Domaines et ports à autoriser

Veuillez configurer votre pare-feu ou proxy pour autoriser les domaines et ports suivants.

Vous pourrez ainsi protéger vos appareils et établir une communication entre Sophos Central Admin et vos appareils gérés.

Remarque : Toutes les fonctions acheminent le trafic via le même proxy.

Certains des domaines que vous devez autoriser sont la propriété de Sophos Central Admin. D’autres ne le sont pas, mais sont nécessaires aux opérations essentielles telles que la vérification du fonctionnement des installations ou la reconnaissance des certificats.

Domaines Sophos Central Admin

Ces domaines et ports doivent être autorisés via vos pare-feu et proxys pour que votre protection fonctionne correctement.

Si vous êtes un partenaire gérant des comptes pour des clients, vous devez le faire pour le pare-feu ou le proxy de chaque client.

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
Remarque : Si votre proxy ou votre pare-feu prend en charge les caractères de remplacement, vous pouvez utiliser le caractère de remplacement *.sophos.com pour couvrir ces adresses.

Saisissez ensuite les adresses non-Sophos suivantes.

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

Veuillez également prendre connaissance des autres sections de cette page et autoriser les domaines et ports appropriés pour toutes vos licences.

Si vous êtes un partenaire gérant des comptes pour des clients, vous devez le faire pour le pare-feu ou le proxy de chaque client, en faisant correspondre les licences de chaque client.

Domaines Sophos

Si votre proxy ou votre pare-feu prend en charge les caractères de remplacement, ajoutez les caractères de remplacement suivants pour couvrir ces domaines Sophos.

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

Si votre proxy ou votre pare-feu ne prend pas en charge les caractères de remplacement, identifiez les domaines Sophos exacts dont vous avez besoin, puis saisissez-les manuellement.

Vous devez identifier l’adresse de serveur utilisée par Sophos Management Communication System pour communiquer avec Sophos Central Admin en toute sécurité.

Sur les appareils Windows, procédez de la manière suivante :

  1. Ouvrez SophosCloudInstaller.log. Vous le trouverez dans C:\ProgramData\Sophos\Cloudinstaller\Logs.
  2. Recherchez les lignes suivantes :
    • Ligne commençant par Model::server value changed to:
    • Ligne commençant par Opening connection to

    Ils doivent avoir une valeur qui ressemble à l’une des valeurs suivantes :

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
  3. Veuillez ajouter cette adresse et les adresses suivantes à la liste d’autorisation de votre pare-feu ou de votre proxy.
    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sus.sophosupd.net
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
  4. Veuillez ajouter les URL suivants à la liste d’autorisation de votre pare-feu ou proxy :
    • *.ctr.sophos.com
    • *.hydra.sophos.com
  5. Si vous souhaitez être plus précis concernant les domaines que vous autorisez pour Sophos Management Communication System, vous pouvez utiliser les domaines suivants.
    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
  6. Vous devrez peut-être autoriser l’accès aux sites de l’autorité de certification suivants s’ils ne sont pas autorisés par votre pare-feu.
    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com
Remarque : Certains pare-feu ou proxys affichent des recherches inversées pour les adresses *.amazonaws.com. Ceci est à prévoir car nous utilisons Amazon AWS pour héberger certains serveurs. Veuillez ajouter ces URL à votre pare-feu ou proxy.

Ports

  1. Vous devez ajouter les ports suivants.
    • 80 (HTTP)
    • 443 (HTTPS)

Utilitaire Sophos AD Sync

Restriction : Si votre pare-feu n’autorise pas les caractères de remplacement, vous ne pourrez pas utiliser l’utilitaire Sophos AD Sync.
  1. Si vous utilisez le service Active Directory, veuillez également ajouter les domaines s3 présignés suivants :
    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
  2. Ajoutez les caractères de remplacement suivants :
    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com

Intercept X Advanced with XDR

Restriction : Vous pouvez uniquement autoriser les adresses mcs-push-server en utilisant un caractère de remplacement. Si votre pare-feu n’autorise pas les caractères de remplacement, Live Response et Live Discover ne fonctionneront pas.

Si vous avez une licence Intercept X Advanced with XDR ou Intercept X Advanced for Server with XDR, procédez de la manière suivante :

  1. Ajoutez les domaines et les ports répertoriés dans Domaines Sophos et Ports avant d’ajouter les domaines répertoriés ci-dessous.
  2. Ajoutez les domaines suivants :
    • live-terminal-eu-west-1.prod.hydra.sophos.com
    • live-terminal-eu-central-1.prod.hydra.sophos.com
    • live-terminal-us-west-2.prod.hydra.sophos.com
    • live-terminal-us-east-2.prod.hydra.sophos.com
    • live-terminal.stn100yul.ctr.sophos.com
    • live-terminal.stn100syd.ctr.sophos.com
    • live-terminal.stn100hnd.ctr.sophos.com
    • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
    • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
    • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
    • *.mcs-push-server-us-east-2.prod.hydra.sophos.com
    • *.mcs-push-server.stn100yul.ctr.sophos.com
    • *.mcs-push-server.stn100syd.ctr.sophos.com
    • *.mcs-push-server.stn100hnd.ctr.sophos.com

Intercept X Advanced with XDR and MTR Standard

Vous devez ajouter ces domaines si vous disposez de l’une des licences suivantes :

  • Intercept X Advanced with XDR and MTR Standard
  • Intercept X Advanced with XDR and MTR Advanced
  • Intercept X Advanced for Server with XDR and MTR Standard
  • Intercept X Advanced for Server with XDR and MTR Advanced
  • Managed Threat Detection
  • Managed Threat Detection for Server
  1. Ajoutez les domaines et ports répertoriés dans Domaines Sophos, Ports et Intercept X Advanced with XDR avant d’ajouter les domaines répertoriés dans cette section.
  2. Si vous disposez d’une licence MTR et que vous utilisez l’inspection TLS ou si vous disposez d’un pare-feu qui utilise le filtrage d’application, veuillez également ajouter le domaine suivant :
    • prod.endpointintel.darkbytes.io

Pour obtenir confirmation que ces exclusions doivent bien être ajoutées ou pour vérifier qu’elles fonctionnent, veuillez vérifier votre DNS et votre connectivité sur un appareil.

Sous Windows, procédez de la manière suivante :

  1. Pour vérifier votre DNS, ouvrez PowerShell et saisissez la commande suivante :
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Vous devriez voir une réponse DNS du domaine.

  2. Pour vérifier votre connectivité, saisissez la commande suivante :
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Vous devriez voir la réponse suivante : {message: "running..."}.

Sous Linux, procédez comme suit :

  1. Pour vérifier votre DNS, saisissez la commande suivante :
    host prod.endpointintel.darkbytes.io

    Vous devriez voir une réponse DNS du domaine.

  2. Pour vérifier votre connectivité, saisissez la commande suivante :
    curl -v https://prod.endpointintel.darkbytes.io/

    Vous devriez voir la réponse suivante : {message: "running..."}.