許可するドメインおよびポート
ここにあるドメインおよびポートを許可するように、ファイアウォールやプロキシを設定する必要があります。
これにより、デバイスを保護し、さらに Sophos Central Admin と管理対象デバイス間の通信を行うことができます。
注
すべての機能は、同じプロキシを経由してルーティングされます。
許可する必要があるドメインの一部は、Sophos Central Admin によって所有されています。所有されていないドメインもありますが、インストールが機能するかどうかの確認や証明書の認識など、重要な操作に必要です。
注
ソフォスは、AWS (Amazon Web Services) を使用したサービスで、グローバルにホスティングされています。地域ごとの追加のファイアウォール、さらに以下にある必要なドメインやポートを適用することで、ソフォス製品が正常に機能しなくなる可能性があります。
Sophos Email Security ドメイン
外部メールサービスと連携するようにソフォス を設定する際に使用するドメインと IP アドレスを確認するには、ソフォスのメールドメインを参照してください。
Sophos Central Admin ドメイン
保護を正しく機能させるには、以下のドメインとポートがファイアウォールとプロキシを通過できるようにする必要があります。
顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとにこれを行う必要があります。
-
central.sophos.com
-
cloud-assets.sophos.com
-
sophos.com
-
downloads.sophos.com
注
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、ワイルドカード *.sophos.com
を使用してこれらのアドレスすべてに対応できます。
次に、以下のソフォス以外のアドレスを入力します。
-
az416426.vo.msecnd.net
-
dc.services.visualstudio.com
-
*.cloudfront.net
さらに、このページの他のセクションも確認して、すべてのライセンスに対して適切なドメインとポートを許可する必要があります。
顧客のアカウントを管理するパートナーの場合は、顧客のファイアウォールやプロキシごとに、各顧客のライセンスに合わせてこれを行う必要があります。
Sophos ドメイン
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、次のワイルドカードを追加して、これらの Sophos ドメインすべてに対応してください。
-
*.sophos.com
-
*.sophosupd.com
-
*.sophosupd.net
-
*.sophosxl.net
プロキシやファイアウォールがワイルドカードの使用をサポートしていない場合は、必要な Sophos ドメインを正確に指定し、手動で入力する必要があります。
Sophos Management Communication System とデバイスインストーラが、Sophos Central Admin と安全に通信するために使用するサーバーアドレスを特定する必要があります。
Windows デバイスでは、次の手順を実行します。
-
SophosCloudInstaller.log
を開きます。これは、C:\ProgramData\Sophos\CloudInstaller\Logs
にあります。 -
次の行を探します:
-
Model::server value changed to:
ではじまる行 -
Opening connection to
ではじまる行
次のそれぞれの例のような値が 2つあるはずです。
-
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
-
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs.stn100yul.ctr.sophos.com
-
mcs2.stn100yul.ctr.sophos.com
-
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
-
api-cloudstation-us-east-2.prod.hydra.sophos.com
-
api.stn100yul.ctr.sophos.com
-
-
このアドレスと次のアドレスをファイアウォールやプロキシの許可リストに追加する必要があります。
-
dci.sophosupd.com
-
d1.sophosupd.com
-
d2.sophosupd.com
-
d3.sophosupd.com
-
dci.sophosupd.net
-
d1.sophosupd.net
-
d2.sophosupd.net
-
d3.sophosupd.net
-
t1.sophosupd.com
-
sus.sophosupd.com
-
sdds3.sophosupd.com
-
sdds3.sophosupd.net
-
sdu-feedback.sophos.com
-
sophosxl.net
-
4.sophosxl.net
-
samples.sophosxl.net
-
cloud.sophos.com
-
id.sophos.com
-
central.sophos.com
-
downloads.sophos.com
-
amazonaws.com
-
-
また、以下のアドレスをファイアウォールやプロキシの許可リストに追加する必要があります。
-
*.ctr.sophos.com
-
*.hydra.sophos.com
-
-
Sophos Management Communication System で許可するドメインをより具体的に指定する場合は、次のドメインを使用できます。
-
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
-
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
-
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
-
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
-
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
-
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
-
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
-
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
-
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
-
mcs.stn100syd.ctr.sophos.com
-
mcs.stn100yul.ctr.sophos.com
-
mcs.stn100hnd.ctr.sophos.com
-
mcs2.stn100syd.ctr.sophos.com
-
mcs2.stn100yul.ctr.sophos.com
-
mcs2.stn100hnd.ctr.sophos.com
-
mcs.stn100gru.ctr.sophos.com
-
mcs2.stn100gru.ctr.sophos.com
-
mcs.stn100bom.ctr.sophos.com
-
mcs2.stn100bom.ctr.sophos.com
-
-
ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
-
ocsp.globalsign.com
-
ocsp2.globalsign.com
-
crl.globalsign.com
-
crl.globalsign.net
-
ocsp.digicert.com
-
crl3.digicert.com
-
crl4.digicert.com
-
注
一部のファイアウォールやプロキシでは、 *.amazonaws.com
アドレスを示す逆引き参照が表示されます。ソフォスでは Amazon AWS を使用して複数のサーバーをホストしているため、これは予期される動作です。これらの URL は、ファイアウォールやプロキシに追加する必要があります。
ポート
-
次のポートを追加する必要があります。
-
80 (HTTP)
-
443 (HTTPS)
-
Sophos AD Sync ユーティリティ
制限事項
ファイアウォールでワイルドカードの使用が許可されていない場合、Sophos AD Sync ユーティリティを使用することはできません。
-
Active Directory サービスを使用している場合は、次の署名済み s3 ドメインも追加する必要があります。
-
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
-
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
-
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
-
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
-
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
-
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
-
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
-
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
-
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
-
次のワイルドカードを追加します。
-
*.s3.eu-west-1.amazonaws.com
-
*.s3.eu-central-1.amazonaws.com
-
*.s3.us-east-2.amazonaws.com
-
*.s3.us-west-2.amazonaws.com
-
*.s3.ca-central-1.amazonaws.com
-
*.s3.ap-southeast-2.amazonaws.com
-
*.s3.ap-northeast-1.amazonaws.com
-
*.s3.ap-south-1.amazonaws.com
-
*.s3.sa-east-1.amazonaws.com
-
Intercept X Advanced with XDR
制限事項
mcs-push-server
アドレスを許可するには、ワイルドカードを使用する必要があります。ファイアウォールでワイルドカードの使用が許可されていない場合、Live Response と Live Discover は機能しません。
Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスをお持ちの場合は、次の手順を実行します。
-
以下にあるドメインを追加する前に、「Sophos ドメイン」および「ポート」にあるドメインとポートを追加してください。
-
次のドメインを追加します。
-
live-terminal-eu-west-1.prod.hydra.sophos.com
-
live-terminal-eu-central-1.prod.hydra.sophos.com
-
live-terminal-us-west-2.prod.hydra.sophos.com
-
live-terminal-us-east-2.prod.hydra.sophos.com
-
live-terminal.stn100yul.ctr.sophos.com
-
live-terminal.stn100syd.ctr.sophos.com
-
live-terminal.stn100hnd.ctr.sophos.com
-
live-terminal.stn100gru.ctr.sophos.com
-
live-terminal.stn100bom.ctr.sophos.com
-
*.mcs-push-server-eu-west-1.prod.hydra.sophos.com
-
*.mcs-push-server-eu-central-1.prod.hydra.sophos.com
-
*.mcs-push-server-us-west-2.prod.hydra.sophos.com
-
*.mcs-push-server-us-east-2.prod.hydra.sophos.com
-
*.mcs-push-server.stn100yul.ctr.sophos.com
-
*.mcs-push-server.stn100syd.ctr.sophos.com
-
*.mcs-push-server.stn100hnd.ctr.sophos.com
-
*.mcs-push-server.stn100gru.ctr.sophos.com
-
*.mcs-push-server.stn100bom.ctr.sophos.com
-
Intercept X Advanced with XDR and MTR Standard
次のいずれかのライセンスがある場合は、これらのドメインを追加する必要があります。
-
Intercept X Advanced with XDR and MTR Standard
-
Intercept X Advanced with XDR and MTR Advanced
-
Intercept X Advanced for Server with XDR and MTR Standard
-
Intercept X Advanced for Server with XDR and MTR Advanced
-
Managed Threat Detection
-
Managed Threat Detection for Server
-
このセクションにあるドメインを追加する前に、「Sophos ドメイン」、「ポート」、および「Intercept X Advanced with XDR」にあるドメインとポートを追加してください。
-
MTR ライセンスがあり、TLS インスペクションを使用している場合またはアプリケーションフィルタリングを使用するファイアウォールがある場合は、次のドメインも追加する必要があります。
-
prod.endpointintel.darkbytes.io
-
kinesis.us-west-2.amazonaws.com
-
これらの除外を追加する必要があることを確認したり、除外が有効であることをテストしたりするには、デバイスで DNS、および接続を確認する必要があります。
Windows では、次の手順を実行します。
-
DNS を確認するには、PowerShell を開き、次のコマンドを入力します。
'Resolve-DnsName -Name prod.endpointintel.darkbytes.io' 'Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com'
各ドメインからの DNS の応答メッセージが表示されるはずです。
-
接続を確認するには、次のコマンドを入力します。
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
次の応答が表示されるはずです。
{message: "running..."}
。
Linux では、次の手順を実行します。
-
DNS を確認するには、次のコマンドを入力します。
'host prod.endpointintel.darkbytes.io' 'Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com'
各ドメインからの DNS の応答メッセージが表示されるはずです。
-
接続を確認するには、次のコマンドを入力します。
`curl -v https://prod.endpointintel.darkbytes.io/`
次の応答が表示されるはずです。
{message: "running..."}
。