Sophos EMS (Email Monitoring System)
Sophos EMS は監視にのみ使用されます。メールメッセージをスキャンしてログに記録しますが、アクションは実行しません。
Sophos EMS (Email Monitoring System) は、"メールセンサー " とも呼ばれ、監視とレポート作成のみを目的として設計されており、Sophos Central で詳細なレポートを生成します。この柔軟で非侵入型のツールは、Microsoft Defender for Microsoft 365、Google Workspace Security、またはその他のサードパーティ メール セキュリティ サービスを使用しているお客様の可視性を向上させ、修復をサポートします。
EMS は、既存のセキュリティチェックに合格し、エンドユーザーに配信されたメッセージのジャーナルコピーを受信します。EMS はこれらのメッセージをスキャンして結果を記録しますが、アクションは実行されません。ポリシーアクションを設定できますが、これらのアクションはメッセージに適用されません。
また、EMS は Sophos の MDR および XDRシステムとシームレスに統合され、潜在的な脅威をより深く理解しているセキュリティチームを支援します。API 統合により、EMS は M365 のお客様に手動の回収機能を提供します。
Sophos EMS の機能
Sophos EMS で実行される操作は以下のとおりです。
- 監視目的で受信および送信メールをスキャンします。
- スキャン結果をログに記録し、メッセージの履歴、隔離メッセージ、およびその他のレポートを更新します。
- Microsoft 365 ユーザー向けの手動のメール回収機能をサポートします。
- Sophos MDR または Sophos XDR と直接統合します。
- 脅威検出、分析、MDR または XDR 調査のために、Sophos Data Lake にデータをフィードします。
- 脅威検出のコンテキストを追加し、インシデント対応機能を強化します。
機能の仕組み
Sophos EMS は、メールサービス (Microsoft 365 または Google Workspace) で設定されたジャーナリングルールを使用して、スキャン用の各メールのコピーを取得します。元のメールは変更されず、目的の受信者に配信されます。EMS はジャーナリングされたメッセージに依存するため、ジャーナルコピーが作成される前に Microsoft 365 または Gmail によってブロックされたメールはスキャンされません。
データが流れると、メールレコードがメッセージの履歴、隔離メッセージ、および Sophos Central のその他のレポートに表示されます。これにより、メールのアクティビティを監視し、メールにアクションが実行されていない場合でも、潜在的な脅威を可視化できます。
注
Sophos Central では内部メールはスキャンされません。これには、ドメインが異なるテナントに属している場合や、Microsoft 365 や Google などの異なるサービスプロバイダーを使用している場合でも、同じ Sophos アカウントに設定されている任意の 2つのドメイン間で交換されるメールなどが含まれます。
Microsoft 365 ユーザーの場合、EMS は手動のメール回収機能をサポートしています。機密性の高いコンテンツやポリシー違反のコンテンツを監視するようにメールセキュリティのポリシーとデータコントロールのポリシーを設定できますが、これらのポリシー内で設定したアクションはメール配信に影響しません。EMS からのログ記録は、MDR 調査に貴重なコンテキスト情報の提供も行います。
サードパーティのメールセキュリティ ソリューションを使用している場合は、次の方法で EMS と統合できます。M365 ゲートウェイベースのセットアップを使用している場合はセキュアコネクタを作成し、M365 メールフローベースのセットアップのトランスポートルールを作成するか、Google を使用している場合は受信ゲートウェイを設定します。この統合により、可視性が向上し、環境全体で一貫した監視が保証されます。
Sophos EMS の設定
Sophos EMS のセットアップを開始するには、Sophos EMS の設定を参照してください。
Sophos Email Advanced から Sophos EMS への移行
Sophos Email Advanced から Sophos EMS に移行する場合は、次の手順に従います。
- ゲートウェイまたはメールフローの設定からドメインを削除します。詳細は、Sophos Email Security ドメインの削除を参照してください。
- 必要に応じて、MX 設定 (ゲートウェイ用) またはメールフロー設定 (メールフロー用) をリセットします。
- 「アカウント設定」で、「監視のみモード (EMS)」がオンになっていることを確認します。
- ドメインを再度追加し、ジャーナリングの設定を完了します。
Sophos EMS から Sophos Email Advanced への移行
Sophos EMS から Sophos Email Advanced に移行する場合は、次の手順に従います。
- Sophos EMS からドメインを削除します。詳細は、Sophos EMS からのメールドメインの切断を参照してください。
- ジャーナル設定を削除します。
- 「アカウント設定」で、「監視のみモード (EMS)」がオフになっていることを確認します。
- ドメインを再度追加し、ゲートウェイまたはメールフローの設定を完了します。