Sophos EMS (Email Monitoring System)
Sophos EMS viene utilizzato solo a scopo di monitoraggio. Esegue la scansione dei messaggi e-mail e li registra nei log, ma non interviene.
Sophos EMS (Email Monitoring System), chiamato anche “Sensore e-mail”, è progettato per svolgere solo attività di monitoraggio e reportistica, e genera report dettagliati in Sophos Central. Questo strumento flessibile e discreto migliora la visibilità e supporta la correzione dei problemi per i clienti che utilizzano Microsoft Defender per Microsoft 365, la sicurezza di Google Workspace o altri servizi di protezione delle e-mail di terze parti.
EMS riceve copie di messaggi inseriti nei journal che potrebbero aver superato i controlli di sicurezza esistenti ed essere stati recapitati agli utenti finali. EMS esegue la scansione di questi messaggi e registra i risultati nei log, ma senza intervenire. È possibile configurare azioni dei criteri, ma queste azioni non vengono applicate ai messaggi.
Inoltre, EMS si integra perfettamente con i sistemi MDR e XDR di Sophos, permettendo ai team di sicurezza di acquisire una maggiore comprensione delle potenziali minacce. Grazie all’integrazione di API, EMS offre ai clienti M365 la funzionalità di recupero manuale.
Come agisce Sophos EMS
Sophos EMS agisce come segue:
- Esegue la scansione delle e-mail in entrata e in uscita a scopo di monitoraggio.
- Registra i risultati delle scansioni nei log e aggiorna i report Cronologia dei messaggi, Messaggi in quarantena e altri.
- Supporta il recupero manuale delle e-mail per i clienti Microsoft 365.
- Si integra direttamente con Sophos MDR o Sophos XDR.
- Invia dati al Sophos Data Lake a scopo di rilevamento delle minacce, analisi e indagine di MDR o XDR.
- Aggiunge ulteriore contesto per il rilevamento delle minacce e migliora le capacità di incident response.
Come funziona
Sophos EMS utilizza le regole di inserimento nel journal configurate nel proprio servizio di posta (Microsoft 365 o Google Workspace), per ottenere una copia di ogni e-mail a scopo di scansione. L’e-mail originale rimane invariata e viene recapitata al destinatario previsto. Poiché EMS utilizza messaggi inseriti nel journal, non esegue la scansione delle e-mail bloccate da Microsoft 365 o Gmail prima che venga creata una copia del journal.
Man mano che vengono ricevuti dati, si inizieranno a vedere record delle e-mail nei report Cronologia dei messaggi, Messaggi in quarantena e altri, in Sophos Central. Questo permette di monitorare l’attività delle e-mail e di acquisire visibilità sulle potenziali minacce, anche se non vengono intraprese azioni sulle e-mail.
Nota
Le e-mail interne non vengono sottoposte a scansione in Sophos Central. Sono inclusi gli scambi di e-mail tra due domini qualsiasi configurati nello stesso account Sophos, anche se i domini appartengono a tenant diversi o utilizzano provider di servizi diversi come Microsoft 365 o Google.
Per gli utenti Microsoft 365, EMS supporta il recupero manuale delle e-mail. È possibile configurare criteri di Email Security e di Controllo dati che monitorino i sistemi alla ricerca di contenuti di natura sensibile o che violano i criteri. Tuttavia, le azioni configurate all’interno di questi criteri non influiranno sul recapito delle e-mail. La registrazione nei log di EMS contribuisce anche a fornire informazioni preziose sul contesto per le indagini di MDR.
Se si utilizza una soluzione di protezione delle e-mail di terze parti, è possibile integrarla con EMS nei seguenti modi: creando un connettore sicuro se si utilizza una configurazione di M365 basata sul gateway, creando regole di trasporto per una configurazione di M365 basata sul flusso di posta, oppure configurando un gateway in entrata se si utilizza Google. Questa integrazione estende la visibilità e garantisce un monitoraggio coerente nell’intero ambiente.
Configurazione di Sophos EMS
Per iniziare a configurare Sophos EMS, vedere Configurazione di Sophos EMS.
Migrazione da Sophos Email Advanced a Sophos EMS
Se si esegue la migrazione da Sophos Email Advanced a Sophos EMS, procedere come segue:
- Rimuovere i domini dalle configurazioni del gateway o del flusso di posta. Vedere Domini Sophos Email Security.
- Ripristinare le configurazioni MX (per il gateway) o le impostazioni del flusso di posta (per il flusso di posta), a seconda dei casi.
- In Preferenze account, assicurarsi che la Modalità solo monitor (EMS) sia attiva.
- Aggiungere nuovamente i domini e completare le configurazioni dell’inserimento nel journal.
Migrazione da Sophos EMS a Sophos Email Advanced
Se si esegue la migrazione da Sophos EMS a Sophos Email Advanced, procedere come segue:
- Rimuovere i domini da Sophos EMS. Vedere Disconnessione del dominio e-mail da Sophos EMS.
- Rimuovere le configurazioni dell’inserimento nel journal.
- In Preferenze account, assicurarsi che la Modalità solo monitor (EMS) sia disattivata.
- Aggiungere nuovamente i domini e completare le configurazioni del gateway o del flusso di posta.