許可するドメインおよびポート

ここに一覧されているドメインおよびポートを許可するように、ファイアウォールやプロキシを設定する必要があります。これにより、デバイスを保護し、Sophos Central から管理できます。

すべての機能は、同じプロキシを経由してルーティングされます。

許可する必要があるドメインの一部は、Sophos Central Admin によって所有されています。所有されていないドメインもありますが、インストールが機能するかどうかの確認や証明書の認識など、重要な操作に必要です。

このページには、次の製品に必要なドメインとポートが表示されます。

Intercept X、XDR、または MDR。このセクションは、脅威対策製品に使用します。
Sophos AD Sync。Sophos AD Sync を使用して Sophos Central ユーザーリストを最新の状態に保つ場合も、このセクションを使用します。

Sophos Email Security を設定する場合は、メールドメイン情報を参照してください。

推奨事項

ファイアウォールの地域ルールを使用しないでください。これらは許可リストを上書きし、ソフォス製品が機能しなくなる可能性があります。たとえば、米国以外の地域のブロックでは、ヨーロッパの地域を通過するサービスが停止する可能性があります。この問題は当社の製品が Amazon Web Service (AWS) でホストされているために発生します。Amazon Web Service (AWS) は、静的ではない IP アドレスを使用しています。 AWS IP アドレスの範囲と Amazon の IP アドレスを参照してください。
ファイアウォールまたはプロキシルールでワイルドカードを使用できるかどうかを確認します。ワイルドカードを使用できない場合は、使用できなくなる機能がいくつかあります。

Intercept X、XDR、または MDR

次のいずれかのライセンスをお持ちの場合は、次の手順に従ってください。

Intercept X Advanced
Intercept X Advanced for Server
Intercept X Advanced with XDR
Intercept X Advanced for Server with XDR
MDR (Managed Detection and Response)
Managed Detection and Response Complete
Managed Detection and Response Server
Managed Detection and Response Complete Server

ポート

このポートを許可します。

443 (HTTPS)

ドメイン

以下のドメインを許可します。すべてのセクションを完了してください。

Sophos Central Admin ドメイン

次の Sophos ドメインを許可します。
- central.sophos.com
- cloud-assets.sophos.com
- sophos.com
- downloads.sophos.com
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、ワイルドカード *.sophos.com を使用してこれらのアドレスすべてに対応できます。
以下の Sophos 以外のアドレスを許可します。
- az416426.vo.msecnd.net
- dc.services.visualstudio.com

Sophos ドメイン

許可する必要があるドメインは、ファイアウォールまたはプロキシがワイルドカードをサポートしているかどうかによって変わってきます。

詳細については、該当するタブをクリックしてください。

ワイルドカードを使用ワイルドカードなし

次のワイルドカードを使用して Sophos ドメインを含めることができます。

*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net
*.analysis.sophos.com
*.ctr.sophos.com
*.hydra.sophos.com

制限事項

ファイアウォールでワイルドカードの使用が許可されていない場合、XD 機能の Live Response と Live Discover は機能しません。これは、これらの機能がワイルドカードを使用してのみ許可できるドメインが必要とするるためです。

プロキシまたはファイアウォールがワイルドカードをサポートしていない場合は、必要なドメインを手動で追加する必要があります。

次の Sophos ドメインを許可します。

central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com

ソフォス管理通信システムとデバイスインストーラが、Sophos Central Admin と安全に通信するために使用するサーバーアドレスを特定する必要があります。デバイスの OS に対応するタブをクリックし、手順に従ってこれらのアドレスを特定して許可します。

WindowsLinux

Windows デバイスでは、次の手順を実行します。

SophosCloudInstaller.log を開きます。これは、C:\ProgramData\Sophos\CloudInstaller\Logs にあります。
Opening connection to で始まる行を探します。

少なくとも 2つのエントリがあります。1つ目は次のいずれかのようになります。
- dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
- mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
- mcs.stn100yul.ctr.sophos.com
- mcs2.stn100yul.ctr.sophos.com
2つ目は次のいずれかのようになります。
- dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
- api-cloudstation-us-east-2.prod.hydra.sophos.com
- api.stn100yul.ctr.sophos.com
両方のドメインをルールに追加します。
次のアドレスを追加します。
- t1.sophosupd.com
- sus.sophosupd.com
- sdds3.sophosupd.com
- sdds3.sophosupd.net
- sdu-auto-upload.sophosupd.com
- sdu-feedback.sophos.com
- sophosxl.net
- 4.sophosxl.net
- samples.sophosxl.net
- cloud.sophos.com
- id.sophos.com
- central.sophos.com
- downloads.sophos.com
- amazonaws.com
- ssp.sophos.com
- sdu-auto-upload.sophosupd.com
- rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
- rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
- rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
- rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
- rca-upload.stn100bom.ctr.sophos.com
- rca-upload.stn100yul.ctr.sophos.com
- rca-upload.stn100hnd.ctr.sophos.com
- rca-upload.stn100gru.ctr.sophos.com
- rca-upload.stn100syd.ctr.sophos.com
ソフォス管理通信システムに必要なドメインを追加します。
- dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
- dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
- mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
- mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
- mcs-cloudstation-us-east-2.prod.hydra.sophos.com
- mcs-cloudstation-us-west-2.prod.hydra.sophos.com
- mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
- mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
- mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
- mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
- mcs.stn100syd.ctr.sophos.com
- mcs.stn100yul.ctr.sophos.com
- mcs.stn100hnd.ctr.sophos.com
- mcs2.stn100syd.ctr.sophos.com
- mcs2.stn100yul.ctr.sophos.com
- mcs2.stn100hnd.ctr.sophos.com
- mcs.stn100gru.ctr.sophos.com
- mcs2.stn100gru.ctr.sophos.com
- mcs.stn100bom.ctr.sophos.com
- mcs2.stn100bom.ctr.sophos.com
SophosLabs Intelix サービスに必要なドメインを追加します。
- us.analysis.sophos.com
- apac.analysis.sophos.com
- au.analysis.sophos.com
- eu.analysis.sophos.com
ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
- ocsp.globalsign.com
- ocsp2.globalsign.com
- crl.globalsign.com
- crl.globalsign.net
- ocsp.digicert.com
- crl3.digicert.com
- crl4.digicert.com

Linux デバイスで、次の手順を実行します。

デバイスで SophosSetup.sh を検索します。
次のコマンドを実行してインストーラを起動し、出力を行います
```
sudo bash -x ./SophosSetup.sh
```
次の行を探します:
- + CLOUD_URL=https:// ではじまる行
- + MCS_URL=https:// ではじまる行
両方の行のドメインをルールに追加します。
次のアドレスを追加します。
- dci.sophosupd.com
- d1.sophosupd.com
- d2.sophosupd.com
- d3.sophosupd.com
- dci.sophosupd.net
- d1.sophosupd.net
- d2.sophosupd.net
- d3.sophosupd.net
- t1.sophosupd.com
- sus.sophosupd.com
- sdds3.sophosupd.com
- sdds3.sophosupd.net
- sdu-feedback.sophos.com
- sophosxl.net
- 4.sophosxl.net
- samples.sophosxl.net
- cloud.sophos.com
- id.sophos.com
- central.sophos.com
- downloads.sophos.com
- amazonaws.com
ソフォス管理通信システムに必要なドメインを追加します。
- dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
- dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
- mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
- mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
- mcs-cloudstation-us-east-2.prod.hydra.sophos.com
- mcs-cloudstation-us-west-2.prod.hydra.sophos.com
- mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
- mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
- mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
- mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
- mcs.stn100syd.ctr.sophos.com
- mcs.stn100yul.ctr.sophos.com
- mcs.stn100hnd.ctr.sophos.com
- mcs2.stn100syd.ctr.sophos.com
- mcs2.stn100yul.ctr.sophos.com
- mcs2.stn100hnd.ctr.sophos.com
- mcs.stn100gru.ctr.sophos.com
- mcs2.stn100gru.ctr.sophos.com
- mcs.stn100bom.ctr.sophos.com
- mcs2.stn100bom.ctr.sophos.com
SophosLabs Intelix サービスに必要なドメインを追加します。
- us.analysis.sophos.com
- apac.analysis.sophos.com
- au.analysis.sophos.com
- eu.analysis.sophos.com
ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
- ocsp.globalsign.com
- ocsp2.globalsign.com
- crl.globalsign.com
- crl.globalsign.net
- ocsp.digicert.com
- crl3.digicert.com
- crl4.digicert.com

注

一部のファイアウォールやプロキシでは、 *.amazonaws.com アドレスを示す逆引き参照が表示されます。ソフォスでは Amazon AWS を使用して複数のサーバーをホストしているため、これは予期される動作です。これらの URL は、ファイアウォールやプロキシに追加する必要があります。

XDR のドメイン

ライセンスに XDR が含まれている場合は、次のドメインを許可します。

live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com

MDR のドメイン

ライセンスに MDR が含まれている場合は、これらのドメインを許可します。

TLS インスペクションを使用している場合またはアプリケーションフィルタリングを使用するファイアウォールがある場合は、次のドメインを追加する必要があります。

prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com

これらのドメインの除外を追加する必要があることを確認したり、除外が有効であることをテストしたりするには、デバイスで DNS、および接続を確認します。

使用している OS のタブを選択してください。

WindowsLinux

Windows では、次の手順を実行します。

DNS を確認するには、PowerShell を開き、次のコマンドを入力します。

Resolve-DnsName -Name prod.endpointintel.darkbytes.io

Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com

各ドメインからの DNS の応答メッセージが表示されるはずです。
接続を確認するには、次のコマンドを入力します。

Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io

次の応答が表示されるはずです。{message: "running..."}。

Linux では、次の手順を実行します。

DNS を確認するには、次のコマンドを入力します。

host prod.endpointintel.darkbytes.io

host kinesis.us-west-2.amazonaws.com

各ドメインからの DNS の応答メッセージが表示されるはずです。
接続を確認するには、次のコマンドを入力します。
```
`curl -v https://prod.endpointintel.darkbytes.io/`
```
次の応答が表示されるはずです。{message: "running..."}。

Sophos AD Sync

Sophos AD Sync を使用して Sophos Central ユーザーリストを Active Directory で再維新の状態に保持する場合は、このセクションのドメインも許可する必要があります。

制限事項

ファイアウォールでワイルドカードの使用が許可されていない場合、Sophos AD Sync ユーティリティを使用することはできません。

Active Directory サービスを使用している場合は、次の署名済み s3 ドメインも追加します。
- tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
- tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
- tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
- tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
- tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
- tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
- tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
- tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
- tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
以下のワイルドカードを許可します。
- *.s3.eu-west-1.amazonaws.com
- *.s3.eu-central-1.amazonaws.com
- *.s3.us-east-2.amazonaws.com
- *.s3.us-west-2.amazonaws.com
- *.s3.ca-central-1.amazonaws.com
- *.s3.ap-southeast-2.amazonaws.com
- *.s3.ap-northeast-1.amazonaws.com
- *.s3.ap-south-1.amazonaws.com
- *.s3.sa-east-1.amazonaws.com

ワイルドカード FQDN を使用する場合は、DNS 要求がファイアウォールを通過するようにしてください。詳細については、「ワイルドカード FQDN の動作を参照してください。

リモートアシスタント

Sophos Central、Sophos Central Partner、および Sophos Central Enterprise を使用すると、ソフォスサポートスタッフが問題のトラブルシューティングを行えるようにリモートアクセスを提供できます。

リモートアクセスを機能させるには、以下に示すポートとドメインを許可する必要があります。

ポート： 22 TCP
ドメイン: *.apu.sophos.com