Sophos EMS 설정

Sophos EMS(이메일 모니터링 시스템)를 사용하여 Sophos Central를 Microsoft Defender 또는 Google Workspace 보안과 같은 타사 이메일 서비스에 연결합니다. EMS는 이메일 트래픽 및 보고 데이터만 모니터링합니다. 메시지에 보호 기능을 적용하거나 정책을 적용하지 않습니다.

대신 EMS는 관찰 전용 평결을 제공하여 소포스 이메일가 해당 메시지를 처리했을 때 무엇을 했는지를 보여줍니다. EMS는 아무런 조치 없이 인바운드 및 아웃바운드 이메일를 모두 검사하고, 표시되는 내용을 기록하고, 보고서를 업데이트합니다. 이러한 평결을 통해 현재 이메일 서비스가 처리하는 방식을 변경하지 않고도 Sophos 이메일 정책이 어떻게 작동하는지 확인할 수 있습니다.

Microsoft 365와 함께 사용할 경우 EMS는 API 통합을 통해 수동 이메일 클로백을 지원합니다.

또한 소포스 EMS는 이메일 관련 데이터를 Sophos Data Lake로 전송하여 Sophos MDR 및 소포스 XDR을 보완합니다. MDR 및 XDR 고객의 경우 위협 탐지에 유용한 컨텍스트를 추가하고 사고 대응 능력을 향상시킵니다.

시작하기 전에

Sophos EMS를 설정하기 전에 다음 사항을 이해하는 것이 중요합니다.

패스키를 설정하려면 다음과 같이 하십시오.

• EMS 모드가 켜져 있는지 확인하십시오.
• 사서함 추가
• 도메인 추가
• 정책 및 설정을 구성합니다
• 메일 흐름 테스트 및 확인

EMS 모드가 켜져 있는지 확인하십시오.

Sophos EMS 라이선스를 계정에 추가하면 EMS 모드가 기본적으로 켜집니다. Sophos EMS를 사용하려면 EMS 모드가 켜져 있어야 합니다.

이렇게 하려면, 다음 과정을 수행하십시오.

1. Sophos Central에 로그인하십시오.
2. 프로필 아이콘 을 클릭한 다음 계정 기본 설정을 클릭합니다.

3. Sophos 이메일 모니터링 시스템( EMS) 에서 모니터 전용 모드(EMS) 가 켜져 있는지 확인합니다.

   EMS 모드가 꺼져 있는 경우 켜십시오.

   EMS 모드에 대한 자세한 내용은 Sophos Email Monitoring System (EMS)를 참조하십시오.

4. 저장을 클릭합니다.

이제 Sophos Central에 대한 EMS 모드가 활성화되었습니다.

사서함 추가

EMS 모드일 때 사서함을 Sophos Central에 추가할 수 있습니다.

다음과 같은 방법으로 사서함을 추가할 수 있습니다.

• 디렉터리 서비스를 사용하여 자동으로 수행합니다. AD sync 또는 Microsoft Entra ID sync 중 하나를 사용할 수 있습니다. 디렉터리 서비스를 설정하는 방법에 대한 자세한 내용과 지침은 디렉터리 서비스을 참조하십시오.
• 사용자 인터페이스에서 수동으로
• CSV 파일에서 데이터를 가져와 수동으로

도메인 추가

다음과 같이 도메인을 추가하고 Sophos EMS와 통합할 수 있습니다.

1. Sophos Central에서 나의 제품 > 일반 설정 > M365 Mailflow 도메인 설정/상태로 이동합니다.
2. 도메인 추가를 클릭합니다.

3. 이메일 도메인에 이메일 도메인을 입력합니다. 예: example.com.

   이메일를 제공하려면 먼저 도메인 소유권을 확인해야 합니다. 이렇게 하려면 도메인에 TXT 레코드를 추가합니다. 이 레코드를 추가해도 이메일이나 다른 서비스는 영향을 받지 않습니다.

4. 도메인 소유권 확인을 클릭합니다.

5. 도메인 소유권 확인에 제공된 세부 정보를 사용하여 DNS(도메인 이름 서버)에 TXT 레코드를 추가합니다.

   참고

   적용하는 데 최대 10분이 걸릴 수 있습니다.

6. 확인을 클릭합니다.

   경고

   확인되지 않은 도메인은 저장할 수 없습니다. 도메인 소유권 확인에 문제가 있으면 수정해야 합니다.

7. 주파수 대역을 선택합니다을 선택합니다.

   • 인바운드만
   • 인바운드 및 아웃바운드

8. 다음 옵션 중에서 저널 소스 IP 범위를 선택합니다.

   • Microsoft Office 365
   • Google Apps Gmail
   • 사용자 지정 게이트웨이

   동일한 도메인에 대해 아웃바운드 메시지를 보내도록 하나 이상의 이메일 서버를 설정할 수 있습니다.

   사용자 지정 게이트웨이를 선택할 경우 하나 이상의 IP 주소 및 CIDR(서브넷 범위)이 필요합니다. 각 항목 입력 후 "추가"를 클릭합니다. 여러 개의 IP 주소 또는 범위를 추가할 수 있습니다.

9. 저장을 클릭하여 설정의 유효성을 검사합니다.

   외부 종속성 구성 대화 상자가 나타납니다.

10. 외부 종속성 구성에서 타사 메일 서비스에서 저널링을 구성합니다.

    • M365용 저널링 구성
    • Google용 저널링 구성

    도메인 구성의 일부로 메일 서비스에서 저널링을 구성해야 합니다. 이렇게 하면 메일 서비스와 EMS 간의 통신이 설정되므로 EMS가 스캔을 위해 각 이메일의 사본을 받을 수 있습니다. EMS가 제대로 작동하려면 이 단계를 완료해야 합니다.

    저널링 구성을 완료한 후 여기로 돌아와 설정 프로세스를 완료합니다.

11. 닫기를 클릭합니다.

이제 도메인이 Sophos EMS에 온보딩되었습니다. 언제든지 더 많은 도메인을 추가할 수 있습니다.

정책 및 설정 구성

정책을 관리하려면 내 제품 > 이메일 보호 > 정책 으로 이동합니다.

EMS 모드에서는 이메일 보안 및 데이터 제어 정책만 구성에 사용할 수 있습니다. 이러한 정책은 작업를 적용하지는 않지만 보고 결정을 생성하는 데 사용됩니다. 정확한 결과를 얻으려면 현재 이메일 환경의 정책과 일치하도록 구성하십시오.

• Email Security 정책
• 데이터 제어 정책

이메일 보안 설정을 관리하려면 내 제품 > 일반 설정 > 이메일 보안 으로 이동합니다.

메일 흐름 테스트 및 확인

도메인을 온보드하고 저널 규칙을 만들고 정책 및 설정을 구성한 후에는 이메일 도메인 외부의 주소에서 사서함으로 테스트 이메일를 보냅니다.

이메일가 저널 사서함으로 전달되어야 합니다. 마찬가지로 구성한 사서함 주소는 메일 복사본을 받습니다.

위의 프로세스를 수행한 후 규칙을 적용한 사용자에게 인바운드 및 아웃바운드 이메일을 전송하여 저널 규칙을 테스트할 수 있습니다.

메시지가 Sophos Gateway을 통해 전달되었는지 확인하려면 메시지 기록 보고서를 보면 됩니다.

메시지 기록 보고서에 액세스하려면 다음을 수행합니다.

1. Sophos Central에 로그인하십시오.
2. 내 제품 > 이메일 보호 > 보고서 > 메시지 기록 으로 이동합니다.

메시지가 시스템을 통해 전달되면 이 보고서에 항목이 표시됩니다.

메일이 전달되지 않은 경우 테스트 사서함에 메일이 수신되지 않습니다. 다음 단계를 수행하십시오.

1. Sophos 전송 IP를 올바르게 설정했는지 확인합니다.
2. 보내는 대상 사서함이 Sophos Email Security에 있는지 확인합니다.

이러한 단계를 모두 따랐는데도 여전히 메일이 해당 도메인에 전달되지 않으면 Sophos 지원팀에 문의하십시오.

M365 도메인 관리

M365 테넌트 도메인을 추가한 경우 다음 작업를 수행할 수 있습니다.

• Microsoft 365 보안을 실행하려면 테넌트 도메인을 연결합니다.

• M365 사용자를 위해 배달 후 보호 기능을 설정합니다.

  참고

  Sophos EMS는 배송 후 보호에서 온디맨드 클로백 기능만 지원합니다. 자동 검색 및 문제 해결 기능은 EMS에서 작동하지 않습니다. 주문형 클로백을 사용하기 전에 배달 후 보호를 구성합니다. 전송 후 보호을 참조하십시오.

• 테넌트 도메인 연결을 끊습니다.

도메인 편집

도메인을 편집하려면 목록에서 도메인 이름을 클릭하고 설정을 변경한 후 저장을 클릭합니다.

도메인 삭제

도메인을 삭제하려면 제거하려는 도메인 오른쪽에 있는 회색 십자 모양을 클릭합니다.