Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=protect-devices-domains-ports

Domaines et ports à autoriser

Veuillez configurer votre pare-feu ou proxy pour autoriser les domaines et ports répertoriés ici. Ceci vous permet de protéger vos appareils et de les gérer à partir de Sophos Central.

Toutes les fonctions acheminent le trafic via le même proxy.

Certains des domaines que vous devez autoriser sont la propriété de Sophos Central Admin. D’autres ne le sont pas, mais sont nécessaires aux opérations essentielles telles que la vérification du fonctionnement des installations ou la reconnaissance des certificats.

Cette page vous indique les domaines et ports dont vous avez besoin pour les produits suivants :

  • Intercept X, XDR ou MDR. Utilisez cette section pour vos produits de protection contre les menaces.
  • Sophos AD Sync. Utilisez également cette section si vous utilisez Sophos AD Sync pour maintenir à jour votre liste d’utilisateurs de Sophos Central.

Si vous configurez Sophos Email Security, consultez Informations de domaine de messagerie

Recommandations

  • N’utilisez pas de règles de pare-feu régionales. Elles pourraient remplacer votre liste d’autorisation et empêcher les produits Sophos de fonctionner. Par exemple, un blocage des régions hors-Amérique pourrait bloquer certains services étant exécutés via des régions européennes. Ceci est susceptible de se produire car nos produits sont hébergés sur Amazon Web Service (AWS), qui utilise des adresses IP non statiques. Voir Plages d’adresses IP AWS et Adresses IP Amazon.

  • Vérifiez si vos règles de pare-feu ou de proxy vous permettent d’utiliser des caractères de remplacement. Si ce n’est pas le cas, vous ne pourrez pas utiliser certaines fonctions.

Intercept X, XDR ou MDR

Suivez ces instructions si vous avez l’une de ces licences :

  • Intercept X Advanced
  • Intercept X Advanced for Server
  • Intercept X Advanced with XDR
  • Intercept X Advanced for Server with XDR
  • Managed Detection and Response (MDR)
  • Managed Detection and Response Complete
  • Managed Detection and Response Server
  • Managed Detection and Response Complete Server

Ports

Autoriser ce port :

  • 443 (HTTPS)

Domaines

Autorisez les domaines suivants. Assurez-vous de remplir toutes les sections.

Domaines Sophos Central Admin

  1. Autorisez les domaines Sophos suivants :

    • central.sophos.com
    • cloud-assets.sophos.com
    • sophos.com
    • downloads.sophos.com

    Si votre proxy ou votre pare-feu prend en charge les caractères de remplacement, vous pouvez utiliser le caractère de remplacement *.sophos.com pour couvrir ces adresses.

  2. Autorisez les adresses non-Sophos suivantes :

    • az416426.vo.msecnd.net
    • dc.services.visualstudio.com

Domaines Sophos

Les domaines que vous autoriserez dépendront de la prise en charge des caractères de remplacement par votre pare-feu ou votre proxy.

Cliquez sur l’onglet pertinent pour obtenir plus de renseignements.

Autorisez les caractères de remplacement suivants pour couvrir les domaines Sophos :

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net
  • *.analysis.sophos.com
  • *.ctr.sophos.com
  • *.hydra.sophos.com

Restriction

Si votre pare-feu n’autorise pas les caractères de remplacement, les fonctions XDR, Live Response et Live Discover ne fonctionneront pas. En effet, ils nécessitent des domaines que vous pouvez autoriser uniquement en utilisant un caractère de remplacement.

Si votre proxy ou votre pare-feu ne prend pas en charge les caractères de remplacement, veuillez ajouter manuellement les domaines exacts dont vous avez besoin.

Autorisez les domaines Sophos suivants :

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com

Vous devez également identifier les adresses de serveur que le système de communication d’administration Sophos et les programmes d’installation de l’appareil utilisent pour communiquer avec Sophos Central Admin en toute sécurité. Cliquez sur l’onglet correspondant au système d’exploitation de votre appareil et suivez les étapes pour identifier et autoriser ces adresses.

Sur les appareils Windows, procédez de la manière suivante :

  1. Ouvrez SophosCloudInstaller.log. Vous le trouverez dans C:\ProgramData\Sophos\CloudInstaller\Logs.

  2. Recherchez la ligne commençant par Opening connection to.

    Il y aura au moins deux entrées. La première ressemblera à l’un des exemples suivants :

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com

    La seconde ressemblera à l’un des exemples suivants :

    • dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
    • api-cloudstation-us-east-2.prod.hydra.sophos.com
    • api.stn100yul.ctr.sophos.com

    Ajoutez les deux domaines à vos règles.

  3. Ajoutez les adresses suivantes :

    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-auto-upload.sophosupd.com
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
    • ssp.sophos.com
    • sdu-auto-upload.sophosupd.com
    • rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
    • rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
    • rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
    • rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
    • rca-upload.stn100bom.ctr.sophos.com
    • rca-upload.stn100yul.ctr.sophos.com
    • rca-upload.stn100hnd.ctr.sophos.com
    • rca-upload.stn100gru.ctr.sophos.com
    • rca-upload.stn100syd.ctr.sophos.com

  4. Ajoutez les domaines requis pour Sophos Management Communication System :

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com

  5. Ajoutez les domaines requis pour le service SophosLabs Intelix :

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com

  6. Vous devrez peut-être autoriser l’accès aux sites de l’autorité de certification suivants s’ils ne sont pas autorisés par votre pare-feu :

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

Sur les appareils Linux, procédez comme suit :

  1. Recherchez SophosSetup.sh sur votre appareil.

  2. Exécutez la commande suivante pour démarrer le programme d’installation et imprimez le résultat.

    sudo bash -x ./SophosSetup.sh

  3. Recherchez les lignes suivantes :

    • Ligne commençant par + CLOUD_URL=https://
    • Ligne commençant par + MCS_URL=https://

    Ajoutez les domaines des deux lignes à vos règles.

  4. Ajoutez les adresses suivantes :

    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com

  5. Ajoutez les domaines requis pour Sophos Management Communication System :

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com

  6. Ajoutez les domaines requis pour le service SophosLabs Intelix :

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com

  7. Vous devrez peut-être autoriser l’accès aux sites de l’autorité de certification suivants s’ils ne sont pas autorisés par votre pare-feu :

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

Remarque

Certains pare-feu ou proxys affichent des recherches inversées pour les adresses *.amazonaws.com. Ceci est à prévoir car nous utilisons Amazon AWS pour héberger certains serveurs. Veuillez ajouter ces URL à votre pare-feu ou proxy.

Domaines pour XDR

Autorisez ces domaines si votre licence inclut XDR :

  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • live-terminal.stn100yul.ctr.sophos.com
  • live-terminal.stn100syd.ctr.sophos.com
  • live-terminal.stn100hnd.ctr.sophos.com
  • live-terminal.stn100gru.ctr.sophos.com
  • live-terminal.stn100bom.ctr.sophos.com

Domaines pour MDR

Autorisez ces domaines si votre licence inclut MDR.

Si vous utilisez l’inspection TLS ou si vous disposez d’un pare-feu qui utilise le filtrage d’application, veuillez ajouter les domaines suivants :

  • prod.endpointintel.darkbytes.io
  • kinesis.us-west-2.amazonaws.com

Pour obtenir confirmation que ces exclusions de domaine doivent bien être ajoutées ou pour vérifier qu’elles fonctionnent, veuillez vérifier votre DNS et votre connectivité sur un appareil.

Sélectionnez l’onglet correspondant à votre système d’exploitation.

Sous Windows, procédez de la manière suivante :

  1. Pour vérifier votre DNS, ouvrez PowerShell et saisissez les commandes suivantes :

    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

    Vous devriez voir une réponse DNS de chaque domaine.

  2. Pour vérifier votre connectivité, saisissez la commande suivante :

    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Vous devriez voir la réponse suivante : {message: "running..."}.

Sous Linux, procédez comme suit :

  1. Pour vérifier votre DNS, saisissez les commandes suivantes :

    host prod.endpointintel.darkbytes.io

    host kinesis.us-west-2.amazonaws.com

    Vous devriez voir une réponse DNS de chaque domaine.

  2. Pour vérifier votre connectivité, saisissez la commande suivante :

    `curl -v https://prod.endpointintel.darkbytes.io/`

    Vous devriez voir la réponse suivante : {message: "running..."}.

Sophos AD Sync

Si vous utilisez Sophos AD Sync pour garder votre liste d’utilisateurs Sophos Central synchronisée avec Active Directory, vous devrez également autoriser les domaines dans cette section.

Restriction

Si votre pare-feu n’autorise pas les caractères de remplacement, vous ne pourrez pas utiliser l’utilitaire Sophos AD Sync.

  1. Si vous utilisez le service Active Directory, autorisez les domaines s3 présignés suivants :

    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
    • tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
    • tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com

  2. Autorisez les caractères de remplacement suivants :

    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com
    • *.s3.ap-south-1.amazonaws.com
    • *.s3.sa-east-1.amazonaws.com

Lorsque vous utilisez des FQDN génériques, assurez-vous que les requêtes DNS passent par votre pare-feu. Retrouvez plus de renseignements sur Comportement du nom de domaine complet (FQDN) générique.

Assistance à distance

Sophos Central, Sophos Central Partner et Sophos Central Enterprise vous permettent de donner au personnel du support Sophos un accès à distance afin qu’il puisse résoudre les problèmes.

Pour que l’accès à distance fonctionne, vous devez autoriser le port et le domaine indiqués ci-dessous.

  • Port : 22 TCP
  • Domaine : *.apu.sophos.com