Vai al contenuto

Domini e porte da autorizzare

È necessario configurare il firewall o proxy in modo che autorizzi i domini e le porte indicati di seguito. Questa operazione consente di proteggere i dispositivi e gestirli da Sophos Central.

Tutte le funzionalità instradano il traffico utilizzando lo stesso proxy.

Alcuni dei domini da autorizzare sono di proprietà di Sophos Central Admin. Altri non lo sono, ma sono necessari per le operazioni essenziali, come il controllo del funzionamento delle installazioni o il riconoscimento dei certificati.

In questa pagina vengono indicati i domini e le porte richiesti per i seguenti prodotti:

  • Intercept X, XDR o MDR. Per i prodotti di protezione dalle minacce, seguire le istruzioni indicate in questa sezione.
  • Sophos AD Sync. Se si utilizza Sophos AD Sync, consultare anche questa sezione, per mantenere aggiornato l’elenco degli utenti Sophos Central.

Se si intende configurare Sophos Email Security, vedere Informazioni sul dominio e-mail.

Raccomandazioni

  • Evitare di utilizzare regole locali per i firewall. Potrebbero sostituire l’elenco di autorizzazione e impedire il corretto funzionamento dei prodotti Sophos. Ad esempio, bloccando le aree geografiche all’esterno degli USA, si potrebbero arrestare servizi che a volte vengono eseguiti attraverso aree europee. Questo può succedere perché i nostri prodotti sono ospitati su Amazon Web Service (AWS), che utilizza indirizzi IP non statici. Vedere Intervalli di indirizzi IP AWS e la pagina degli Indirizzi IP Amazon.

  • Verificare se è possibile utilizzare caratteri jolly nelle regole del firewall o del proxy. Se non è possibile, alcune funzionalità non saranno disponibili.

Intercept X, XDR o MDR

Se si utilizza una di queste licenze, seguire le istruzioni riportate di seguito:

  • Intercept X Advanced
  • Intercept X Advanced for Server
  • Intercept X Advanced with XDR
  • Intercept X Advanced for Server with XDR
  • Rilevamento e risposta gestiti
  • Managed Detection and Response Complete
  • Managed Detection and Response Server
  • Managed Detection and Response Complete Server

Porte

Autorizzare questa porta:

  • 443 (HTTPS)

Domini

Autorizzare i domini indicati di seguito. Accertarsi di aver completato tutte le sezioni.

Domini Sophos Central Admin

  1. Autorizzare questi domini Sophos:

    • central.sophos.com
    • cloud-assets.sophos.com
    • sophos.com
    • downloads.sophos.com

    Se il proxy o il firewall supporta i caratteri jolly, è possibile utilizzare *.sophos.com per includere questi indirizzi.

  2. Autorizzare i seguenti indirizzi non Sophos:

    • az416426.vo.msecnd.net
    • dc.services.visualstudio.com

Domini Sophos

I domini da autorizzare saranno diversi, a seconda che il firewall o il proxy supporti i caratteri jolly.

Cliccare sulla scheda applicabile, per informazioni dettagliate.

Autorizzare i seguenti caratteri jolly per i domini Sophos:

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net
  • *.analysis.sophos.com
  • *.ctr.sophos.com
  • *.hydra.sophos.com

Restrizione

Se il firewall non consente l’utilizzo di caratteri jolly, le funzionalità Live Response e Live Discover di XDR non funzioneranno. Questo avviene perché richiedono domini che è possibile autorizzare solo utilizzando un carattere jolly.

Se il proxy o firewall non supporta i caratteri jolly, occorrerà aggiungere manualmente tutti i singoli indirizzi richiesti.

Autorizzare questi domini Sophos:

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com

Occorre anche identificare gli indirizzi server che Sophos Management Communication System e i programmi di installazione dei dispositivi utilizzano per comunicare in maniera sicura con Sophos Central Admin. Cliccare sulla scheda corrispondente al sistema operativo del proprio dispositivo e seguire la procedura indicata per identificare e autorizzare questi indirizzi.

Sui dispositivi Windows, procedere come segue:

  1. Aprire SophosCloudInstaller.log. Si trova in C:\ProgramData\Sophos\CloudInstaller\Logs.
  2. Cercare la riga che inizia con Opening connection to.

    Saranno presenti almeno due voci. La prima avrà un aspetto simile a una delle seguenti:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com

    La seconda avrà un aspetto simile a una delle seguenti:

    • dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
    • api-cloudstation-us-east-2.prod.hydra.sophos.com
    • api.stn100yul.ctr.sophos.com

    Aggiungere entrambi i domini alle proprie regole.

  3. Aggiungere i seguenti indirizzi:

    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-auto-upload.sophosupd.com
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
    • rca-upload-cloudstation-eu-central-1.qa.hydra.sophos.com
    • ssp.sophos.com
    • sdu-auto-upload.sophosupd.com
  4. Aggiungere i domini richiesti per Sophos Management Communication System:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com
  5. Aggiungere i domini richiesti per il servizio SophosLabs Intelix:

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com
  6. Potrebbe essere necessario autorizzare l’accesso ai seguenti siti delle autorità di certificazione, se non sono autorizzati dal proprio firewall:

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

Sui dispositivi Linux, procedere come segue:

  1. Trovare SophosSetup.sh nel proprio dispositivo.
  2. Eseguire il seguente comando per avviare il programma di installazione e stampare l’output:

    sudo bash -x ./SophosSetup.sh
    
  3. Cercare le seguenti righe:

    • Riga che comincia con + CLOUD_URL=https://
    • Riga che comincia con + MCS_URL=https://

    Aggiungere alle regole i domini indicati in entrambe le righe.

  4. Aggiungere i seguenti indirizzi:

    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
  5. Aggiungere i domini richiesti per Sophos Management Communication System:

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
    • mcs.stn100gru.ctr.sophos.com
    • mcs2.stn100gru.ctr.sophos.com
    • mcs.stn100bom.ctr.sophos.com
    • mcs2.stn100bom.ctr.sophos.com
  6. Aggiungere i domini richiesti per il servizio SophosLabs Intelix:

    • us.analysis.sophos.com
    • apac.analysis.sophos.com
    • au.analysis.sophos.com
    • eu.analysis.sophos.com
  7. Potrebbe essere necessario autorizzare l’accesso ai seguenti siti delle autorità di certificazione, se non sono autorizzati dal proprio firewall:

    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com

Nota

Alcuni firewall o proxy mostrano ricerche inverse con gli indirizzi *.amazonaws.com. Questo è un comportamento atteso, poiché utilizziamo Amazon AWS per ospitare vari server. Occorre aggiungere questi URL al firewall o proxy.

Domini per XDR

Autorizzare questi domini se la propria licenza include XDR:

  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • live-terminal.stn100yul.ctr.sophos.com
  • live-terminal.stn100syd.ctr.sophos.com
  • live-terminal.stn100hnd.ctr.sophos.com
  • live-terminal.stn100gru.ctr.sophos.com
  • live-terminal.stn100bom.ctr.sophos.com

Domini per MDR

Autorizzare questi domini se la propria licenza include MDR.

Se si utilizza l’ispezione TLS o un firewall con filtro delle applicazioni, bisogna aggiungere i seguenti domini:

  • prod.endpointintel.darkbytes.io
  • kinesis.us-west-2.amazonaws.com

Per confermare che l’aggiunta di tali esclusioni dei domini è necessaria o per testare l’efficacia di queste esclusioni, occorre controllare il DNS e la propria connettività su un dispositivo.

Selezionare la scheda corrispondente al proprio sistema operativo.

Su Windows, procedere come segue:

  1. Per controllare il DNS, aprire PowerShell e immettere i seguenti comandi:

    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

    Dovrebbe essere visualizzato un messaggio di risposta DNS da ogni dominio.

  2. Per verificare la connettività, immettere il seguente comando:

    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    Dovrebbe essere visualizzata la seguente risposta: {message: "running..."}.

Su Linux, procedere come segue:

  1. Per controllare il DNS, immettere i seguenti comandi:

    host prod.endpointintel.darkbytes.io

    host kinesis.us-west-2.amazonaws.com

    Dovrebbe essere visualizzato un messaggio di risposta DNS da ogni dominio.

  2. Per verificare la connettività, immettere il seguente comando:

    `curl -v https://prod.endpointintel.darkbytes.io/`
    

    Dovrebbe essere visualizzata la seguente risposta: {message: "running..."}.

Sophos AD Sync

Se si utilizza Sophos AD Sync per mantenere aggiornato l’elenco di utenti Sophos Central con Active Directory, sarà necessario autorizzare anche i domini indicati in questa sezione.

Restrizione

Se il firewall non consente i caratteri jolly, non è possibile utilizzare l'utilità Sophos AD Sync.

  1. Se si utilizza il servizio Active Directory, autorizzare i seguenti domini S3 pre-firmati:

    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
    • tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
    • tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
  2. Autorizzare i seguenti caratteri jolly:

    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com
    • *.s3.ap-south-1.amazonaws.com
    • *.s3.sa-east-1.amazonaws.com

Quando si utilizzano FQDN con caratteri jolly, assicurarsi che le richieste DNS vengano indirizzate attraverso il firewall. Per maggiori informazioni, vedere Comportamento degli FQDN con caratteri jolly.