software, su dispositivo se asocia automáticamente con ese usuario.
Una vez que se guarde el usuario, aparecerá en la lista de personas.
Importing users using a CSV file allows you to add users in bulk without using
Active Directory. To import users from a CSV file, navigate to People > Add >
Import users from CSV.
Si una dirección de correo electrónico en su archivo CSV coincide con un usuario
existente en Sophos Central, el usuario se actualiza con la información de su
archivo de importación.
The AD Sync Utility tool can be downloaded from the Central Admin Console by
navigating to Global Settings > Directory Service > Get Started. Select AD Sync in
the dialog box and click Next.
Una vez que AD Sync haya realizado la primera sincronización, podrá revisar el
estado desde la misma ubicación desde la que descargó la herramienta.
Instalación y configuración de AD Sync antes de iniciar la implementación
Le recomendamos que instale la herramienta de configuración de la utilidad de
sincronización de AD antes de empezar a desplegar la protección de Sophos en
los endpoints para que pueda preconfigurar las políticas y aplicarlas a usuarios y
grupos.
La herramienta de utilidad AD Sync se puede usar en cualquier punto de conexión
que se pueda conectar al controlador de dominio.
AD Sync no necesita estar instalado en un controlador de dominio; any endpoint
that can connect to the Domain Controller can be used.
El usuario de Windows configurado no necesita derechos administrativos.
El usuario de Windows que configure en AD Sync para conectarse a Active
Directory no necesita tener derechos administrativos. Cualquier usuario de
dominio que pueda leer el directorio debería ser suficiente.
Otros servicios de directorio como OpenLDAP y eDirectory no son compatibles
actualmente.
User details
La pestaña RESUMEN contiene una descripción general de eventos, dispositivos,
buzones de correo, grupos e inicios de sesión recientes.
La pestaña DISPOSITIVOS muestra todos los dispositivos que el usuario les ha
asociado. Permite realizar acciones en los dispositivos, dependiendo de si son
dispositivos móviles o endpoints.
La pestaña EVENTOS muestra todos los eventos registrados por el usuario. Estos
se pueden filtrar por tiempo.
La pestaña POLÍTICAS muestra las políticas que se aplican al usuario.
Un usuario puede ser miembro de múltiples grupos.
Roles predefinidos
Super admin
El rol de superadministrador tiene acceso a todo en Sophos Central.
Solo aquellos a los que se les asignó el rol de superadministrador pueden
administrar los roles de usuario.
A la cuenta que utilice para registrarse en una cuenta de Sophos Central se le
asigna automáticamente el rol de superadministrador.
Admin
El rol de administrador tiene acceso a casi todo en Sophos Central, aparte de la
capacidad de administrar roles y asignaciones de roles.
Servicio de asistencia
La función Help Desk permite el acceso de solo lectura para todas las
configuraciones de Sophos Central.
El rol de Help Desk es capaz de ver registros e informes confidenciales, recibir y
borrar alertas, actualizar el software de Sophos Agent en un endpoint y escanear
endpoints.
El rol de Help Desk no permite que un usuario asigne políticas ni cambie la
configuración. Debido a estas restricciones, es posible que un usuario del servicio
de asistencia vea que algunas funciones no se muestran en la consola de
administración de Sophos Central.
Solo lectura
La función de solo lectura tiene acceso de solo lectura para todos los ajustes de
Sophos Central. Además, pueden ver registros e informes confidenciales y recibir
alertas.
El rol de solo lectura no puede administrar roles ni asignaciones de roles. No
pueden asignar políticas, cambiar la configuración, borrar alertas ni actualizar el
software de Sophos Agent en los endpoints.
Debido a estas restricciones, todas las opciones serán de solo lectura cuando un
usuario con esta función inicie sesión en Sophos Central.
Configuración global
En la sección de administración puedes:
Configurar y ver la configuración y el estado del servicio de directorio
Administrar el acceso basado en roles
Configurar la administración de tokens de API
Configurar las credenciales de la API*
Configurar el inicio de sesión federado
Registre los dispositivos de firewall para habilitar el latido de seguridad
La protección de Sophos Email Gateway se utiliza para proteger y gestionar sus
clientes de correo electrónico, en caso de que se envíe un virus o spam en un
correo electrónico saliente, se detectará.
Cuando la seguridad sincronizada está habilitada, supervisa todo el correo saliente
y actúa si cinco o más correos electrónicos se clasifican como correo no deseado
o contienen un virus en un período de 10 minutos.
La protección contra manipulaciones está habilitada de forma predeterminada,
cuando está habilitada, el administrador local no puede realizar ninguno de los
siguientes cambios en el endpoint a menos que haya iniciado sesión en el
software del agente de Sophos con la contraseña de protección contra
manipulaciones.
Configuración global: configuración de correo electrónico de alerta
Un superadministrador puede administrar la forma en que los administradores
reciben alertas por correo electrónico.
Puede administrar qué administradores reciben alertas por correo electrónico.
Haga clic en Sí o No para habilitar o deshabilitar los slerts para administradores
específicos
Puede administrar las listas de distribución o las direcciones de correo electrónico
que desea recibir alertas por correo electrónico. Esta opción le permite notificar a
las personas que no tienen acceso a Sophos Central sobre alertas específicas
Puede controlar la frecuencia con la que los administradores reciben alertas por
correo electrónico en función de la gravedad de la alerta, el producto o la categoría
en la que se encuentre la alerta
Las reglas personalizadas le permiten establecer qué administradores reciben qué
alertas. Tenga en cuenta que el uso de una regla personalizada detendrá cualquier
configuración de recepción existente, incluidas las listas de distribución
La lista de excepciones muestra las excepciones que ha configurado. Estos se
configuran de forma ad hoc en la página de alertas.
Cuestionario
Módulo 2 Threat protection

Las capas de protección de Endpoint Protection e Intercept X se pueden clasificar

aproximadamente como control, preejecución, en ejecución, respuesta y
visibilidad.
Endpoint Protection le proporciona las herramientas para controlar a qué sitios
web pueden acceder los usuarios, las aplicaciones que pueden utilizar y el
intercambio de datos tanto externa como internamente.
Al controlar los sitios web a los que pueden acceder los usuarios mediante el
control web, puede hacer uso de la característica de seguridad web. Esto utiliza el
bloqueo de URL basado en categorías para controlar el acceso de los usuarios a
Internet.

Web control
Hay dos tipos de protección para los puntos de conexión que acceden a los
recursos de Internet. Estos son:
Búsquedas de control web que se utilizan para controlar el acceso a sitios web
inapropiados
Búsquedas de protección web que se utilizan para protegerse contra malware y
sitios web maliciosos
El control web es uno de los varios componentes de protección de puntos de
conexión que usa la plataforma de filtrado de Windows (WFP) para integrarse con
aplicaciones de red, como exploradores de Internet.
El control web usa HTTP para ponerse en contacto con el WFP, la información
proporcionada se usa para realizar búsquedas SXL para determinar la categoría
de un sitio web. El control web utiliza búsquedas de Sophos Extensible List (SXL)
para proporcionar la protección más actualizada. Este objetivo principal de SXL es
ampliar la protección ofrecida en el endpoint proporcionando acceso a una mayor
cantidad de datos e información de detección cuando sea necesario. Permitirá
búsquedas en datos en vivo utilizando una suma de comprobación.
La protección web proporciona un filtrado de seguridad transparente del tráfico
HTTP de los exploradores que se ejecutan en puntos de conexión administrados
de Microsoft Windows. El tráfico de red para aplicaciones que no son de
navegador, o tráfico que no es HTTP, no se filtra.
Valida la seguridad de los sitios de destino, denegando el acceso si se sabe que el
sitio es dañino y analiza la transmisión web utilizando el escáner antivirus local de
Sophos. Todo el proceso es transparente para el usuario a menos que el sitio web
esté bloqueado por ser malicioso.
Si solo está habilitada la protección web, SXL utiliza DNS para consultar la
reputación de la dirección IP y URL. Si la organización tiene licencia tanto para el
control web como para la protección web, SXL utiliza HTTP en lugar de DNS para
realizar búsquedas. Aunque la protección web y el control web son componentes
diferentes, las búsquedas se combinan si se han habilitado ambas características.
Application control
El control de aplicaciones se puede usar para evitar que los usuarios ejecuten
aplicaciones que no son una amenaza para la seguridad, pero que se consideran
inadecuadas para su uso en un entorno de trabajo. Por ejemplo, juegos o
aplicaciones de mensajería instantánea.
También puede mejorar la seguridad controlando el tipo de aplicaciones
permitidas. Esto puede reducir la superficie expuesta a ataques al evitar el uso de
herramientas del sistema que pueden ser explotadas por un atacante.
El control de aplicaciones NO está habilitado de forma predeterminada. La primera
etapa es crear una lista de aplicaciones con las categorías y aplicaciones
individuales que se van a bloquear. Antes de configurar el control de aplicaciones
para bloquear aplicaciones, se puede usar para detectar qué aplicaciones se están
utilizando.
Peripheral Control
El control de periféricos restringe el acceso a los dispositivos en los puntos finales,
como las memorias USB. Se puede utilizar para evitar el uso de dispositivos que
no son de confianza, que pueden contener malware. De forma predeterminada, el
control de periféricos está deshabilitado. La opción 'Monitorear, pero no bloquear'
se puede utilizar para recopilar información sobre el dispositivo que está en uso.
Cuando se cambia el control periférico para controlar el acceso, cada categoría de
dispositivo se puede configurar para permitir o bloquear.
Además, el almacenamiento extraíble seguro, las unidades de disquete, las
unidades ópticas y el almacenamiento de extracción tienen la opción de solo
lectura. En el caso de la conexión inalámbrica, puede seleccionar bloquear en
puente.
DLP
La prevención de pérdida de datos (DLP) controla la pérdida accidental de datos y
le permite supervisar y restringir la transferencia de archivos que contienen datos
confidenciales. Por ejemplo, puede evitar que un usuario envíe un archivo que
contenga datos confidenciales a casa mediante el correo electrónico basado en la
web.
Por motivos de rendimiento, DLP se centra en evitar archivos adjuntos de correo
electrónico y cargas de archivos inapropiados. No escanea el cuerpo de un
mensaje de correo electrónico.

DLP usa reglas que se pueden aplicar a través de una directiva a los puntos de
conexión protegidos. Hay dos tipos de reglas:
Tipo de archivo, que está determinado por la naturaleza del archivo, no solo por la
extensión del archivo
Reglas de contenido que pueden usar cadenas simples y comodines, o
expresiones regulares
Tenga en cuenta que DLP no funcionará con datos cifrados a menos que el
software de cifrado confíe en el proceso de la aplicación para dar visibilidad.
Las directivas DLP incluyen una o varias reglas que especifican las condiciones y
acciones que se deben realizar cuando se coincide con la regla.
Cuando una directiva DLP contiene varias reglas, un archivo que coincida con
alguna de las reglas infringirá la directiva. Una regla se puede incluir en varias
directivas. Puede agregar texto a los mensajes que se muestran en los puntos de
conexión protegidos cuando se activa una regla. Será una notificación de
confirmación o una notificación de bloqueo, en función de la acción configurada en
la regla.
Sophos proporciona plantillas para políticas de DLP. Estas plantillas cubren la
protección de datos estándar para diferentes regiones. Para evitar interrupciones
al implementar nuevas directivas, las reglas de DLP permiten las opciones
"Permitir transferencia si el uso confirma" o "Permitir transferencia".
Una lista de control de contenido (CCL) es un conjunto de condiciones que
describen el contenido del archivo. Una CCL puede describir un solo tipo de datos,
por ejemplo, una dirección postal o un número de seguro social. Alternativamente,
podría ser una combinación de tipos de datos, por ejemplo, un nombre de
proyecto cerca del término 'confidencial').
Las CCL de SophosLabs proporcionan definiciones expertas para tipos comunes
de datos financieros y de identificación personal, por ejemplo, números de tarjetas
de crédito, números de seguridad social, direcciones postales o direcciones de
correo electrónico. Las CCL de SophosLabs utilizan técnicas avanzadas, como las
sumas de comprobación, para aumentar la precisión de la detección de datos
confidenciales.
Las CCL disponibles se muestran dentro de la directiva DLP. Las CCL de
SophosLabs no se pueden editar, sin embargo, puede enviar una solicitud a
Sophos para crear una nueva CCL o para proporcionar comentarios sobre las CCL
existentes.
Está disponible la opción de crear CCL's personalizados o importar sus propios
CCLS.
Sophos anti-virus (SAV)
Endpoint Protection utiliza Sophos Anti-Virus (SAV) para proteger los endpoints
contra malware conocido. SAV utiliza el escaneo de archivos basado en firmas
para escanear archivos antes de que se abran.
El escaneo de archivos basado en firmas se basa en la detección de firmas de
malware conocidas que detectarán y bloquearán el archivo. El escaneo de
archivos se puede realizar en tiempo real o programando escaneos.
El análisis en tiempo real escucha el sistema de archivos de Windows para
determinar si se está solicitando o escribiendo un archivo en el disco. Si detectó
una de estas acciones, restringe el acceso al archivo y pasa el archivo al motor
SAV para su análisis.
Si el archivo está infectado, se bloquea el acceso al archivo y se desencadena una
acción de limpieza
Si el archivo está limpio, se concede acceso al archivo
Este proceso es transparente para el usuario. La configuración del análisis en
tiempo real se configura en la directiva de protección contra amenazas en la
sección Análisis en tiempo real: archivos locales y recursos compartidos de red.
El motor SAV utiliza archivos IDE y VDL ubicados en el endpoint para identificar el
malware.
Los archivos de identidad de virus (IDE) contienen identidades de virus que
permiten a SAV detectar y desinfectar rápidamente el malware conocido.
La biblioteca de datos de virus (VDL) es un conjunto de datos de identidades de
virus para una versión específica. En cada actualización, la información de todos
los archivos IDE publicados desde la versión anterior se incorpora al VDL, y esos
archivos IDE se eliminan de la instalación.
Live protection
Este esta activado por defecto en la política de protección. Sophos Live Protection
proporciona una búsqueda instantánea de los archivos maliciosos más recientes
conocidos. Live Protection significa que los archivos de definición de virus no
tienen que descargarse en cada endpoint y garantiza que se utilice la información
más reciente.
Portable executable
Intercept X proporciona análisis de archivos adicional en tiempo real y bajo
demanda. Intercept X solo analiza los archivos ejecutables portátiles (PE), evalúa
el archivo y, a continuación, puede aislar y eliminar el malware detectado antes de
que pueda comprometer un endpoint.
Cuando se analiza un archivo PE, devuelve tres datos:
El AppID, que es el identificador de aplicación asignado a una aplicación que se
encuentra dentro de una categoría.
La puntuación de aprendizaje automático, que también se conoce como
puntuación ML o ML PUA) . Puede ser entre cero y cien. Si un archivo tiene una
puntuación de ML superior a 30, se considerará malintencionado. Si un archivo
tiene una puntuación de PUA de ML inferior a 20, se considera una PUA.
La puntuación de reputación del archivo, que también está entre cero y cien. Cero
indica un archivo de mala reputación, mientras que cien indica un archivo limpio.
Tenga en cuenta que un archivo devolverá una puntuación de reputación de cien si
lo ha excluido.
Host Intrusion Prevention System
El sistema de prevención de intrusiones de host (HIPS) de Sophos analiza el
comportamiento del código y puede detener el malware antes de que se publique
una actualización de detección específica. Se impide que el código se ejecute si
contiene una combinación de características que se encuentran comúnmente,
pero no exclusivamente, en el malware.
Las detecciones previas a la ejecución de HIPS pueden ser para archivos
sospechosos o genotipos de comportamiento.
Los archivos sospechosos son aquellos que contienen ciertas características que
son comunes al malware, pero no suficientes para que los archivos se identifiquen
como una nueva pieza de malware.
La protección del genotipo conductual analiza las características del código y el
comportamiento que es probable que exhiba. Hay varios cientos de características
de comportamiento comunes en el malware.
Las tecnologías de genotipo y HIPS están respaldadas por otras técnicas, entre
ellas:
Análisis dinámico de código: una técnica para detectar malware cifrado más
complejo
Coincidencia de patrones algorítmicos: los datos de entrada se comparan con un
conjunto de secuencias de código conocidas ya identificadas como virus
Emulación: una técnica para detectar virus polimórficos
Tecnología de reducción de amenazas: la detección de amenazas probables
mediante una variedad de criterios, como extensiones dobles o la extensión que
no coincide con el tipo de archivo verdadero.
Potentially Unwanted Applications (PUAs)
Aplicaciones potencialmente no deseadas (PUA) es un término que se usa para
describir aplicaciones que, aunque no son maliciosas, generalmente se consideran
inadecuadas para redes empresariales. Las principales clasificaciones de PUA
son:
Adware
Dialers
Non-malicious spyware
Remote administration tools
Hacking tolos
Nota: Ciertas aplicaciones que entran en la categoría PUA pueden ser
consideradas útiles por algunos usuarios.
El escaneo de PUA está habilitado de forma predeterminada. La aplicación se
bloqueará y se registrará un evento. A continuación, puede configurar la
configuración global o una directiva específica para permitir las aplicaciones
necesarias.
Download reputation
La reputación de descarga forma parte de la protección web y está habilitada de
forma predeterminada. Comprueba la reputación de los archivos a medida que se
descargan de un navegador de Internet.
Se recomienda la configuración de umbral predeterminada.
Si se selecciona un archivo desconocido o de baja reputación para la descarga, se
le pedirá al usuario que elimine el archivo o que confíe en él.
Si se utiliza la configuración estricta, cualquier descarga con una reputación media
también activará un mensaje.
Si se selecciona la acción 'solo registro', los detalles de los archivos descargados
se agregarán al registro local, sin embargo, no se mostrará ningún mensaje de
usuario.
Todos los archivos descargados se comprueban para determinar el tipo de
archivo. Si el archivo es un ejecutable (un archivo .exe, por ejemplo), se realiza
una búsqueda de reputación completa. La reputación de un archivo se determina
realizando una búsqueda de suma de comprobación de archivos desde el
endpoint en comparación con los archivos conocidos y su reputación creada por
SophosLabs.
La configuración de la protección contra descargas se configura en la directiva de
protección contra amenazas en Análisis en tiempo real > Internet Detectar
archivos de baja reputación.
Malicious Traffic Detection
La detección de tráfico malintencionado (MTD) supervisa el tráfico web saliente
que no se origina en un navegador.
MTD monitorea el tráfico HTTP en busca de signos de conectividad a URL
incorrectas conocidas, como servidores de comando y control y otros sitios de
malware. Si se detecta este tráfico, puede ser un indicador temprano de que
puede haber una nueva pieza de malware. MTD también utiliza HIPS para
desactivar el proceso que solicita la URL incorrecta.
Si un proceso intenta conectarse a una URL de malware conocida, MTD informa
del tráfico a HIPS y puede desencadenar análisis de memoria. Si esto da como
resultado una detección de HP/mal, entonces la amenaza se limpiará.
Runtime Behaviour Analysis (HIPS)
El análisis de comportamiento en tiempo de ejecución (HIPS) analiza el
comportamiento o los programas en ejecución en un punto final. Incluye:
Detección de comportamientos sospechosos, que detecta y bloquea actividades
que parecen ser maliciosas
Puede incluir cambios en el registro que podrían permitir que un virus se ejecute
automáticamente cuando se reinicia el punto de conexión
La configuración de HIPS se configura en la directiva de protección contra
amenazas en la sección de protección en tiempo de ejecución.
Active Adversary Mitigations
Si se finaliza la aplicación, también se finaliza la comunicación. Un atacante
intentará pasar a otro proceso en ejecución en el punto de conexión. Este tipo de
migración de procesos es una práctica común. Por lo general, hacen uso de
inyecciones de DLL reflectantes para cargar una biblioteca desde la memoria, sin
embargo, se están utilizando nuevas técnicas.
Intercept X detecta estas combinaciones de comportamientos, lo que significa que
puede predecir acciones maliciosas y evitar que se ejecuten. Además, comprende
la forma en que se pueden iniciar aplicaciones como PowerShell y bloquea las
funciones del navegador de Internet, como las aplicaciones HTA y HTML.
Intercept X también proporciona protección de navegación segura. Los exploits del
navegador son una clase de amenaza en la que el atacante se dirige a una
vulnerabilidad en el navegador o en una aplicación a la que el navegador llama
para procesar una solicitud web, como Flash Player, Java o Silverlight.
WipeGuard
La protección de Intercept X incluye WipeGuard. Algunas formas de ransomware
sobrescriben el registro de arranque maestro (MBR), lo que deja el sistema
operativo en un estado que no puede arrancar.
El MBR es el código almacenado en los primeros sectores de una unidad de disco
duro. Contiene información sobre las particiones del disco e inicia el cargador de
arranque del sistema operativo. Sin acceso al MBR, la computadora no sabe qué
particiones de disco contienen su sistema operativo y cómo iniciarlo.
También evita la instalación del kit de arranque. Un bootkit es una variante de un
rootkit que infecta el código de inicio de un punto final y se puede utilizar para
atacar sistemas de de disco completo.
Quarantine
Cuando se limpia un archivo, se pasa a SafeStore con su información asociada.
SafeStore encripta el archivo, incluida su información asociada, y lo almacena.
SafeStore es una cuarentena para los archivos detectados.
La información de archivo asociada puede incluir claves de registro, permisos e
información de servicio. Esto es para garantizar que, si es necesario restaurarlo
desde SafeStore, esté en un estado de pleno funcionamiento.
Tenga en cuenta que, si se desinfecta un archivo y se elimina el código malicioso
del archivo, el archivo restante está limpio y, por lo tanto, no se pasa a SafeStore.
El lugar donde se almacena un archivo dependerá de si se limpia mediante la
herramienta Sophos Clean incorporada o mediante SAV.
Cuando interactúa con SafeStore a través de la interfaz de usuario (UI), no importa
a qué ubicación de SafeStore se hayan pasado los archivos.
SafeStore tiene algunas limitaciones para evitar que consuma demasiado espacio
en disco. Estos son:
Límite de tamaño de archivo de 50 MB por archivo. Es muy poco común que los
archivos grandes se detecten como malware
Límite de 1 GB en la cantidad de espacio que usará SafeStore
Límite de 200 archivos en el número de artículos que conservará SafeStore
Cuando se alcance el número máximo de archivos del límite de almacenamiento
de 1 GB, el elemento más antiguo se eliminará de SafeStore. Debido a estas
limitaciones, es posible que se pierdan algunos datos.

Cuestionario
Module 3: Server Protection and Management
Server protection
Esta diseñado específicamente para la protección de servidores Windows y Linux,
también para ambientes virtuales como lo es VMware, hyper-vi, AWS, Azure. Esta
soportado para las siguientes versiones:

Protecting Virtual Servers

La primera opción es implementar el agente de servidor completo en cada servidor
virtual invitado. Esto proporcionará funciones de protección mejoradas, incluido el
bloqueo del servidor, la detección de tráfico malicioso y CryptoGuard. Si el servidor
virtual tiene datos de alto valor y es un servidor virtual persistente, recomendamos
utilizar el agente de servidor completo. Tenga en cuenta que, para cualquier
servidor virtual alojado en AWS o Microsoft Azure, el agente de servidor completo
es la única opción.
La segunda opción para servidores virtuales alojados en VMWare o Hyper-V es
instalar el agente invitado ultradelgado. Una vez instalado, puede implementar
Sophos Security Virtual Machines (SVM) que brindan protección centralizada
contra amenazas. Estos proporcionan antimalware que incluye búsqueda de
protección activa y limpieza automatizada. Esta opción tiene menores gastos
generales de recursos. Si tiene servidores virtuales con acceso restringido y datos
de bajo valor, le recomendamos utilizar el agente invitado ligero.
Sophos for Virtual Environments (SVE)
Sophos para entornos virtuales consta de dos componentes.
La máquina virtual de seguridad (SVM)
El agente ligero instalado en una máquina virtual invitada (GVM)
Debe instalar una SVM en cada host de virtualización para proporcionar un
análisis antivirus central para todas las GVM del host. Cuando se instala la SVM,
aparecerá en Sophos Central y recibirá la configuración de la política base de
forma predeterminada.
El tráfico entre GVM y SVM se cifra mediante AES 128. Las GVM pueden migrar
entre SVM si es necesario. Cuando se implementan varias SVM en la misma red,
las GVM pueden moverse automáticamente entre su SVM y conectarse a otra.
Esto proporciona equilibrio de carga y proporciona una conmutación por error.
El instalador de la SVM se descarga desde Sophos Central.
A diferencia de los instaladores de terminales y servidores físicos, este no está
vinculado a la cuenta central.
El instalador solicitará la introducción de la dirección de correo electrónico y la
contraseña del Administrador central, que se utilizan para determinar la cuenta a la
que se vinculará.
Cuestionario
Module 4: Server Protection Features and Policies
Server Protection Licenses
Intercept X Advanced for Server
Intercept X Advanced para exclusiones también incluye aprendizaje automático y
bloqueo de servidores, junto con protección contra exploits y vulnerabilidades.
Intercept X Advanced for Server with XDR incluye la capacidad de buscar
amenazas en todo su patrimonio y aislar los servidores comprometidos.
Intercept X Advanced for Server with XDR
Las funciones de Intercept X están integradas en el agente de Sophos Central
Server Protection y no admitimos que el producto se ejecute junto con ningún
producto antivirus de terceros en servidores Windows. Todas las funciones que no
sean el bloqueo del servidor están instaladas y disponibles para su uso de forma
predeterminada. Sin embargo, la funcionalidad no se habilita hasta que se habilita
en la directiva de servidor aplicada.
Server Lockdown
El bloqueo del servidor le permite restringir las aplicaciones que se pueden
ejecutar en sus servidores y cuáles de ellas pueden interactuar entre sí.
Utiliza controladores que residen en el kernel del sistema operativo y funciona
mediante la creación de una lista blanca inicial de aplicaciones buenas conocidas.
Al habilitar el bloqueo, todas las aplicaciones existentes que están instaladas en el
servidor se incluyen en la lista blanca. Algunas aplicaciones, como por ejemplo
Windows Update, son de confianza.
La diferencia entre las aplicaciones de confianza y las de la lista blanca es que las
aplicaciones de confianza pueden realizar cambios en el sistema que se reflejan
en las actualizaciones de la lista blanca.
Mientras que las aplicaciones incluidas en la lista blanca no pueden realizar
cambios en el sistema y, por lo tanto, no cambian la lista blanca.
Una vez que se ha bloqueado un servidor, las nuevas aplicaciones no podrán
ejecutarse a menos que el administrador de Sophos Central lo apruebe
explícitamente.
La configuración de bloqueo del servidor en una política se puede usar para
cambiar lo que se permite sin necesidad de desbloquear el servidor.
Esta opción "confía" en el software, por lo que también se permiten los archivos
que crea o los cambios. Esto es diferente del proceso cuando bloquea un servidor,
que solo permite que se ejecute el software en sí.
Los archivos/carpetas bloqueadas se pueden usar para bloquear el software que
actualmente se puede ejecutar o para bloquear una carpeta específica para
aplicaciones, como instaladores, que desea poner a disposición de otros usuarios
en la red, pero que no desea ejecutar en su servidor.
Un ejemplo puede ser una ubicación de recurso compartido o de declarante.
Los archivos de un recurso compartido de red no se bloquean si la ubicación de la
carpeta o el archivo están bloqueados en la directiva de bloqueo
Las listas permitidas y bloqueadas en la política de bloqueo SOLO se aplican a la
ejecución local
Tenga en cuenta: si tiene instaladores en un recurso compartido, se pueden
ejecutar en una computadora remota sin que esté en los archivos y carpetas
permitidos, esto solo es necesario para permitir la ejecución local en el servidor.
De la misma manera, no puede evitar que un instalador compartido se ejecute en
un equipo remoto agregándolo a los archivos y carpetas bloqueados.
File Integrity Monitoring (FIM)
Sophos File Integrity Monitoring (FIM) puede ayudarle a supervisar sistemas
críticos que proporcionan seguridad adicional o a cumplir con PCI:DSS.
FIM supervisa los archivos, las claves del Registro y los valores del Registro.
Viene preconfigurado con reglas predeterminadas, además de proporcionar la
capacidad de agregar ubicaciones de monitoreo adicionales y exclusiones a través
de la política FIM.
FIM se instala de forma predeterminada, sin embargo, solo se aplica cuando está
habilitado en la política.
Hay dos políticas configurables para FIM:
La supervisión personalizada le permite agregar archivos, carpetas, claves del
Registro y valores del Registro a la lista de elementos supervisados. Esto se suma
a los archivos críticos del sistema de Windows que se supervisan de forma
predeterminada
Las exclusiones de monitor permiten excluir archivos, carpetas, claves del
Registro y valores del Registro de la lista de elementos supervisados. Por ejemplo,
puede decidir excluir un archivo crítico del sistema de Windows que se supervisa
de forma predeterminada.
Las reglas se evalúan con el siguiente orden de prioridad:
Estos archivos se escriben cada 15 minutos y cada archivo puede contener varios
eventos.
Los archivos de datos de la ubicación de exportación predeterminada se purgan
cuando tienen más de 90 días, por lo que le recomendamos que almacene su
propia copia de los datos para evitar la eliminación de cualquier dato que pueda
necesitar.
Module 5: Endpoint Protection and Management
Endpoint System Requirements
Sophos Central es compatible con Windows 7, 8, 8.1 y 10. Los requisitos físicos
del sistema para los puntos de conexión de Windows dependen de la licencia que
haya aplicado. En esta tabla se detalla la diferencia entre el espacio en disco y la
memoria necesaria.
El espacio en el disco duro varía en función de lo que CryptoGuard esté haciendo
con respecto a la caché de archivos para una posible reversión. Esto fluctúa a
medida que copiamos y luego publicamos los archivos con los que interactúan los
procesos previos a la condena/exoneración.
Bulk Deployment
Si necesita implementar el software del agente de endpoint en muchos endpoints,
puede crear un script para implementarlo e instalarlo.
Puede usar scripts de Active Directory en la directiva de grupo o, como alternativa,
puede optar por usar Microsoft System Center Configuration Manager (SCCM)
para distribuir e instalar el agente de punto de conexión.
Es importante tener en cuenta que las implementaciones masivas NO deben
crearse con un instalador que se haya enviado mediante el enlace de
configuración por correo electrónico. Si se utiliza este instalador, todos los puntos
de conexión se asociarán con el usuario al que se envió el enlace de configuración
de correo electrónico.
De forma predeterminada, todos los endpoints obtienen las últimas actualizaciones
de amenazas de los almacenes de Sophos en línea, sin embargo, puede
configurar una caché de actualización del servidor si es necesario.
Tenga en cuenta que las computadoras solo pueden ser miembros de UN grupo
de computadoras.
Deleting Endpoints
Para eliminar la protección de Sophos de un endpoint, deberá desactivar la
protección contra manipulaciones.
Esto le permitirá desinstalar el agente de endpoint de Sophos con éxito.
Tenga en cuenta que al eliminar un endpoint en Sophos Central SOLO se elimina
el endpoint de la Consola de administración de Sophos Central.
No eliminará el agente de endpoint de Sophos del propio dispositivo.
Cuestionario
Module 6: Threat Protection Policies
Policies Overview
Las políticas se utilizan para definir las medidas de seguridad aplicadas a los
endpoints protegidos. Las políticas de protección de endpoints se dividen en
diferentes áreas de protección y Sophos Central incluye políticas básicas
preconfiguradas.
Estas políticas contienen la configuración recomendada de Sophos y se aplican a
todos los usuarios.
Las recomendaciones generales a la hora de establecer políticas son las
siguientes:

Tenga en cuenta que los cambios en las políticas deben ser limitados y precisos
para que se puedan evaluar sus efectos.
Deben aplicarse a un pequeño grupo para realizar pruebas antes de aplicar el
cambio a toda la organización.
Threat Protection Policy
La configuración de la política de protección contra amenazas se aplica
automáticamente y utiliza la configuración recomendada de Sophos. Estos ajustes
proporcionan la mejor protección sin necesidad de una configuración compleja. Si
Sophos cambia alguna recomendación en el futuro, la política se actualizará con la
nueva configuración.
La configuración recomendada ofrece detección de malware conocido,
comprobaciones en tiempo real para permitir la detección del malware más
reciente, detección proactiva de malware desconocido y limpieza automática de
malware. Si bien estos ajustes se habilitan automáticamente, es útil comprender lo
que significan.
La primera configuración que aparece en la lista es Live Protection.
Como comentamos en el módulo anterior, Live Protection compara los archivos
sospechosos con la información más reciente de SophosLabs.
File scanning
El aprendizaje profundo utiliza el aprendizaje automático avanzado para detectar
amenazas. Puede identificar malware y PUAs conocidos y previamente
desconocidos sin usar firmas.
Escaneo en tiempo real: archivos locales y recursos compartidos de red. Esta
opción escaneará los archivos a medida que se acceda a ellos. Se denegará el
acceso a los archivos si el archivo es malicioso. Selección de archivos remotos
con archivos de análisis en recursos compartidos de red.
Web Protection
La sección Escaneo en tiempo real – Internet es donde están habilitadas las
opciones para escanear descargas y bloquear el acceso a sitios web maliciosos.
Para la opción Detectar archivos de baja reputación, puede editar si desea que se
le pregunte al usuario o si solo desea registrar el evento.
Además, aquí es donde puede establecer el nivel de reputación en estricto. Tenga
en cuenta que, si la configuración estricta está habilitada, se detectarán todos los
archivos de reputación media y baja, lo que puede causar algunos problemas para
sus usuarios.
Remediation
En la sección de corrección, se habilitan las siguientes opciones:
Todo el malware detectado se limpia automáticamente en un endpoint. Tenga en
cuenta que los archivos PE, como las aplicaciones, las bibliotecas y los archivos
del sistema, siempre se limpian, incluso si la limpieza automática está
desactivada. Los archivos PE se ponen en cuarentena y se pueden restaurar.
Los casos de amenazas se crean para ayudar con la investigación de un incidente
de malware.
Los dispositivos enviarán datos sobre archivos sospechosos a Sophos Central
para permitir la investigación. Esto debe estar habilitado para realizar búsquedas
de amenazas desde el centro de análisis de amenazas. Tenga en cuenta que esta
opción solo estará disponible si tiene Intercept X Advanced con EDR.
Runtime protection
Las características de protección en tiempo de ejecución protegen los endpoints
mediante la detección de tráfico o comportamiento sospechoso o malintencionado.
Aquí puedes proteger tus archivos del ransomware y los ataques destructivos.
Además, puede proteger los navegadores de Internet contra la explotación.
Puede optar por mitigar los exploits en aplicaciones vulnerables y proteger los
procesos de sus endpoints, lo que ayuda a evitar el secuestro de aplicaciones
legítimas.
La protección en tiempo de ejecución también detecta y bloquea el tráfico entre un
endpoint y un servidor C&C.
Notará que algunas características requieren unirse a un EAP, esto para las
nuevas características que se introducen para mejorar las características de
protección.
Device isolation
La configuración de aislamiento del dispositivo no está habilitada con la
configuración recomendada.
Cuando está habilitado, el aislamiento de dispositivos permite que los dispositivos
se aíslen en caso de que su estado de salud se vuelva rojo. Una vez aislado, el
dispositivo no podrá comunicarse con la red ni con Internet, sin embargo, seguirá
comunicándose con Sophos Central.
Una vez que el estado de salud del dispositivo vuelva a verde, se eliminará el
aislamiento y el dispositivo podrá volver a acceder a la red y a Internet. Esto
protege todos los puntos finales de su red, ya que puede evitar el movimiento
lateral del malware a través de una red.
Scheduled scanning
El análisis programado no se habilita automáticamente en la directiva de
protección contra amenazas.
Puede habilitar el análisis programado, estableciendo cuándo se llevará a cabo un
examen en los puntos de conexión protegidos. Tenga en cuenta que la hora de
escaneo programada es la hora en el punto final y no la hora UTC.
Si selecciona habilitar el escaneo profundo, el escaneo programado escaneará
dentro de los archivos de almacenamiento. Esto puede aumentar la carga del
sistema y hará que un escaneo sea significativamente más lento, por lo tanto, le
recomendamos que, si elige hacer esto, lo haga fuera de las horas activas del
usuario.
Control
Peripheral Control
Para controlar los datos que entran y salen de su organización, Sophos Central le
permite controlar los dispositivos periféricos que se utilizan en los endpoints
protegidos.
Web control
Con la política de control web, puede determinar cómo se tratan los archivos de
riesgo, los anuncios y los archivos sin categorizar.
También puede optar por registrar todos los intentos de visitar sitios bloqueados,
junto con los casos en los que los usuarios pasan las advertencias, o elegir
registrar solo los intentos de visitar sitios infectados.
Es posible invalidar el comportamiento predeterminado del control web para sitios
web específicos.
Esto se puede lograr etiquetando sitios web. Las etiquetas tienen una acción
asociada y tienen prioridad sobre la acción aplicada a esa categoría de sitios en la
política de control web.
Aquí hemos creado dos etiquetas de sitio web en 'Configuración global'. Podemos
aplicar la acción de permitir, bloquear o advertir a estos sitios web etiquetados.
Update management
Tenga en cuenta que esta política solo afecta a las actualizaciones de productos,
no a las actualizaciones de información o archivos de amenazas.
RECORDAR
Si un dispositivo no está encendido, no recibirá una actualización del producto
hasta que se vuelva a encender a la hora de actualización programada.
Windows firewall
Puede supervisar y configurar el Firewall de Windows (y supervisar otros firewalls
registrados) en los puntos de conexión mediante la directiva de Firewall de
Windows.
Puede aplicar una directiva de Firewall de Windows a dispositivos individuales o a
grupos de dispositivos.
En la pestaña CONFIGURACIÓN, puede determinar el nivel de monitoreo
requerido.
Seleccione entre solo monitoreo o monitoreo más configuración de perfiles de red
que le permitirán bloquear o permitir conexiones entrantes en redes de dominio,
privadas y públicas.
Otros firewalls o la configuración de la directiva de grupo de Windows pueden
afectar a la forma en que se aplica la directiva en los puntos de conexión
individuales. Le recomendamos que pruebe las reglas de firewall que cree para
asegurarse de que se permite la comunicación con Sophos.
Exclusions
Global exclusions
Se pueden crear exclusiones globales para PUAs, sitios web y archivos o
carpetas. Si los crea en la lista global de excepciones, se aplicarán a TODOS los
puntos de conexión y usuarios protegidos.
Tenga en cuenta que algunas aplicaciones de terceros, como SQL Server y
Microsoft Exchange, tienen exclusiones recomendadas que se aplican a todos los
productos antivirus.
Cualquier exclusión debe agregarse con extrema precaución, ya que con cada
exclusión está reduciendo la protección de su entorno.
DLP
La política de prevención de pérdida de datos utiliza listas de control de contenido
(CCL), reglas de contenido y archivos para definir un conjunto de condiciones que
especifican qué contenido de datos se puede transferir a través y fuera de una red.
Cuestionario
Module 7: Public Cloud
Securing public cloud
-Cloud Foundation
Infrastructure security
Inventory configuration
Access controls
Data security
-Host and Code
Applications
Content
-Network
WAF
IPS
VPN
Firewall
Web filtering
Cloud Optix fue diseñado para abordar estos desafíos. Utiliza los tres pilares
siguientes:

Cloud Optix características

MULTI-CLOUD VISIBILITY
Vea los inventarios de todos los activos en la nube en varias plataformas en la
nube para varias cuentas.
Visualization
Mapeo en tiempo real del entorno de los diseños de red y análisis de los permisos
de las cuentas de IAM.
Stay compliant
Utilice políticas para evaluar continuamente los estándares de cumplimiento.
Smart alerting
Alertas contextualizadas que agrupan los recursos afectados, pasos de corrección
detallados y respuesta guiada.
Integration
Integre las comprobaciones de seguridad y cumplimiento con servicios de terceros
para agilizar las operaciones.
Code scanning
Cloud Optix puede analizar plantillas para detectar posibles problemas de postura
de seguridad antes de que puedan aprovecharse.
Gestión de activos: Mantener un inventario constante de todos los activos en la
nube en múltiples plataformas en la nube y múltiples cuentas. Esto mejora la
visibilidad de los entornos en la nube.
Visualización y contextualización: Agrega información, por ejemplo, dibujando
un mapa en tiempo real del diseño de red de un entorno, o visualizando las
estructuras de permisos de IAM y analizando el uso de la cuenta frente a los
permisos de la cuenta para ver si los usuarios o roles están sobreaprovisionados
en términos de permisos para la tarea que realmente están tratando de realizar.
Directivas: Se utiliza para comprobar continuamente el cumplimiento de los
estándares en el entorno. Esto, no solo cubre PCI y GDPR, sino que también
cubre el cumplimiento personalizado diseñado para coincidir con su postura de
seguridad específica
Alertas inteligentes: Se proporcionan alertas contextuales que incluyen tanto la
corrección como la causa raíz del incidente. Todos los recursos afectados se
agruparán para el mismo problema a fin de garantizar que las notificaciones de
alerta no abrumen a los administradores. Básicamente, las alertas inteligentes le
dicen qué está mal, cómo solucionarlo y qué activos se han visto afectados.
Integración con sistemas de tickets y alertas: Optix puede exportar
automáticamente alertas e instrucciones de corrección a las plataformas que
utiliza, por ejemplo, Jira, ServiceNow, SIEM, GuardDuty. El acceso a la API
permite la exportación de datos y la opción de cargar datos personalizados para
ejecutar análisis bajo demanda en entornos o plantillas
Escaneo de infraestructura como código: Cloud Optix puede analizar plantillas
para detectar posibles problemas de postura de seguridad antes de que puedan
ser explotados. Opera una evaluación continua de línea de base de su entorno.
Debido a este monitoreo constante, puede detectar cuándo el comportamiento del
usuario o del tráfico se desvía de lo esperado.
Esto permite a Cloud Optix determinar posibles indicadores de compromiso, como
el inicio de sesión de una cuenta desde diferentes ubicaciones al mismo tiempo en
períodos de tiempo razonablemente cortos. Esto permite a un administrador
revisar las alertas que pueden ayudarle a adelantarse a un ataque.
Los modelos de precios disponibles incluyen:
Por hora, pago por uso. Esta opción de precios calcula el uso del producto por
activo, por hora y factura con atrasos mensualmente. Esta opción solo está
disponible a través de AWS Marketplace. La factura se emite directamente al titular
de la cuenta del proveedor de servicios en la nube. Esta opción también incluye un
nivel gratuito que permite a las organizaciones supervisar sus primeros 25 activos
de forma gratuita.
Precios mensuales a través del programa Sophos MSP Flex.
Los precios anuales y plurianuales están disponibles a través del modelo BYOL (o
Bring you own license). Esto permite a los clientes comprar licencias de Sophos
por adelantado durante 12, 24 y 36 meses con franjas de precios para compras de
licencias de activos múltiples. Esta opción solo está disponible a través de
Sophos.
*Los precios mensuales, anuales y plurianuales se basan en paquetes de activos,
en lugar de en recuentos de activos individuales. Esto permite a los clientes
ampliar el uso de la nube sin necesidad de ajustar continuamente las compras de
licencias. (Agregue un mosaico abatible para ver los paquetes de activos -
siguiente diapositiva).
Por último, y de forma única, Cloud Optix también está disponible dentro de la
licencia Intercept X Advanced for Server with EDR. Este derecho incluye un
conjunto básico de funciones de Cloud Optix, como el inventario de activos en la
nube, la detección de anomalías de red y usuarios, y los análisis de políticas de
mejores prácticas de seguridad. Para calcular el número de activos que pueden
ser monitoreados de forma gratuita por Cloud Optix con Server EDR, simplemente
tome el número de licencias de agente de servidor pagadas y agregue el 20%.
Intercept X for Server
El host y la capa de código es donde se aplica la protección de Intercept X para el
servidor.
Esta capa cubre la seguridad de la carga de trabajo, ya que ni AWS ni Azure
proporcionan ningún tipo de seguridad de punto final como una característica
integrada en su plataforma. Ambos apuntan a soluciones de terceros para abordar
esta parte crucial de la cadena de seguridad.
Intercept X para servidor proporciona protección antimalware y antiransomware de
la misma manera que lo hace para los servidores físicos.
Las funciones de control, visibilidad y corrección, como EDR, MTD y bloqueo de
servidores, están incluidas, independientemente de dónde existan los servidores
virtuales o qué plataforma estén utilizando.
Todas las características que se aplican a la protección del servidor físico se
aplican a cualquier máquina virtualizada que se ejecute en su entorno de nube.
Sophos Central proporciona las mismas funciones de gestión centralizada,
seguridad sincronizada, alertas e informes.
Endpoint Self Help (ESH)
La herramienta de autoayuda para endpoints (ESH) está disponible en el agente
de protección de Sophos instalado en cualquier endpoint protegido. Para acceder
a la herramienta, abra el agente en un dispositivo.
Sophos Diagnostic Utility (SDU) Tool
Desde la herramienta ESH, puede ejecutar una herramienta Sophos Diagnostic
Utility (SDU). La SDU recopila información vital del sistema, así como archivos de
registro para todos los productos de Sophos que están instalados en el dispositivo.

La primera es seleccionar Cargar en Sophos (recomendado).

Esta opción cargará automáticamente la salida de la utilidad de diagnóstico en
Sophos.
Una vez cargado, se le presentará una ventana adicional que confirmará si la
carga se realizó correctamente y el enlace URL creado para el archivo cargado.
La URL se copia en el portapapeles y será necesaria cuando se ponga en
contacto con el equipo de soporte. Si la URL copiada se sobrescribe, se puede
obtener abriendo el sdu.log y desplazándose hasta la parte inferior del registro.

El segundo método es enviar el registro manualmente en un navegador.

Esta opción abrirá una conexión de navegador web a nuestra página de
presentación de casos en línea.
Esta página se puede utilizar para abrir un nuevo caso o proporcionar una
actualización de un caso existente (si tiene un número de referencia de caso).
Puede cargar el archivo de diagnóstico o pegar el enlace URL.
Tenga en cuenta lo siguiente: Debe permitir una conexión para sdu-
feedback.sophos.com en el puerto 443 a través de cualquier firewall para enviar
sus archivos a Sophos.
Si la conexión está bloqueada, recibirá un error de carga fallida.
No se puede acceder a la ubicación de la URL proporcionada en el registro por
diseño.
Navigate to sophos.com/support to access documentation, downloads, training and
support packages.
Which TCP port does the endpoint use to get policies?
8190
Mal-3 4 5 6