許可するドメインおよびポート
ここに一覧されているドメインおよびポートを許可するように、ファイアウォールやプロキシを設定する必要があります。これにより、デバイスを保護し、Sophos Central から管理できます。
すべての機能は、同じプロキシを経由してルーティングされます。
許可する必要があるドメインの一部は、Sophos Central Admin によって所有されています。所有されていないドメインもありますが、インストールが機能するかどうかの確認や証明書の認識など、重要な操作に必要です。
このページには、次の製品に必要なドメインとポートが表示されます。
- Intercept X、XDR、または MDR。このセクションは、脅威対策製品に使用します。
- Sophos AD Sync。Sophos AD Sync を使用して Sophos Central ユーザーリストを最新の状態に保つ場合も、このセクションを使用します。
Sophos Email Security を設定する場合は、メールドメイン情報を参照してください。
推奨事項
-
ファイアウォールの地域ルールを使用しないでください。これらは許可リストを上書きし、ソフォス製品が機能しなくなる可能性があります。たとえば、米国以外の地域のブロックでは、ヨーロッパの地域を通過するサービスが停止する可能性があります。この問題は当社の製品が Amazon Web Service (AWS) でホストされているために発生します。Amazon Web Service (AWS) は、静的ではない IP アドレスを使用しています。 AWS IP アドレスの範囲と Amazon の IP アドレスを参照してください。
-
ファイアウォールまたはプロキシルールでワイルドカードを使用できるかどうかを確認します。ワイルドカードを使用できない場合は、使用できなくなる機能がいくつかあります。
Intercept X、XDR、または MDR
次のいずれかのライセンスをお持ちの場合は、次の手順に従ってください。
- Intercept X Advanced
- Intercept X Advanced for Server
- Intercept X Advanced with XDR
- Intercept X Advanced for Server with XDR
- MDR (Managed Detection and Response)
- Managed Detection and Response Complete
- Managed Detection and Response Server
- Managed Detection and Response Complete Server
ポート
このポートを許可します。
443 (HTTPS)
ドメイン
以下のドメインを許可します。すべてのセクションを完了してください。
Sophos Central Admin ドメイン
-
次の Sophos ドメインを許可します。
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
プロキシやファイアウォールがワイルドカードの使用をサポートしている場合は、ワイルドカード
*.sophos.com
を使用してこれらのアドレスすべてに対応できます。 -
以下の Sophos 以外のアドレスを許可します。
az416426.vo.msecnd.net
dc.services.visualstudio.com
Sophos ドメイン
許可する必要があるドメインは、ファイアウォールまたはプロキシがワイルドカードをサポートしているかどうかによって変わってきます。
詳細については、該当するタブをクリックしてください。
次のワイルドカードを使用して Sophos ドメインを含めることができます。
*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net
*.analysis.sophos.com
*.ctr.sophos.com
*.hydra.sophos.com
制限事項
ファイアウォールでワイルドカードの使用が許可されていない場合、XD 機能の Live Response と Live Discover は機能しません。これは、これらの機能がワイルドカードを使用してのみ許可できるドメインが必要とするるためです。
プロキシまたはファイアウォールがワイルドカードをサポートしていない場合は、必要なドメインを手動で追加する必要があります。
次の Sophos ドメインを許可します。
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
ソフォス管理通信システムとデバイスインストーラが、Sophos Central Admin と安全に通信するために使用するサーバーアドレスを特定する必要があります。デバイスの OS に対応するタブをクリックし、手順に従ってこれらのアドレスを特定して許可します。
Windows デバイスでは、次の手順を実行します。
SophosCloudInstaller.log
を開きます。これは、C:\ProgramData\Sophos\CloudInstaller\Logs
にあります。-
Opening connection to
で始まる行を探し ます。少なくとも 2つのエントリがあります。1つ目は次のいずれかのようになります。
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
2つ目は次のいずれかのようになります。
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
api-cloudstation-us-east-2.prod.hydra.sophos.com
api.stn100yul.ctr.sophos.com
両方のドメインをルールに追加します。
-
次のアドレスを追加します。
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
rca-upload-cloudstation-us-west-2.prod.hydra.sophos.com
rca-upload-cloudstation-us-east-2.prod.hydra.sophos.com
rca-upload-cloudstation-eu-west-1.prod.hydra.sophos.com
rca-upload-cloudstation-eu-central-1.prod.hydra.sophos.com
rca-upload.stn100bom.ctr.sophos.com
rca-upload.stn100yul.ctr.sophos.com
rca-upload.stn100hnd.ctr.sophos.com
rca-upload.stn100gru.ctr.sophos.com
rca-upload.stn100syd.ctr.sophos.com
-
ソフォス管理通信システムに必要なドメインを追加します。
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
SophosLabs Intelix サービスに必要なドメインを追加します。
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Linux デバイスで、次の手順を実行します。
- デバイスで
SophosSetup.sh
を検索します。 -
次のコマンドを実行してインストーラを起動し、出力を行います
sudo bash -x ./SophosSetup.sh
-
次の行を探します:
+ CLOUD_URL=https://
ではじまる行+ MCS_URL=https://
ではじまる行
両方の行のドメインをルールに追加します。
-
次のアドレスを追加します。
dci.sophosupd.com
d1.sophosupd.com
d2.sophosupd.com
d3.sophosupd.com
dci.sophosupd.net
d1.sophosupd.net
d2.sophosupd.net
d3.sophosupd.net
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
-
ソフォス管理通信システムに必要なドメインを追加します。
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
SophosLabs Intelix サービスに必要なドメインを追加します。
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
ファイアウォールによって許可されていない場合、次の証明機関のサイトへのアクセスを許可することが必要な場合もあります。
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
注
一部のファイアウォールやプロキシでは、 *.amazonaws.com
アドレスを示す逆引き参照が表示されます。ソフォスでは Amazon AWS を使用して複数のサーバーをホストしているため、これは予期される動作です。これらの URL は、ファイアウォールやプロキシに追加する必要があります。
XDR のドメイン
ライセンスに XDR が含まれている場合は、次のドメインを許可します。
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
MDR のドメイン
ライセンスに MDR が含まれている場合は、これらのドメインを許可します。
TLS インスペクションを使用している場合またはアプリケーションフィルタリングを使用するファイアウォールがある場合は、次のドメインを追加する必要があります。
prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com
これらのドメインの除外を追加する必要があることを確認したり、除外が有効であることをテストしたりするには、デバイスで DNS、および接続を確認します。
使用している OS のタブを選択してください。
Windows では、次の手順を実行します。
-
DNS を確認するには、PowerShell を開き、次のコマンドを入力します。
Resolve-DnsName -Name prod.endpointintel.darkbytes.io
Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com
各ドメインからの DNS の応答メッセージが表示されるはずです。
-
接続を確認するには、次のコマンドを入力します。
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
次の応答が表示されるはずです。
{message: "running..."}
。
Linux では、次の手順を実行します。
-
DNS を確認するには、次のコマンドを入力します。
host prod.endpointintel.darkbytes.io
host kinesis.us-west-2.amazonaws.com
各ドメインからの DNS の応答メッセージが表示されるはずです。
-
接続を確認するには、次のコマンドを入力します。
`curl -v https://prod.endpointintel.darkbytes.io/`
次の応答が表示されるはずです。
{message: "running..."}
。
Sophos AD Sync
Sophos AD Sync を使用して Sophos Central ユーザーリストを Active Directory で再維新の状態に保持する場合は、このセクションのドメインも許可する必要があります。
制限事項
ファイアウォールでワイルドカードの使用が許可されていない場合、Sophos AD Sync ユーティリティを使用することはできません。
-
Active Directory サービスを使用している場合は、次の署名済み s3 ドメインも追加します。
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
以下のワイルドカードを許可します。
*.s3.eu-west-1.amazonaws.com
*.s3.eu-central-1.amazonaws.com
*.s3.us-east-2.amazonaws.com
*.s3.us-west-2.amazonaws.com
*.s3.ca-central-1.amazonaws.com
*.s3.ap-southeast-2.amazonaws.com
*.s3.ap-northeast-1.amazonaws.com
*.s3.ap-south-1.amazonaws.com
*.s3.sa-east-1.amazonaws.com
ワイルドカード FQDN を使用する場合は、DNS 要求がファイアウォールを通過するようにしてください。詳細については、「 ワイルドカード FQDN の動作を参照してください。
リモートアシスタント
Sophos Central、Sophos Central Partner、および Sophos Central Enterprise を使用すると、ソフォスサポートスタッフが問題のトラブルシューティングを行えるようにリモートアクセスを提供できます。
リモートアクセスを機能させるには、以下に示すポートとドメインを許可する必要があります。
- ポート:
22 TCP
- ドメイン:
*.apu.sophos.com