Domaines et ports à autoriser
Veuillez configurer votre pare-feu ou proxy pour autoriser les domaines et ports répertoriés ici. Ceci vous permet de protéger vos appareils et de les gérer à partir de Sophos Central.
Toutes les fonctions acheminent le trafic via le même proxy.
Certains des domaines que vous devez autoriser sont la propriété de Sophos Central Admin. D’autres ne le sont pas, mais sont nécessaires aux opérations essentielles telles que la vérification du fonctionnement des installations ou la reconnaissance des certificats.
Cette page vous indique les domaines et ports dont vous avez besoin pour les produits suivants :
- Intercept X, XDR ou MDR. Utilisez cette section pour vos produits de protection contre les menaces.
- Sophos AD Sync. Utilisez également cette section si vous utilisez Sophos AD Sync pour maintenir à jour votre liste d’utilisateurs de Sophos Central.
Si vous configurez Sophos Email Security, consultez Informations de domaine de messagerie
Recommandations
-
N’utilisez pas de règles de pare-feu régionales. Elles pourraient remplacer votre liste d’autorisation et empêcher les produits Sophos de fonctionner. Par exemple, un blocage des régions hors-Amérique pourrait bloquer certains services étant exécutés via des régions européennes. Ceci est susceptible de se produire car nos produits sont hébergés sur Amazon Web Service (AWS), qui utilise des adresses IP non statiques. Voir Plages d’adresses IP AWS et Adresses IP Amazon.
-
Vérifiez si vos règles de pare-feu ou de proxy vous permettent d’utiliser des caractères de remplacement. Si ce n’est pas le cas, vous ne pourrez pas utiliser certaines fonctions.
Intercept X, XDR ou MDR
Suivez ces instructions si vous avez l’une de ces licences :
- Intercept X Advanced
- Intercept X Advanced for Server
- Intercept X Advanced with XDR
- Intercept X Advanced for Server with XDR
- Managed Detection and Response (MDR)
- Managed Detection and Response Complete
- Managed Detection and Response Server
- Managed Detection and Response Complete Server
Ports
Autoriser ce port :
443 (HTTPS)
Domaines
Autorisez les domaines suivants. Assurez-vous de remplir toutes les sections.
Domaines Sophos Central Admin
-
Autorisez les domaines Sophos suivants :
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
Si votre proxy ou votre pare-feu prend en charge les caractères de remplacement, vous pouvez utiliser le caractère de remplacement
*.sophos.com
pour couvrir ces adresses. -
Autorisez les adresses non-Sophos suivantes :
az416426.vo.msecnd.net
dc.services.visualstudio.com
Domaines Sophos
Les domaines que vous autoriserez dépendront de la prise en charge des caractères de remplacement par votre pare-feu ou votre proxy.
Cliquez sur l’onglet pertinent pour obtenir plus de renseignements.
Autorisez les caractères de remplacement suivants pour couvrir les domaines Sophos :
*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net
*.analysis.sophos.com
*.ctr.sophos.com
*.hydra.sophos.com
Restriction
Si votre pare-feu n’autorise pas les caractères de remplacement, les fonctions XDR, Live Response et Live Discover ne fonctionneront pas. En effet, ils nécessitent des domaines que vous pouvez autoriser uniquement en utilisant un caractère de remplacement.
Si votre proxy ou votre pare-feu ne prend pas en charge les caractères de remplacement, veuillez ajouter manuellement les domaines exacts dont vous avez besoin.
Autorisez les domaines Sophos suivants :
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
Vous devez également identifier les adresses de serveur que le système de communication d’administration Sophos et les programmes d’installation de l’appareil utilisent pour communiquer avec Sophos Central Admin en toute sécurité. Cliquez sur l’onglet correspondant au système d’exploitation de votre appareil et suivez les étapes pour identifier et autoriser ces adresses.
Sur les appareils Windows, procédez de la manière suivante :
- Ouvrez
SophosCloudInstaller.log
. Vous le trouverez dansC:\ProgramData\Sophos\CloudInstaller\Logs
. -
Recherchez la ligne commençant par
Opening connection to
.Il y aura au moins deux entrées. La première ressemblera à l’un des exemples suivants :
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
La seconde ressemblera à l’un des exemples suivants :
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
api-cloudstation-us-east-2.prod.hydra.sophos.com
api.stn100yul.ctr.sophos.com
Ajoutez les deux domaines à vos règles.
-
Ajoutez les adresses suivantes :
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
rca-upload.stn100bom.ctr.sophos.com
rca-upload.stn100yul.ctr.sophos.com
rca-upload.stn100hnd.ctr.sophos.com
rca-upload.stn100gru.ctr.sophos.com
rca-upload.stn100syd.ctr.sophos.com
-
Ajoutez les domaines requis pour Sophos Management Communication System :
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Ajoutez les domaines requis pour le service SophosLabs Intelix :
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Vous devrez peut-être autoriser l’accès aux sites de l’autorité de certification suivants s’ils ne sont pas autorisés par votre pare-feu :
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Sur les appareils Linux, procédez comme suit :
- Recherchez
SophosSetup.sh
sur votre appareil. -
Exécutez la commande suivante pour démarrer le programme d’installation et imprimez le résultat.
sudo bash -x ./SophosSetup.sh
-
Recherchez les lignes suivantes :
- Ligne commençant par
+ CLOUD_URL=https://
- Ligne commençant par
+ MCS_URL=https://
Ajoutez les domaines des deux lignes à vos règles.
- Ligne commençant par
-
Ajoutez les adresses suivantes :
dci.sophosupd.com
d1.sophosupd.com
d2.sophosupd.com
d3.sophosupd.com
dci.sophosupd.net
d1.sophosupd.net
d2.sophosupd.net
d3.sophosupd.net
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
-
Ajoutez les domaines requis pour Sophos Management Communication System :
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Ajoutez les domaines requis pour le service SophosLabs Intelix :
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Vous devrez peut-être autoriser l’accès aux sites de l’autorité de certification suivants s’ils ne sont pas autorisés par votre pare-feu :
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Remarque
Certains pare-feu ou proxys affichent des recherches inversées pour les adresses *.amazonaws.com
. Ceci est à prévoir car nous utilisons Amazon AWS pour héberger certains serveurs. Veuillez ajouter ces URL à votre pare-feu ou proxy.
Domaines pour XDR
Autorisez ces domaines si votre licence inclut XDR :
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
Domaines pour MDR
Autorisez ces domaines si votre licence inclut MDR.
Si vous utilisez l’inspection TLS ou si vous disposez d’un pare-feu qui utilise le filtrage d’application, veuillez ajouter les domaines suivants :
prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com
Pour obtenir confirmation que ces exclusions de domaine doivent bien être ajoutées ou pour vérifier qu’elles fonctionnent, veuillez vérifier votre DNS et votre connectivité sur un appareil.
Sélectionnez l’onglet correspondant à votre système d’exploitation.
Sous Windows, procédez de la manière suivante :
-
Pour vérifier votre DNS, ouvrez PowerShell et saisissez les commandes suivantes :
Resolve-DnsName -Name prod.endpointintel.darkbytes.io
Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com
Vous devriez voir une réponse DNS de chaque domaine.
-
Pour vérifier votre connectivité, saisissez la commande suivante :
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
Vous devriez voir la réponse suivante :
{message: "running..."}
.
Sous Linux, procédez comme suit :
-
Pour vérifier votre DNS, saisissez les commandes suivantes :
host prod.endpointintel.darkbytes.io
host kinesis.us-west-2.amazonaws.com
Vous devriez voir une réponse DNS de chaque domaine.
-
Pour vérifier votre connectivité, saisissez la commande suivante :
`curl -v https://prod.endpointintel.darkbytes.io/`
Vous devriez voir la réponse suivante :
{message: "running..."}
.
Sophos AD Sync
Si vous utilisez Sophos AD Sync pour garder votre liste d’utilisateurs Sophos Central synchronisée avec Active Directory, vous devrez également autoriser les domaines dans cette section.
Restriction
Si votre pare-feu n’autorise pas les caractères de remplacement, vous ne pourrez pas utiliser l’utilitaire Sophos AD Sync.
-
Si vous utilisez le service Active Directory, autorisez les domaines s3 présignés suivants :
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
Autorisez les caractères de remplacement suivants :
*.s3.eu-west-1.amazonaws.com
*.s3.eu-central-1.amazonaws.com
*.s3.us-east-2.amazonaws.com
*.s3.us-west-2.amazonaws.com
*.s3.ca-central-1.amazonaws.com
*.s3.ap-southeast-2.amazonaws.com
*.s3.ap-northeast-1.amazonaws.com
*.s3.ap-south-1.amazonaws.com
*.s3.sa-east-1.amazonaws.com
Lorsque vous utilisez des FQDN génériques, assurez-vous que les requêtes DNS passent par votre pare-feu. Retrouvez plus de renseignements sur Comportement du nom de domaine complet (FQDN) générique.
Assistance à distance
Sophos Central, Sophos Central Partner et Sophos Central Enterprise vous permettent de donner au personnel du support Sophos un accès à distance afin qu’il puisse résoudre les problèmes.
Pour que l’accès à distance fonctionne, vous devez autoriser le port et le domaine indiqués ci-dessous.
- Port :
22 TCP
- Domaine :
*.apu.sophos.com