Sophos EMS (Email Monitoring System)
Sophos EMS se utiliza solo con fines de monitorización. Escanea y registra los mensajes de correo electrónico pero no realiza ninguna acción.
Sophos EMS (Email Monitoring System), también conocido como "Email Sensor", está diseñado solo para la monitorización y emisión de informes, y genera informes detallados en Sophos Central. Esta herramienta flexible y no intrusiva mejora la visibilidad y admite la remediación para los clientes que utilizan Microsoft Defender para Microsoft 365, Google Workspace Security u otros servicios de seguridad de correo electrónico de terceros.
EMS recibe copias con registro de los mensajes que pueden haber pasado los controles de seguridad existentes y haber sido entregados a los usuarios finales. EMS escanea estos mensajes y registra los resultados, pero no toma ninguna acción sobre ellos. Puede configurar acciones de políticas, pero estas acciones no se aplican a los mensajes.
EMS también se integra con los sistemas MDR y XDR de Sophos, lo que permite a los equipos de seguridad comprender mejor las amenazas potenciales. Gracias a la integración de API, EMS ofrece a sus clientes de M365 la posibilidad de recuperación manual.
Qué hace Sophos EMS
Sophos EMS hace lo siguiente:
- Escanea los correos electrónicos entrantes y salientes con fines de supervisión.
- Registra los resultados del escaneado y actualiza el historial de mensajes, los mensajes en cuarentena y otros informes.
- Admite la recuperación manual de correos electrónicos para los clientes de Microsoft 365.
- Se integra directamente con Sophos MDR o Sophos XDR.
- Envía datos a Sophos Data Lake para la detección y el análisis de amenazas y las investigaciones de MDR o XDR.
- Añade contexto adicional para la detección de amenazas y mejora las capacidades de respuesta a incidentes.
Cómo funciona
Sophos EMS utiliza reglas con registro en diario configuradas en su servicio de correo (Microsoft 365 o Google Workspace) para obtener una copia de cada mensaje para escanearlo. El correo electrónico original permanece sin cambios y se entrega al destinatario previsto. Como EMS depende de los mensajes con registro en diario, no escanea los correos bloqueados por Microsoft 365 o Gmail antes de crear una copia del diario.
A medida que fluyan los datos, empezará a ver registros de correos electrónicos en el historial de mensajes, los mensajes en cuarentena y otros informes en Sophos Central. Esto le permite supervisar la actividad del correo electrónico y obtener visibilidad sobre posibles amenazas, aunque no se realicen acciones en los mensajes.
Nota
Los correos electrónicos internos no se escanean en Sophos Central. Esto incluye los mensajes intercambiados entre dos dominios cualesquiera configurados en la misma cuenta de Sophos, aunque los dominios pertenezcan a distintos inquilinos o utilicen distintos proveedores de servicios como Microsoft 365 o Google.
Para los usuarios de Microsoft 365, EMS admite la recuperación manual de correos electrónicos. Puede configurar las políticas de Email Security y de control de datos para supervisar el contenido sensible o que infrinja las políticas, aunque las acciones que configure en esas políticas no afectan a la entrega del correo electrónico. Los registros de EMS también aportan un contexto muy útil a las investigaciones de MDR.
Si utiliza una solución de seguridad de correo electrónico de terceros, puede integrarla con EMS de las siguientes maneras: cree un conector seguro si utiliza una configuración basada en una puerta de enlace M365, cree reglas de transporte para una configuración basada en un flujo de correo M365 o configure una puerta de enlace entrante si utiliza Google. Esta integración amplía la visibilidad y garantiza una monitorización coherente en todo su entorno.
Configurar Sophos EMS
Para proceder a la configuración de Sophos EMS, consulte Configurar Sophos EMS.
Migrar de Sophos Email Advanced a Sophos EMS
Si va a migrar de Sophos Email Advanced a Sophos EMS, haga lo siguiente:
- Elimine los dominios de las configuraciones de puerta de enlace o de flujo de correo. Consulte Eliminar dominios de Sophos Email Security.
- Restablezca las configuraciones MX (para la puerta de enlace) o de flujo de correo (para el flujo de correo), según corresponda.
- En Preferencias de la cuenta, compruebe que Modo de solo supervisión (EMS) está activado.
- Vuelva a añadir los dominios y complete las configuraciones de registro en diario.
Migrar de Sophos EMS a Sophos Email Advanced
Si va a migrar de Sophos EMS a Sophos Email Advanced, haga lo siguiente:
- Elimine los dominios de Sophos EMS. Consulte Desconectar un dominio de correo electrónico de Sophos EMS.
- Elimine las configuraciones de registro en diario.
- En Preferencias de la cuenta, compruebe que Modo de solo supervisión (EMS) está desactivado.
- Vuelva a añadir los dominios y complete las configuraciones de puerta de enlace o de flujo de correo.