Visão geral do Sophos Endpoint Agent

A proteção da Web intercepta as conexões de saída do navegador e bloqueia o tráfego destinado a sites maliciosos ou suspeitos. Isso interrompe as ameaças no estágio de entrega, prevenindo que os usuários fiquem abertos a malwares e sites de phishing.

O controle da Web usa a mesma tecnologia de interceptação de tráfego, permitindo que você bloqueie o acesso a conteúdo indesejado ou impróprio, como sites para adultos ou de apostas.

A reputação de download analisa os arquivos enquanto são baixados e utiliza a inteligência de ameaças global do SophosLabs para dar o seu veredito com base na predominância, idade e origem, avisando os usuários para bloquear arquivos com reputação baixa ou desconhecida.

O controle de aplicativos lhe permite bloquear aplicativos que possam ser vulneráveis, inadequados para o seu ambiente ou com propósitos nefastos. A Sophos oferece categorias predefinidas para bloquear ou monitorar aplicativos, eliminando o trabalho de ter que bloquear os aplicativos com hash individualmente.

O controle de (dispositivo) periférico lhe permite monitorar e bloquear o acesso à mídia removível, ao Bluetooth e à rede móvel para impedir que dispositivos específicos se conectem à sua rede.

A prevenção contra a perda de dados monitora e restringe a transferência de arquivos que contêm dados sigilosos. Por exemplo, impedir que os funcionários enviem arquivos confidenciais para casa usando em e-mail da Web.

O bloqueio de servidor permite que apenas aplicativos confiáveis e seus arquivos associados sejam executados e alterem outros arquivos. A Sophos registra o software instalado, confirma que é seguro e permite que apenas esses arquivos sejam executados enquanto o servidor está bloqueado.

O anti-ransomware universal (CryptoGuard) oferece a proteção anti-ransomware mais robusta do setor. Ele monitora constantemente o conteúdo dos arquivos em busca de sinais de criptografia mal-intencionada, bloqueando o processo ofensivo, esteja ele em execução localmente ou em um dispositivo remoto comprometido. O mecanismo de rollback proprietário da Sophos reverte arquivos criptografados a seu estado original sem depender de VSS (Volume Shadow Copy Service), um serviço que os invasores frequentemente buscam.

A maioria dos fornecedores não oferece um pacote equivalente de camadas de proteção contra ransomware remoto.

A Proteção Adaptativa contra Ataques coloca automaticamente em prática uma proteção mais agressiva no endpoint quando é detectado um ataque via teclado, bloqueando ações comuns entre os adversários, como tentativas de executar ferramentas de administração remota ou executáveis de baixa reputação.

Nenhum outro fornecedor oferece uma proteção adaptável contra adversários ativos que se compara a essa.

A prevenção contra malware (alimentada por IA) com Deep Learning analisa binários para tomar decisões com base em atributos do arquivo e uma lógica preditiva. O Deep Learning é uma forma avançada de machine learning que detecta e bloqueia malwares, inclusive os novos e aqueles nunca vistos.

A proteção em tempo real prolonga a extensa proteção a dispositivos da Sophos com pesquisas em tempo real à inteligência de ameaças global mais atualizada do SophosLabs para localizar contexto de arquivo, verificação de decisão, supressão de falso positivo e reputação de arquivo. O Tier 1 de nossas pesquisas de ameaças oferece inteligência adicional também em tempo real obtida do nosso extenso portfólio de produtos Sophos e nossa base global de clientes.

Alguns fornecedores, incluindo Carbon Black, CrowdStrike e SentinelOne, contam apenas com os modelos pré-treinados de machine learning.

A análise de comportamento monitora processos, arquivos e eventos de registro por um período para detectar e interromper processos e comportamentos maliciosos. Também realiza a varredura da memória, inspeciona os processos em execução para detectar códigos maliciosos, que só são revelados durante a execução do processo, e detecta invasores implantando códigos maliciosos na memória de um processo em execução para escaparem da detecção.

O anti-exploit protege a integridade do processo resguardando a memória do aplicativo e aplicando proteções à execução dos códigos em tempo real. Mais de 60 técnicas anti-exploit no Sophos Endpoint já vêm habilitadas por padrão, sem exigir treinamento ou ajustes e se estendendo muito além das proteções oferecidas pelo SO Windows nativo ou pela maioria das soluções de segurança de endpoint.

Alguns fornecedores, incluindo Carbon Black, SentinelOne e Microsoft, carecem de processos para mitigar explorações ou exigem ajustes manuais significantes.

O bloqueio de aplicativos previne o uso indevido do navegador e aplicativos bloqueando ações não muito comuns associadas aos processos. Por exemplo, um navegador da Web ou um aplicativo do Office tentando iniciar o PowerShell.

A Antimalware Scan Interface (AMSI) determina se os scripts (por exemplo, PowerShell ou macros do Office) são seguros, incluindo se estão ofuscados ou se gerados em tempo de execução, bloqueando ataques sem arquivo em que o malware é carregado diretamente da memória. A Sophos também tem uma mitigação proprietária contra o malware que tenta burlar a detecção de AMSI.

A detecção de tráfego mal-intencionado detecta um dispositivo tentando se comunicar com um servidor de comando e controle (C2) interceptando o tráfego de processos não relacionados a navegadores e analisando se ele se destina a um endereço malicioso.

O monitoramento de integridade de arquivo (FIM) identifica alterações a arquivos críticos ao sistema nos servidores Windows. Você também pode definir localizações e exclusões para identificar alterações a determinados arquivos, pastas, chaves de registro ou valores de registro.

O Sophos Data Lake integra telemetria abrangente em um portfólio amplo de soluções da Sophos e de terceiros, incluindo tecnologias de endpoint, móvel, firewall, rede, e-mail e nuvem. Isso lhe dá acesso a dados críticos e detecções de ameaças priorizadas por IA entre várias superfícies de ataque.

O Live Discover lhe permite fazer consultas em dispositivos para investigar sua atividade. Ele usa a tecnologia osquery para monitorar e gravar o status do dispositivo e atributos em Event Journals e aplica sistemas de proteção para limitar o impacto das consultas no dispositivo. Você pode consultar o Sophos Data Lake por informações sobre vários dispositivos, incluindo os que estão offline.

O Live Response é um terminal seguro no painel de controle do Sophos Central que permite que você se conecte a dispositivos para investigar e remediar possíveis problemas de segurança. Execute comandos para interromper processos suspeitos, reiniciar dispositivos com atualizações pendentes, apagar arquivos e mais, com acesso seguro, auditado e completo ao shell.

Alguns fornecedores oferecem apenas um conjunto limitado de comandos em seus painéis de controle.

Instantâneos forenses. Quando ocorre a detecção de uma ameaça, é criado um arquivo de instantâneo da atividade atual no disco do dispositivo. Você pode recuperar esses instantâneos forenses remotamente para realizar análises adicionais.

O isolamento do dispositivo lhe permite isolar um endpoint da sua rede para conter um ameaça ou durante uma investigação. O isolamento bloqueia o tráfego de TCP e UDP e impede que o dispositivo estabeleça conexões com a rede.

O agente de endpoint unificado da Sophos inclui nosso pacote completo de funcionalidades de proteção, resposta e detecção prontas para usar. A organização também podem se beneficiar das funcionalidades de detecção e resposta da Sophos com a proteção de endpoint de terceiros usando um “XDR Sensor” opcional e leve com integrações de soluções de terceiros prontas para usar.

Alguns fornecedores, como CrowdStrike e Microsoft, não aceitam o uso de tecnologia de endpoint de terceiros.

A Sophos fornece uma plataforma de operações de segurança unificada e ferramentas que lhe permitem detectar, investigar e responder a ameaças em todos os principais vetores no mais curto espaço de tempo. Saiba mais sobre o pacote completo da Sophos das poderosas funcionalidades do Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR).