Vai al contenuto

Configurazione di Sophos EMS

Utilizzare Sophos EMS (Email Monitoring System) per connettere Sophos Central a servizi e-mail di terze parti, come Microsoft Defender o la sicurezza di Google Workspace. EMS monitora solo il traffico e-mail e i dati di reportistica. Non applica protezione e non implementa alcun criterio per i messaggi.

EMS fornisce invece verdetti basati sulla sola osservazione, mostrando quali azioni avrebbe intrapreso Sophos Email se avesse gestito questi messaggi. EMS esegue la scansione sia delle e-mail in entrata che di quelle in uscita, registra nei log ciò che osserva e aggiorna i report senza intraprendere alcuna azione. Questi verdetti aiutano a vedere come funzionano i criteri di Sophos Email senza modificare il modo in cui il servizio di posta elettronica attuale gestisce il sistema.

Se utilizzato insieme a Microsoft 365, EMS supporta anche il recupero manuale delle e-mail attraverso l’integrazione di API.

Inoltre, Sophos EMS completa le funzionalità di Sophos MDR e Sophos XDR inviando dati relativi alle e-mail al Sophos Data Lake. Per i clienti MDR e XDR, questo aggiunge informazioni preziose sul contesto, che aiutano a rilevare le minacce e a migliorare le capacità di incident response.

Prima di cominciare

Prima di configurare Sophos EMS, è importante capire quanto segue.

  • Licenza Sophos EMS


    Sophos EMS è un prodotto a parte e rappresenta un’alternativa a Sophos Email Advanced. Non è possibile eseguire entrambi contemporaneamente.

    EMS effettua solo il monitoraggio. Sottopone le e-mail a scansione e le registra nei log, ma non interviene.

  • Modalità Sophos EMS


    Quando è attivata la modalità EMS, in alcune pagine di Sophos Central viene visualizzato un banner di avviso che indica che le e-mail vengono solo monitorate e non vengono applicate azioni.

  • Impostazioni e criteri non configurabili


    Quando è attivata la modalità EMS, alcune impostazioni e funzionalità sono disattivate, tra le quali Routing SMTP, Time-of-Click, Self Service Portal e così via. EMS analizza la copia delle e-mail inserite nel journal, per cui non supporta la crittografia.

    Neanche i criteri di Protezione dei messaggi sono disponibili. È possibile configurare criteri di Email Security e di Controllo dati, ma le azioni impostate sono solo a scopo di reportistica e non verranno applicate alle e-mail.

Per configurare Sophos EMS, procedere come segue:

Come controllare che la modalità EMS sia attiva

Quando si aggiunge la licenza Sophos EMS al proprio account, la modalità EMS viene attivata per impostazione predefinita. Per utilizzare Sophos EMS, occorre assicurarsi che la modalità EMS sia attiva.

Per farlo, procedere come segue:

  1. Accedere a Sophos Central.
  2. Cliccare sulla propria icona del Profilo Icona del Profilo. e successivamente su Preferenze account.
  3. In Sophos Email Monitoring System (EMS), assicurarsi che la Modalità solo monitor (EMS) sia attiva.

    Se la modalità EMS è disattivata, attivarla.

    Per informazioni sulla modalità EMS, vedere Sophos Email Monitoring System (EMS).

  4. Cliccare su Salva.

La modalità EMS è ora attiva per Sophos Central.

Aggiunta di caselle di posta

È possibile aggiungere caselle di posta a Sophos Central quando la modalità EMS è attiva.

Le caselle di posta possono essere aggiunte nei seguenti modi:

  • Automaticamente, utilizzando un servizio directory. Le opzioni disponibili sono Sincronizzazione con AD oppure Sincronizzazione con Microsoft Entra ID. Per istruzioni su come configurare un servizio directory, vedere Servizio directory.
  • Manualmente nell’interfaccia utente.
  • Manualmente importando i dati da un file CSV.

Aggiunta di un dominio

È possibile aggiungere il proprio dominio e integrarlo con Sophos EMS, procedendo come segue:

  1. In Sophos Central, selezionare Prodotti > Email Protection > Impostazioni > Impostazioni dominio/stato di EMS.
  2. Cliccare su Aggiungi dominio.
  3. In Dominio e-mail, inserire il proprio dominio e-mail. Per esempio: example.com.

    Prima di inviare l’e-mail, è necessario verificare la proprietà del dominio. Per farlo, aggiungere un record TXT al proprio dominio. L’aggiunta di questo record non influirà sulla posta elettronica o su altri servizi.

  4. Cliccare su Verifica proprietà dominio.

  5. Utilizzare i dettagli elencati in Verifica proprietà dominio per aggiungere il record TXT alla propria configurazione DNS.

    Nota

    La verifica della proprietà del dominio può richiedere fino a 10 minuti.

  6. Cliccare su Verifica.

    Avviso

    Non è possibile salvare un dominio non verificato. È necessario correggere eventuali problemi di verifica della proprietà del dominio.

  7. Selezionare la direzione dalle seguenti opzioni:

    • Solo in entrata
    • In entrata e in uscita
  8. Selezionare l’intervallo IP di origine per i journal dalle seguenti opzioni:

    • Microsoft Office 365
    • Google Apps Gmail
    • Gateway personalizzato

    È possibile configurare uno o più server di posta elettronica in modo che inviino e-mail in uscita inserite nel journal per lo stesso dominio.

    Se si seleziona Gateway personalizzato, occorre inserire almeno un indirizzo IP e CIDR (intervallo di subnet). Cliccare su Aggiungi dopo ogni voce. È possibile aggiungere più indirizzi IP o intervalli.

  9. Cliccare su Salva per convalidare le impostazioni.

    Viene visualizzata la finestra di dialogo Configura dipendenze esterne.

  10. In Configura dipendenze esterne, configurare l’inserimento nel journal nel servizio di posta di terze parti:

    Nell’ambito della configurazione del dominio, occorre configurare l’inserimento nel journal nel proprio servizio di posta. In questo modo, verrà stabilita la comunicazione tra il servizio di posta ed EMS, consentendo a EMS di ricevere una copia di ogni e-mail per la scansione. È necessario completare questo passaggio per garantire il corretto funzionamento di EMS.

    Una volta terminate le configurazioni di inserimento nel journal, tornare qui per completare il processo di configurazione.

  11. Cliccare su Chiudi.

Il dominio è ora abilitato a Sophos EMS. È possibile aggiungere ulteriori domini in qualsiasi momento.

Configurazione di criteri e impostazioni

Per gestire i propri criteri, selezionare Prodotti > Email Protection > Criteri.

Nella modalità EMS, solo i criteri di Email Security e di Controllo dati sono disponibili per la configurazione. Questi criteri non implementano azioni, ma vengono utilizzati per generare verdetti per la reportistica. Per garantire risultati accurati, configurarli in modo che siano allineati ai criteri del proprio ambiente di posta elettronica attuale.

Per gestire le impostazioni della protezione delle e-mail, selezionare Prodotti > Impostazioni generali > Email Security.

Test e conferma del flusso di posta

Dopo aver completato l’onboarding del dominio, creato le regole del journal e configurato criteri e impostazioni, inviare un’e-mail di prova a una qualsiasi delle caselle di posta da un indirizzo esterno al proprio dominio e-mail.

L’e-mail dovrebbe essere recapitata nella casella di posta del journal. Analogamente, l’indirizzo della casella di posta configurato dovrebbe ricevere una copia del messaggio.

Dopo aver eseguito i processi indicati sopra, è possibile testare le regole del journal inviando e-mail in entrata e in uscita agli utenti a cui è stata applicata la regola.

Per confermare che l’e-mail è stata instradata attraverso Sophos EMS, consultare il report Cronologia dei messaggi.

Per accedere al report Cronologia dei messaggi, procedere come segue:

  1. Accedere a Sophos Central.
  2. Accedere a Prodotti > Email Protection > Report > Cronologia dei messaggi.

Se le e-mail vengono instradate attraverso il sistema, questo report conterrà delle voci.

Se la posta non viene instradata, non si riceveranno messaggi e-mail nella casella di posta in arrivo di prova. Svolgere i seguenti passaggi:

  1. Verificare di aver configurato correttamente gli IP di recapito di Sophos.
  2. Verificare che la casella di posta a cui si inviano i messaggi sia presente in Sophos Email Security.

Se sono stati svolti tutti i passaggi di cui sopra e la posta continua a non essere instradata correttamente nel proprio dominio, contattare il Supporto di Sophos.

Gestione dei domini M365

Per utilizzare questa funzionalità è necessario essere Super Amministratore.

Se sono stati aggiunti domini del tenant di M365, è possibile eseguire le seguenti operazioni:

  • Connettere il dominio del tenant per consentire l’esecuzione della Sicurezza per M365.
  • Attivare la funzionalità Protezione post-recapito per i propri utenti M365.

    Nota

    Per la Protezione post-recapito, Sophos EMS supporta solo la funzionalità di recupero su richiesta. La funzionalità Ricerca automatica e correzione non funziona in EMS. Configurare la Protezione post-recapito prima di utilizzare il recupero su richiesta. Vedere Protezione post-recapito.

  • Disconnettere il dominio del tenant.

Modifica di un dominio

Per modificare un dominio, cliccare sul nome del dominio nell’elenco, apportare le modifiche desiderate e cliccare su Salva.

Eliminazione di un dominio

Per eliminare un dominio, cliccare sull’icona Elimina Icona Elimina. a destra del dominio che si desidera rimuovere.