許可するドメインおよびポート

ここにあるドメインおよびポートを許可するように、ファイアウォールやプロキシを設定する必要があります。

これにより、デバイスを保護し、さらに Sophos Central Admin と管理対象エンドポイント間の通信を行うことができます。

すべての機能は、同じプロキシを経由してルーティングされます。

許可する必要があるドメインの一部は、Sophos Central Admin によって所有されています。所有されていないドメインもありますが、インストールが機能するかどうかの確認や証明書の認識など、重要な操作に必要です。

Sophos Central Admin ドメイン

保護を正しく機能させるには、以下のドメインとポートがファイアウォールとプロキシを通過できるようにする必要があります。

顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとにこれを行う必要があります。

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、ワイルドカード * .sophos.com を使用してこれらのアドレスすべてに対応できます。

次に、以下のソフォス以外のアドレスを入力します。

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

さらに、このページの他のセクションも確認して、すべてのライセンスに対して適切なドメインとポートを許可する必要があります。

顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとに、各顧客のライセンスに合わせてこれを行う必要があります。

エンドポイントのドメイン

プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、次のワイルドカードを使用して、これらの ソフォス エンドポイントドメインすべてに対応してください。

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

次に、以下のソフォス以外のアドレスを入力します。

  • ocsp2.globalsign.com
  • crl.globalsign.com

プロキシやファイアウォールがワイルドカードの使用をサポートしていない場合は、必要な ソフォス エンドポイントドメインを正確に指定し、手動で入力する必要があります。

Sophos Management Communication SystemSophos Central Admin と安全に通信するために使用するサーバーアドレスを特定するには、次の手順を実行します。

  1. SophosCloudInstaller.log を開きます。次の場所で参照できます。

    Windows 2008 R2 以降: C:\Documents and Settings\All Users\Application Data\Sophos\CloudInstaller\Logs

    Windows 7 以降: C:\ProgramData\Sophos\CloudInstaller\Logs

  2. 次の行を探します:
    • Model::server value changed to: ではじまる行
    • Opening connection to ではじまる行

    dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com のような値があるはずです。

このアドレスと次のアドレスをファイアウォールやプロキシの許可リストに追加する必要があります。

  • dci.sophosupd.com
  • d1.sophosupd.com
  • d2.sophosupd.com
  • d3.sophosupd.com
  • dci.sophosupd.net
  • d1.sophosupd.net
  • d2.sophosupd.net
  • d3.sophosupd.net
  • t1.sophosupd.com
  • sdu-feedback.sophos.com
  • sophosxl.net
  • 4.sophosxl.net
  • samples.sophosxl.net
  • cloud.sophos.com
  • id.sophos.com
  • central.sophos.com
  • downloads.sophos.com
  • amazonaws.com
  • *.hydra.sophos.com

hydra.sophos.com で許可するドメインをより具体的に指定する場合は、次のドメインを使用できます。

  • *.mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
  • *.mcs2-cloudstation-us-west-2.prod.hydra.sophos.com

また、次のソフォス以外のドメインも追加する必要があります。これらのドメインにはワイルドカードを使用しないでください。

  • ocsp.globalsign.com
  • ocsp2.globalsign.com
  • crl.globalsign.com
  • crl.globalsign.net
  • ocsp.digicert.com
  • crl3.digicert.com
  • crl4.digicert.com
一部のファイアウォールやプロキシでは、 * .amazonaws.com アドレスを示す逆引き参照が表示されます。ソフォスでは Amazon AWS を使用して複数のサーバーをホストしているため、これは予期される動作です。これらの URL は、ファイアウォールやプロキシに追加する必要があります。

エンドポイントのポート

次のポートを追加する必要があります。

  • 80 (HTTP)
  • 443 (HTTPS)

AD Sync

Active Directory サービスを使用している場合は、次の署名済み s3 ドメインも追加する必要があります。

  • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
  • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
  • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
  • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com

プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、次のワイルドカードを追加できます。

  • *.s3.eu-west-1.amazonaws.com
  • *.s3.eu-central-1.amazonaws.com
  • *.s3.us-east-2.amazonaws.com
  • *.s3.us-west-2.amazonaws.com

Intercept X Advanced with EDR

以下にあるドメインを追加する前に、「エンドポイントのドメイン」および「エンドポイントのポート」にあるドメインとポートを追加してください。

Intercept X Advanced with EDR ライセンスがある場合は、次のドメインも追加する必要があります。

  • tf-edr-message-upload-eu-central-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-eu-west-1-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-east-2-prod-bucket.s3.amazonaws.com
  • tf-edr-message-upload-us-west-2-prod-bucket.s3.amazonaws.com
  • live-terminal-eu-west-1.prod.hydra.sophos.com
  • live-terminal-eu-central-1.prod.hydra.sophos.com
  • live-terminal-us-west-2.prod.hydra.sophos.com
  • live-terminal-us-east-2.prod.hydra.sophos.com
  • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
  • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
  • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
  • *.mcs-push-server-us-east-2.prod.hydra.sophos.com

Intercept X Advanced with EDR and MTR

このセクションにあるドメインを追加する前に、「エンドポイントのドメイン」、「エンドポイントのポート」、および「Intercept X Advanced with EDR」にあるドメインとポートを追加してください。

MTR ライセンスがあり、TLS インスペクションを使用している場合またはアプリケーションフィルタリングを使用するファイアウォールがある場合は、次のドメインも追加する必要があります。

  • prod.endpointintel.darkbytes.io

これらの除外を追加する必要があることを確認したり、除外が有効であることをテストしたりするには、エンドポイントで DNS、および接続を確認する必要があります。

Windows では、次の手順を実行します。

  1. DNS を確認するには、PowerShell を開き、次のコマンドを入力します。
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    ドメインからの DNS の応答メッセージが表示されるはずです。

  2. 接続を確認するには、次のコマンドを入力します。
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    次の応答が表示されるはずです。{message: "running..."}.

Linux では、次の手順を実行します。

  1. DNS を確認するには、次のコマンドを入力します。
    host prod.endpointintel.darkbytes.io

    ドメインからの DNS の応答メッセージが表示されるはずです。

  2. 接続を確認するには、次のコマンドを入力します。
    curl -v https://prod.endpointintel.darkbytes.io/

    次の応答が表示されるはずです。{message: "running..."}.