許可するドメインおよびポート

ここにあるドメインおよびポートを許可するように、ファイアウォールやプロキシを設定する必要があります。

これにより、デバイスを保護し、さらに Sophos Central Admin と管理対象デバイス間の通信を行うことができます。

すべての機能は、同じプロキシを経由してルーティングされます。

許可する必要があるドメインの一部は、Sophos Central Admin によって所有されています。所有されていないドメインもありますが、インストールが機能するかどうかの確認や証明書の認識など、重要な操作に必要です。

Sophos Central Admin ドメイン

保護を正しく機能させるには、以下のドメインとポートがファイアウォールとプロキシを通過できるようにする必要があります。

顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとにこれを行う必要があります。

  • central.sophos.com
  • cloud-assets.sophos.com
  • sophos.com
  • downloads.sophos.com
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、ワイルドカード * .sophos.com を使用してこれらのアドレスすべてに対応できます。

次に、以下のソフォス以外のアドレスを入力します。

  • az416426.vo.msecnd.net
  • dc.services.visualstudio.com
  • *.cloudfront.net

さらに、このページの他のセクションも確認して、すべてのライセンスに対して適切なドメインとポートを許可する必要があります。

顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとに、各顧客のライセンスに合わせてこれを行う必要があります。

Sophos ドメイン

プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、次のワイルドカードを追加して、これらの Sophos ドメインすべてに対応してください。

  • *.sophos.com
  • *.sophosupd.com
  • *.sophosupd.net
  • *.sophosxl.net

プロキシやファイアウォールがワイルドカードの使用をサポートしていない場合は、必要な Sophos ドメインを正確に指定し、手動で入力する必要があります。

Sophos Management Communication SystemSophos Central Admin と安全に通信するために使用するサーバーアドレスを特定する必要があります。

Windows デバイスでは、次の手順を実行します。

  1. SophosCloudInstaller.log を開きます。これは、C:\ProgramData\Sophos\CloudInstaller\Logs にあります。
  2. 次の行を探します:
    • Model::server value changed to: ではじまる行
    • Opening connection to ではじまる行

    次のような値のいずれかが表示されているはずです。

    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
  3. このアドレスと次のアドレスをファイアウォールやプロキシの許可リストに追加する必要があります。
    • dci.sophosupd.com
    • d1.sophosupd.com
    • d2.sophosupd.com
    • d3.sophosupd.com
    • dci.sophosupd.net
    • d1.sophosupd.net
    • d2.sophosupd.net
    • d3.sophosupd.net
    • t1.sophosupd.com
    • sus.sophosupd.com
    • sus.sophosupd.net
    • sdds3.sophosupd.com
    • sdds3.sophosupd.net
    • sdu-feedback.sophos.com
    • sophosxl.net
    • 4.sophosxl.net
    • samples.sophosxl.net
    • cloud.sophos.com
    • id.sophos.com
    • central.sophos.com
    • downloads.sophos.com
    • amazonaws.com
  4. また、以下のアドレスをファイアウォールやプロキシの許可リストに追加する必要があります。
    • *.ctr.sophos.com
    • *.hydra.sophos.com
  5. Sophos Management Communication System で許可するドメインをより具体的に指定する場合は、次のドメインを使用できます。
    • dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
    • dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
    • mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
    • mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
    • mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
    • mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
    • mcs.stn100syd.ctr.sophos.com
    • mcs.stn100yul.ctr.sophos.com
    • mcs.stn100hnd.ctr.sophos.com
    • mcs2.stn100syd.ctr.sophos.com
    • mcs2.stn100yul.ctr.sophos.com
    • mcs2.stn100hnd.ctr.sophos.com
  6. ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
    • ocsp.globalsign.com
    • ocsp2.globalsign.com
    • crl.globalsign.com
    • crl.globalsign.net
    • ocsp.digicert.com
    • crl3.digicert.com
    • crl4.digicert.com
一部のファイアウォールやプロキシでは、 * .amazonaws.com アドレスを示す逆引き参照が表示されます。ソフォスでは Amazon AWS を使用して複数のサーバーをホストしているため、これは予期される動作です。これらの URL は、ファイアウォールやプロキシに追加する必要があります。

ポート

  1. 次のポートを追加する必要があります。
    • 80 (HTTP)
    • 443 (HTTPS)

Sophos AD Sync ユーティリティ

制約事項 ファイアウォールでワイルドカードの使用が許可されていない場合、Sophos AD Sync ユーティリティを使用することはできません。
  1. Active Directory サービスを使用している場合は、次の署名済み s3 ドメインも追加する必要があります。
    • tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
    • tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
    • tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
    • tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
    • tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
    • tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
    • tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
  2. 次のワイルドカードを追加します。
    • *.s3.eu-west-1.amazonaws.com
    • *.s3.eu-central-1.amazonaws.com
    • *.s3.us-east-2.amazonaws.com
    • *.s3.us-west-2.amazonaws.com
    • *.s3.ca-central-1.amazonaws.com
    • *.s3.ap-southeast-2.amazonaws.com
    • *.s3.ap-northeast-1.amazonaws.com

Intercept X Advanced with XDR

制約事項 mcs-dush-server アドレスを許可するには、ワイルドカードを使用する必要があります。ファイアウォールでワイルドカードの使用が許可されていない場合、Live Response と Live Discover は機能しません。

Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、次の手順を実行します。

  1. 以下にあるドメインを追加する前に、「Sophos ドメイン」および「ポート」にあるドメインとポートを追加してください。
  2. 次のドメインを追加します。
    • live-terminal-eu-west-1.prod.hydra.sophos.com
    • live-terminal-eu-central-1.prod.hydra.sophos.com
    • live-terminal-us-west-2.prod.hydra.sophos.com
    • live-terminal-us-east-2.prod.hydra.sophos.com
    • live-terminal.stn100yul.ctr.sophos.com
    • live-terminal.stn100syd.ctr.sophos.com
    • live-terminal.stn100hnd.ctr.sophos.com
    • *.mcs-push-server-eu-west-1.prod.hydra.sophos.com
    • *.mcs-push-server-eu-central-1.prod.hydra.sophos.com
    • *.mcs-push-server-us-west-2.prod.hydra.sophos.com
    • *.mcs-push-server-us-east-2.prod.hydra.sophos.com
    • *.mcs-push-server.stn100yul.ctr.sophos.com
    • *.mcs-push-server.stn100syd.ctr.sophos.com
    • *.mcs-push-server.stn100hnd.ctr.sophos.com

Intercept X Advanced with XDR and MTR Standard

次のいずれかのライセンスがある場合は、これらのドメインを追加する必要があります。

  • Intercept X Advanced with XDR and MTR Standard
  • Intercept X Advanced with XDR and MTR Advanced
  • Intercept X Advanced for Server with XDR and MTR Standard
  • Intercept X Advanced for Server with XDR and MTR Advanced
  • Managed Threat Detection
  • Managed Threat Detection for Server
  1. このセクションにあるドメインを追加する前に、「Sophos ドメイン」、「ポート」、および「Intercept X Advanced with XDR」にあるドメインとポートを追加してください。
  2. MTR ライセンスがあり、TLS インスペクションを使用している場合またはアプリケーションフィルタリングを使用するファイアウォールがある場合は、次のドメインも追加する必要があります。
    • prod.endpointintel.darkbytes.io

これらの除外を追加する必要があることを確認したり、除外が有効であることをテストしたりするには、デバイスで DNS、および接続を確認する必要があります。

Windows では、次の手順を実行します。

  1. DNS を確認するには、PowerShell を開き、次のコマンドを入力します。
    Resolve-DnsName -Name prod.endpointintel.darkbytes.io

    ドメインからの DNS の応答メッセージが表示されるはずです。

  2. 接続を確認するには、次のコマンドを入力します。
    Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

    次の応答が表示されるはずです。{message: "running..."}.

Linux では、次の手順を実行します。

  1. DNS を確認するには、次のコマンドを入力します。
    host prod.endpointintel.darkbytes.io

    ドメインからの DNS の応答メッセージが表示されるはずです。

  2. 接続を確認するには、次のコマンドを入力します。
    curl -v https://prod.endpointintel.darkbytes.io/

    次の応答が表示されるはずです。{message: "running..."}.