Zuzulassende Domänen und Ports

Sie müssen Ihre Firewall oder Ihren Proxy einrichten, um diese Domänen und Ports zuzulassen.

So können Sie Ihre Geräte schützen und zwischen Sophos Central Admin und Ihren verwalteten Endpoints kommunizieren.

Anmerkung Alle Funktionen leiten den Datenverkehr über denselben Proxy weiter.

Einige der Domänen, die Sie zulassen müssen, gehören Sophos Central Admin. Bei anderen ist dies nicht der Fall, sie werden jedoch für wichtige Vorgänge wie die Überprüfung, ob Installationen funktionieren oder die Anerkennung von Zertifikaten benötigt.

Sophos Central Admin-Domänen

Sie müssen diese Domänen und Ports über Ihre Firewalls und Proxys zulassen, damit Ihr Schutz ordnungsgemäß funktioniert.

Wenn Sie ein Partner sind, der Konten für Kunden verwaltet, müssen Sie dies für die Firewall oder den Proxy jedes Kunden vornehmen.

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
Anmerkung Wenn Ihr Proxy oder Ihre Firewall Platzhalter unterstützt, können Sie den Platzhalter *.sophos.com verwenden, um diese Adressen abzudecken.

Geben Sie dann die folgenden Nicht-Sophos-Adressen ein:

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

Sie müssen auch die anderen Abschnitte auf dieser Seite überprüfen und die entsprechenden Domänen und Ports für alle Ihre Lizenzen zulassen.

Wenn Sie ein Partner sind, der Konten für Kunden verwaltet, müssen Sie dies für die Firewall oder den Proxy jedes Kunden vornehmen, die den Kundenlizenzen entsprechen.

Endpoint-Domänen

Wenn Ihr Proxy oder Ihre Firewall Platzhalter unterstützt, verwenden Sie die folgenden Platzhalter, um diese Sophos-Endpoint-Domänen abzudecken.

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

Geben Sie dann die folgenden Nicht-Sophos-Adressen ein:

  • ocsp2.globalsign.com
  • crl.globalsign.com

Wenn Ihr Proxy oder Ihre Firewall Platzhalter nicht unterstützt, müssen Sie genau die Sophos-Endpoint-Domänen, die Sie benötigen, identifizieren und diese manuell eingeben.

Gehen Sie wie folgt vor, um die Serveradresse zu identifizieren, die Sophos Management Communication System für die sichere Kommunikation mit Sophos Central Admin verwendet.

  1. Öffnen Sie SophosCloudInstaller.log. Sie finden diese Datei in folgendem Verzeichnis:

    Windows 2008 R2 und neuer: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Sophos\CloudInstaller\Logs

    Windows 7 und neuer: C:\ProgramData\Sophos\CloudInstaller\Logs

  2. Suchen Sie nach den folgenden Zeilen:
    • Zeile, die wie folgt beginnt: Model::server value changed to:
    • Zeile, die wie folgt beginnt: Opening connection to

    Sie sollten einen Wert vorfinden, der so aussieht: dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com.

Sie müssen diese und die folgenden Adressen zu Ihrer Firewall- oder Proxy-Zulassungsliste hinzufügen.

  • dci.sophosupd.com
  • d1.sophosupd.com
  • d2.sophosupd.com
  • d3.sophosupd.com
  • dci.sophosupd.net
  • d1.sophosupd.net
  • d2.sophosupd.net
  • d3.sophosupd.net
  • t1.sophosupd.com
  • sdu-feedback.sophos.com
  • sophosxl.net
  • 4.sophosxl.net
  • samples.sophosxl.net
  • cloud.sophos.com
  • id.sophos.com
  • central.sophos.com
  • downloads.sophos.com
  • amazonaws.com
  • *.hydra.sophos.com

Wenn Sie die für hydra.sophos.com zugelassenen Domäne genauer spezifizieren möchten, können Sie die folgenden Domänen verwenden.

  • *.mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-west-2.prod.hydra.sophos.com

Sie müssen auch die folgenden Nicht-Sophos-Domänen hinzufügen. Sie dürfen für diese Domänen keine Platzhalter verwenden.

  • ocsp.globalsign.com
  • ocsp2.globalsign.com
  • crl.globalsign.com
  • crl.globalsign.net
  • ocsp.digicert.com
  • crl3.digicert.com
  • crl4.digicert.com
Anmerkung Einige Firewalls oder Proxys zeigen Reverse-Lookups mit *.amazonaws.com-Adressen an. Dies wird erwartet, da wir mehrere Server mit Amazon AWS hosten. Sie müssen diese URLs Ihrer Firewall oder Ihrem Proxy hinzufügen.

Endpoint-Ports

Sie müssen die folgenden Ports hinzufügen.

  • 80 (HTTP)
  • 443 (HTTPS)

AD-Synchronisierung

Wenn Sie den Active Directory-Dienst verwenden, müssen Sie außerdem die folgenden vorsignierten s3-Domänen hinzufügen:

  • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
  • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
  • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
  • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com

Wenn Ihr Proxy oder Ihre Firewall Platzhalter unterstützt, können Sie die folgenden Platzhalter hinzufügen:

  • *.s3.eu-west-1.amazonaws.com
  • *.s3.eu-central-1.amazonaws.com
  • *.s3.us-east-2.amazonaws.com
  • *.s3.us-west-2.amazonaws.com

Intercept X Advanced with EDR

Anmerkung Fügen Sie die unter Endpoint-Domänen und Endpoint-Ports aufgeführten Domänen und Ports hinzu, bevor Sie die unten aufgeführten Domänen hinzufügen.

Wenn Sie über eine Intercept X Advanced with EDR-Lizenz verfügen, müssen Sie außerdem die folgenden Domänen hinzufügen:

  • tf-edr-message-upload-eu-central-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-eu-west-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-east-2-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-west-2-prod-bucket.s3.amazonaws.com
  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
  • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
  • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
  • *.mcs-push-server-us-east-2.prod.hydra.sophos.com

Intercept X Advanced with EDR and MTR

Anmerkung Fügen Sie die unter Endpoint-Domänen, Endpoint-Ports und Intercept X Advanced with EDR aufgeführten Domänen und Ports hinzu, bevor Sie die unten aufgeführten Domänen hinzufügen.

Wenn Sie über eine MTR-Lizenz verfügen und TLS Inspection verwenden oder über eine Firewall mit Anwendungsfilterung verfügen, müssen Sie außerdem folgende Domänen hinzufügen:

  • prod.endpointintel.darkbytes.io

Um zu bestätigen, dass Sie diese Ausschlüsse hinzufügen müssen, oder um zu testen, ob die Ausschlüsse wirksam sind, müssen Sie Ihren DNS und Ihre Konnektivität auf einem Endpoint überprüfen.

Gehen Sie unter Windows wie folgt vor:

  1. Öffnen Sie PowerShell und geben Sie die folgenden Befehle ein, um Ihren DNS zu überprüfen:
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Sie sollten eine DNS-Antwortnachricht von jeder Domain sehen.

  2. Um Ihre Konnektivität zu überprüfen, geben Sie die folgenden Befehle ein:
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Die folgende Antwort sollte angezeigt werden: {message: "running..."}.

Gehen Sie unter Linux wie folgt vor:

  1. Um Ihren DNS zu überprüfen, geben Sie die folgenden Befehle ein:
    host prod.endpointintel.darkbytes.io

    Sie sollten eine DNS-Antwortnachricht von jeder Domain sehen.

  2. Um Ihre Konnektivität zu überprüfen, geben Sie die folgenden Befehle ein:
    curl -v https://prod.endpointintel.darkbytes.io/

    Die folgende Antwort sollte angezeigt werden: {message: "running..."}.