Sophos EMS (Email Monitoring System)
Sophos EMS est utilisé uniquement à des fins de surveillance. Il contrôle et enregistre les emails, mais n’effectue aucune action.
Sophos EMS (Email Monitoring System), également appelé « Email Sensor », est conçu pour la surveillance et la création de rapports uniquement. Il génère des rapports détaillés dans Sophos Central. Cet outil flexible et non intrusif améliore la visibilité et prend en charge les mesures correctives pour les clients utilisant Microsoft Defender pour Microsoft 365, Google Workspace Security ou d'autres services tiers de sécurité de la messagerie.
EMS reçoit des copies journalisées des messages ayant passé outre les contrôles de sécurité existants et qui ont été livrés aux utilisateurs finaux. EMS contrôle ces messages et consigne les résultats, mais ne prend aucune mesure à leur sujet. Vous pouvez configurer des actions de stratégie, mais ces actions ne sont pas appliquées aux messages.
EMS s'intègre également de manière transparente aux systèmes MDR et XDR de Sophos, permettant aux équipes de sécurité de mieux comprendre les menaces potentielles. Grâce à l'intégration d'API, EMS offre à ses clients M365 la possibilité de récupération manuelle.
Ce que fait Sophos EMS
Sophos EMS procède de la manière suivante :
- Contrôle les emails entrants et sortants à des fins de surveillance.
- Journalise les résultats des scans et met à jour l'Historique des messages, les Messages en quarantaine et d'autres rapports.
- Prend en charge la récupération manuelle des emails pour les clients Microsoft 365.
- S'intègre directement avec Sophos MDR ou Sophos XDR.
- Alimente les données dans le Data Lake Sophos pour la détection des menaces, les analyses et les investigations MDR ou XDR.
- Ajoute un contexte supplémentaire pour la détection des menaces et améliore les capacités de réponse aux incidents.
Fonctionnement
Sophos EMS utilise les règles de journalisation configurées dans votre service de messagerie (Microsoft 365 ou Google Workspace) pour obtenir une copie de chaque email à contrôler. L'email d'origine reste inchangé et est remis à son destinataire. EMS dépendant des messages journalisés, il ne contrôle pas les emails bloqués par Microsoft 365 ou Gmail avant la création d'une copie du journal.
Au fur et à mesure que les données arrivent, vous commencerez à voir des emails dans l’Historique des messages, des Messages en quarantaine et d’autres rapports dans Sophos Central. Cela vous permet de surveiller l'activité de la messagerie et d'obtenir une visibilité sur les menaces potentielles, même si aucune mesure n'est prise sur les emails.
Remarque
Les emails internes ne sont pas analysés dans Sophos Central. Cela inclut les emails échangés entre deux domaines configurés dans le même compte Sophos, même si les domaines appartiennent à des locataires différents ou utilisent des fournisseurs de services différents tels que Microsoft 365 ou Google.
Pour les utilisateurs de Microsoft 365, EMS prend en charge la récupération manuelle des emails. Vous pouvez configurer les stratégies de sécurité de la messagerie et de contrôle des données pour surveiller les contenus sensibles ou les violations de stratégies, bien que les actions que vous configurez dans ces stratégies n'affectent pas la livraison des emails. La journalisation à partir d'EMS apporte également un contexte précieux aux investigations de MDR.
Si vous utilisez une solution tierce de sécurité de la messagerie, vous pouvez l'intégrer à EMS de la manière suivante : Créez un connecteur sécurisé si vous utilisez une configuration basée sur une passerelle M365, créez des règles de transport pour une configuration basée sur un flux de courrier M365 ou configurez une passerelle entrante si vous utilisez Google. Cette intégration étend la visibilité et garantit une surveillance cohérente dans l'ensemble de votre environnement.
Installer Sophos EMS
Pour commencer à configurer Sophos EMS, consultez Installer Sophos EMS.
Migrer de Sophos Email Advanced vers Sophos EMS
Si vous migrez de Sophos Email Advanced vers Sophos EMS, procédez de la manière suivante :
- Supprimez les domaines de la passerelle ou des configurations de flux de courrier. Voir Supprimer les domaines Sophos Email Security.
- Réinitialisez les configurations MX (pour la passerelle) ou les paramètres de flux de courrier (pour le flux de courrier), selon le cas.
- Dans Préférences du compte, assurez-vous que le Mode surveiller uniquement (EMS) est activé.
- Ajoutez à nouveau les domaines et terminez les configurations de journalisation.
Migrer de Sophos EMS vers Sophos Email Advanced
Si vous migrez de Sophos EMS vers Sophos Email Advanced, procédez de la manière suivante :
- Supprimez les domaines de Sophos EMS. Voir Déconnecter le domaine de messagerie de Sophos EMS.
- Supprimez les configurations de journalisation.
- Dans Préférences de compte, assurez-vous que le Mode surveiller uniquement (EMS) est désactivé.
- Ajoutez à nouveau les domaines et terminez les configurations de passerelle ou de flux de courrier.