Sophos EMS (Email Monitoring System)
Sophos EMS wird nur zur Überwachung verwendet. Die Lösung scannt und protokolliert E-Mail-Nachrichten, führt jedoch keine Maßnahmen durch.
Sophos EMS (Email Monitoring System), auch bekannt als „Email Sensor“, dient ausschließlich zur Überwachung und Berichterstellung und generiert detaillierte Berichte in Sophos Central. Dieses flexible, nicht intrusive Tool verbessert die Sichtbarkeit und unterstützt Bereinigungsmaßnahmen für Kunden, die Microsoft Defender für Microsoft 365, Google Workspace Security oder andere E-Mail-Sicherheitsdienste von Drittanbietern verwenden.
EMS empfängt Journalkopien von Nachrichten, die möglicherweise vorhandene Sicherheitsprüfungen bestanden haben und an Endbenutzer zugestellt wurden. EMS scannt diese Meldungen und protokolliert die Ergebnisse, führt jedoch keine Maßnahmen für sie durch. Sie können Richtlinienaktionen zwar konfigurieren, jedoch werden diese Aktionen nicht auf die Nachrichten angewendet.
EMS lässt sich zudem nahtlos in die MDR- und XDR-Systeme von Sophos integrieren und ermöglicht es Sicherheitsteams, potenzielle Bedrohungen besser zu verstehen. Durch die API-Integration erhalten M365-Kunden eine manuelle Rückruffunktion über EMS.
Das bietet Sophos EMS
Sophos EMS:
- Scannt eingehende und ausgehende E-Mails zu Überwachungszwecken.
- Protokolliert Scanergebnisse und aktualisiert den Nachrichtenverlauf, Nachrichten in Quarantäne und andere Berichte.
- Unterstützt den manuellen E-Mail-Rückruf für Microsoft 365-Kunden.
- Lässt sich direkt in Sophos MDR oder Sophos XDR integrieren.
- Speist Daten zur Bedrohungserkennung, Analyse und MDR- oder XDR-Untersuchung in den Sophos Data Lake ein.
- Fügt zusätzlichen Kontext für die Bedrohungserkennung hinzu und verbessert die Reaktionsmöglichkeiten bei Vorfällen.
So funktioniert es
Sophos EMS ruft über Journalregeln, die in Ihrem E-Mail-Service (Microsoft 365 oder Google Workspace) konfiguriert sind, eine Kopie jeder E-Mail zum Scannen ab. Die ursprüngliche E-Mail bleibt unverändert und wird an den vorgesehenen Empfänger gesendet. Da EMS journalisierte Nachrichten als Basis nutzt, werden E-Mails, die von Microsoft 365 oder Gmail blockiert wurden, nicht gescannt, bevor eine Journalkopie erstellt wird.
Während des Dateneingangs sehen Sie E-Mail-Datensätze im Nachrichtenverlauf, den Nachrichten in Quarantäne und anderen Berichten in Sophos Central. So können Sie E-Mail-Aktivitäten überwachen und einen Einblick in potenzielle Bedrohungen gewinnen, auch wenn keine Maßnahmen für die E-Mails ergriffen werden.
Hinweis
Interne E-Mails werden in Sophos Central nicht gescannt. Dazu gehören E-Mails, die zwischen zwei im selben Sophos-Konto konfigurierten Domänen ausgetauscht werden, selbst wenn die Domänen unterschiedlichen Mandanten angehören oder verschiedene Dienstanbieter wie Microsoft 365 oder Google verwenden.
Für Microsoft 365-Benutzer unterstützt EMS den manuellen E-Mail-Rückruf. Sie können Email-Security- und Data Control-Richtlinien konfigurieren, um vertrauliche oder gegen Richtlinien verstoßende Inhalte zu überwachen. Die Aktionen, die Sie innerhalb dieser Richtlinien konfigurieren, wirken sich jedoch nicht auf die E-Mail-Zustellung aus. Die Protokollierung über EMS stellt auch wertvollen Kontext für MDR-Untersuchungen bereit.
Wenn Sie eine E-Mail-Sicherheitslösung eines Drittanbieters verwenden, können Sie sie wie folgt in EMS integrieren: Erstellen Sie einen sicheren Connector, wenn Sie ein M365-Gateway-basiertes Setup verwenden, erstellen Sie Transportregeln für ein M365-Nachrichtenfluss-basiertes Setup oder konfigurieren Sie ein Eingangsgateway, wenn Sie Google verwenden. Diese Integration erhöht die Sichtbarkeit und sorgt für konsistente Überwachung in Ihrer gesamten Umgebung.
Einrichten von Sophos EMS
Informationen zum Einstieg in das Sophos EMS-Setup finden Sie unter Einrichten von Sophos EMS.
Von Sophos Email Advanced zu Sophos EMS migrieren
Gehen Sie wie folgt vor, wenn Sie von Sophos Email Advanced zu Sophos EMS migrieren:
- Entfernen Sie die Domänen aus der Gateway- oder Nachrichtenfluss-Konfiguration. Siehe Sophos Email Security-Domänen löschen.
- Setzen Sie die MX-Konfigurationen (für Gateway) oder Nachrichtenfluss-Einstellungen (für Nachrichtenfluss) nach Bedarf zurück.
- Stellen Sie in den Kontoeinstellungen sicher, dass der Nur-beobachten-Modus (EMS) aktiviert ist.
- Fügen Sie die Domänen erneut hinzu, und schließen Sie die Journaling-Konfigurationen ab.
Von Sophos EMS zu Sophos Email Advanced migrieren
Gehen Sie wie folgt vor, wenn Sie von Sophos EMS zu Sophos Email Advanced migrieren:
- Entfernen Sie die Domänen aus Sophos EMS. Siehe Trennen der E-Mail-Domäne von Sophos EMS.
- Entfernen Sie die Journaling-Konfigurationen.
- Stellen Sie in den Kontoeinstellungen sicher, dass der Nur-beobachten-Modus (EMS) deaktiviert ist.
- Fügen Sie die Domänen erneut hinzu und schließen Sie die Gateway- oder Nachrichtenfluss-Konfigurationen ab.