コンテンツにスキップ

Sophos EMS の設定

Sophos EMS (Email Monitoring System) を使用して、Sophos Central を Microsoft Defender や Google Workspace Security などのサードパーティのメールサービスに接続します。EMS はメールトラフィックとレポートデータのみを監視します。メッセージに保護を適用したり、ポリシーを適用したりすることはありません。

代わりに、EMS は観測のみの判定を提供し、それらのメッセージを処理した場合に Sophos Email が何をしたかを示します。EMS は、受信と送信の両方のメールをスキャンし、表示された内容をログに記録し、何もアクションを行わずにレポートを更新します。これらの判定は、現在のメールサービスが処理する方法を変更することなく、Sophos Email ポリシーがどのように機能するかを確認するのに役立ちます。

Microsoft 365 で使用する場合、EMS は API 統合を通じて手動のメール回収もサポートします。

Sophos EMS は、メール関連のデータを Sophos Data Lake に送信することで、Sophos MDR と Sophos XDR を補完します。MDR および XDR のお客様にとっては、脅威検出の貴重なコンテキストが追加され、インシデント対応機能が強化されます。

はじめに

Sophos EMS を設定する前に、次の点を理解しておくことが重要です。

  • Sophos EMS ライセンス


    Sophos EMS は、Sophos Email Advanced の別の製品であり、代替製品です。両方を同時に使用することはできません。

    EMS は監視専用です。メールをスキャンしてログに記録しますが、アクションは実行しません。

  • Sophos EMS モード


    EMS モードをオンにすると、Sophos Central の一部のページに警告バナーが表示され、メールが監視されているだけでアクションが適用されていないことが示されます。

  • 設定できない設定とポリシー


    EMS モードをオンにすると、SMTP ルーティング、クリック時間、セルフ サービス ポータルなど、一部の設定と機能が無効になります。EMS はメールのジャーナルコピーで動作するため、暗号化はサポートされません。

    Secure Message ポリシーも使用できません。メールセキュリティポリシーとデータ コントロール ポリシーを設定できますが、設定したアクションはレポート作成のためだけのものであり、メールには適用されません。

Sophos EMS を設定するには、次の手順を実行します。

EMS モードがオンになっていることを確認する

Sophos EMS ライセンスをアカウントに追加すると、EMS モードがデフォルトでオンになります。Sophos EMS を使用するには、EMS モードがオンになっていることを確認する必要があります。

これには、次の手順を実行します。

  1. Sophos Central にサインインします。
  2. プロファイルアイコン プロファイルアイコン。 をクリックし、「アカウント設定」をクリックします。
  3. Sophos Email Monitoring System (EMS)」で、 「監視のみモード (EMS)」がオンになっていることを確認します。

    EMS モードがオフになっている場合は、オンにします。

    EMS モードの詳細については、 Sophos Email Monitoring System (EMS)を参照してください。

  4. 保存」をクリックします。

Sophos Central で EMS モードがアクティブになりました。

メールボックスの追加

EMS モードでは、Sophos Central にメールボックスを追加できます。

次の方法で実行できます。

  • 自動 (ディレクトリサービスを使用)。「AD Sync」または「Microsoft Entra ID sync」 のいずれかを使用できます。ディレクトリサービスの設定方法の手順については、ディレクトリサービスを参照してください。
  • ユーザーインターフェースで手動で実行します。
  • CSV ファイルからデータをインポートして手動で実行します。

ドメインの追加

ドメインを追加して、次のように Sophos EMS と統合できます。

  1. Sophos Central で「マイプロダクト > Email Protection > 設定 > EMS ドメイン設定/状態」を参照します。
  2. ドメインの追加」をクリックします。
  3. メールドメイン」にメールドメインを入力します。例: example.com

    メールを配信する前に、ドメインの所有者を確認する必要があります。これを行うには、ドメインに TXT レコードを追加します。このレコードを追加しても、メールや他のサービスへの影響はありません。

  4. ドメイン所有者の検証」をクリックします。

  5. ドメイン所有者の検証」にある詳細を使用して、TXT レコードを DNS 設定に追加します。

    ドメイン所有者の検証には、最長 10分かかることがあります。

  6. 検証」をクリックします。

    警告

    検証していないドメインを保存することはできません。ドメイン所有者の検証で検出された問題は、修正する必要があります。

  7. 以下のいずれか方向を選択します。

    • 受信のみ
    • 受信と送信
  8. 以下のオプションからジャーナルソース IP の範囲を選択します。

    • Microsoft Office 365
    • Google Apps Gmail
    • カスタムゲートウェイ

    同じドメインのジャーナル送信メールを送信するように、1つまたは複数のメールサーバーを設定できます。

    カスタムゲートウェイ」を選択した場合は、少なくとも 1つの IP アドレスおよび CIDR (サブネットの範囲) の入力が必要となります。項目を入力したら、「追加」をクリックして次の項目を入力します。複数の IP アドレスやアドレス範囲を追加できます。

  9. 保存」をクリックして設定内容を検証します。

    外部依存関係の設定」ダイアログが表示されます。

  10. 外部依存関係の設定」で、サードパーティのメールサービスでジャーナリングを設定します。

    ドメイン設定の一部として、メールサービスでジャーナリングを設定する必要があります。これにより、メールサービスと EMS 間の通信が確立され、EMS はスキャン用に各メールのコピーを受信できるようになります。EMS が正しく機能するには、この手順を完了する必要があります。

    ジャーナリングの設定が完了したら、ここに戻ってセットアッププロセスを終了します。

  11. 閉じる」をクリックします。

これで、ドメインが Sophos EMS にオンボーディングされました。ドメインは随時追加できます。

ポリシーと設定の構成

ポリシーを管理するには、 「マイプロダクト > Email Protection > ポリシー」に移動します。

EMS モードでは、設定に使用できるのはメール セキュリティ ポリシーとデータ コントロール ポリシーのみです。これらのポリシーはアクションを強制しませんが、レポートの判定を生成するために使用されます。正確な結果を得るには、現在のメール環境のポリシーに合わせて設定します。

メールセキュリティ設定を管理するには、「マイプロダクト > 全般設定 > メールセキュリティ」に移動します。

メールフローのテストと確認

ドメインのオンボーディング、ジャーナルルールの作成、ポリシーと設定の構成が完了したら、メールドメイン外のアドレスから任意のメールボックスにテストメールを送信します。

メールはジャーナル メールボックスに配信される必要があります。同様に、設定したメールボックスアドレスにメールのコピーが送信されます。

上記のプロセスを実行した後、ルールを適用したユーザーに送受信メールを送信することで、ジャーナルルールをテストできます。

メールが Sophos EMS 経由で配信されることを確認するには、「メッセージの履歴」レポートを参照します。

「メッセージの履歴」レポートにアクセスするには、次の手順に従います。

  1. Sophos Central にサインインします。
  2. マイプロダクト > Email Protection > レポート > メッセージの履歴」に移動します。

メールが Sophos Email 経由で配信されている場合、このレポートにエントリが表示されます。

経由していない場合は、テスト用受信トレイにメールが配信されていないことを意味します。次の手順を実行します。

  1. フォスの配信 IP が正しく設定されていることを確認します。
  2. 宛先のメールボックスが Sophos Email Security で存在することを確認します。

この手順すべてを行っても、該当するドメインにメールが配信されない場合は、ソフォスサポートにお問い合わせください。

M365 ドメインの管理

この機能を使用するには、スーパー管理者の権限が必要です。

M365 テナントドメインを追加した場合は、次の操作を実行できます。

  • テナントのドメインを接続して、M365 セキュリティを実行できるようにする。
  • M365 ユーザーの配信後の保護機能をオンにします。

    Sophos EMS は、配信後の保護でオンデマンドの回収機能のみをサポートしています。自動検索および修正機能は EMS では機能しません。オンデマンドの回収を使用する前に、配信後の保護を設定します。詳細は、配信後の保護を参照してください。

  • テナントドメインを切断します。

ドメインの変更

ドメインを編集するには、リストにあるドメイン名をクリックして変更し、「保存」をクリックします。

ドメインの削除

ドメインを削除するには、削除するドメイン名の右横にあるの削除のアイコン 削除アイコン。 をクリックします。