Sophos EMS 설정

소포스 EMS(이메일 모니터링 시스템)을 사용하여 소포스 센트럴을 마이크로소프트 디펜더 또는 구글 워크스페이스 보안과 연결합니다. EMS는 전자 메일 트래픽과 보고 데이터만을 모니터링합니다. 메시지에 대한 보호나 정책 강제 적용을 하지 않습니다.

대신 EMS는 관측 전용 판단을 제공하여 Sophos Email이 해당 메시지를 처리했을 경우 무엇을 수행했을지 보여줍니다. EMS는 수신 및 발신 이메일을 모두 스캔하여 보는 내용을 기록하고 조치를 취하지 않고 보고서를 업데이트합니다. 이러한 판결은 현재 이메일 서비스가 처리하는 방식을 변경하지 않고 Sophos 이메일 정책이 어떻게 작동하는지 보여줍니다.

Microsoft 365을 사용할 때 EMS는 API 통합을 통해 수동 이메일 회수도 지원합니다.

Sophos EMS는 Sophos MDR 및 Sophos XDR을 보완하여 이메일 관련 데이터를 Sophos Data Lake으로 전송합니다. MDR 및 XDR 고객을 위해 위협 탐지에 가치 있는 컨텍스트를 추가하고 사건 대응 능력을 강화합니다.

시작하기 전에

Sophos EMS를 설정하기 전에 다음 사항을 이해하는 것이 중요합니다.

Sophos Gateway를 설정하려면 다음과 같이 하십시오.

• EMS 모드가 켜져 있는지 확인하십시오
• 사서함 추가
• 도메인 추가
• 정책 및 설정을 구성합니다
• 메일 흐름을 테스트 및 확인

EMS 모드가 켜져 있는지 확인하십시오

Sophos EMS 라이선스를 계정에 추가하면 EMS 모드가 기본으로 활성화됩니다. Sophos EMS를 사용하려면 EMS 모드가 켜져 있는지 확인해야 합니다.

이렇게 하려면, 다음 과정을 수행하십시오.

1. Sophos Central에 로그인합니다.
2. 프로필 아이콘 을 클릭한 다음 계정 기본 설정을 클릭합니다.

3. Sophos Email Monitoring System (EMS)에서 Monitor Only mode (EMS)이(가) 활성화되어 있는지 확인하십시오.

   EMS 모드가 꺼져 있는 경우, 켜십시오.

   EMS 상태 메시지에 대한 내용은 Sophos Email Monitoring System (EMS)을(를) 참조하십시오.

4. 저장을 클릭합니다.

EMS 모드가 현재 Sophos Central에서 활성화되었습니다.

사서함 추가

EMS 모드에서 Sophos Central에 메일함을 추가할 수 있습니다.

다음과 같은 방법으로 사서함을 추가할 수 있습니다.

• 디렉터리 서비스를 사용하여 자동으로 수행합니다. AD sync 또는 Microsoft Entra ID sync 중 하나를 사용할 수 있습니다. 디렉터리 서비스를 설정하는 방법에 대한 자세한 내용과 지침은 디렉터리 서비스을 참조하십시오.
• 사용자 인터페이스에서 수동으로.
• CSV 파일에서 데이터를 수동으로 가져와야 합니다.

도메인 추가

도메인을 추가하고 다음과 같이 Sophos EMS와 통합할 수 있습니다:

1. Sophos Central에서 내 제품 > 이메일 보호 > 설정 > EMS 도메인 설정/상태으로 이동합니다.
2. 도메인 추가를 클릭합니다.

3. Email Domain에 이메일 도메인을 입력하십시오. 예: example.com.

   이메일을 전달하기 전에 도메인 소유권을 확인해야 합니다. 이를 수행하려면 도메인에 TXT 레코드를 추가하십시오. 이 레코드를 추가해도 이메일이나 다른 서비스는 영향을 받지 않습니다.

4. 도메인 소유권 확인을 클릭합니다.

5. 도메인 소유권 확인에 제공된 세부 정보를 사용하여 DNS(도메인 이름 서버)에 TXT 레코드를 추가합니다.

   참고

   도메인 소유 확인은 최대 열 분이 걸릴 수 있습니다.

6. 확인을 클릭합니다.

   경고

   확인되지 않은 도메인은 저장할 수 없습니다. 도메인 소유권 확인에 문제가 있으면 수정해야 합니다.

7. 주파수 대역을 선택합니다을 선택합니다.

   • 인바운드만
   • 인바운드 및 아웃바운드

8. 다음 옵션 중에서 저널 소스 IP 범위를 선택하십시오:

   • Microsoft Office 365
   • Google Apps Gmail
   • 사용자 지정 게이트웨이

   동일한 도메인에 대해 아웃바운드 메시지를 보내도록 하나 이상의 이메일 서버를 설정할 수 있습니다.

   만약 Custom Gateway을(를) 선택하면, 적어도 한 개의 IP 주소와 CIDR(서브넷 범위)를 입력해야 합니다. 각 항목 입력 후 "추가"를 클릭합니다. 여러 개의 IP 주소 또는 범위를 추가할 수 있습니다.

9. 저장을 클릭하여 설정의 유효성을 검사합니다.

   다이얼로그 "Configure External Dependencies"이(가) 표시됩니다.

10. 외부 종속성 구성에서, 서드파티 메일 서비스에서 저널링을 구성하세요:

    • M365에 대한 저널링 설정을 구성합니다.
    • Google용 저널링 구성

    도메인 구성의 일환으로 메일 서비스에서 저널링을 구성해야 합니다. 이 작업은 귀하의 메일 서비스와 EMS 간의 통신을 설정하여 EMS가 각 이메일의 사본을 스캔하기 위해 수신할 수 있도록 합니다. EMS가 올바르게 작동하려면이 단계를 완료해야합니다.

    저널링 구성을 완료한 후에 이곳으로 돌아와 설정 프로세스를 마무리하세요.

11. 닫기를 클릭합니다.

귀하의 도메인은 이제 Sophos EMS에 등록되었습니다. 언제든지 더 많은 도메인을 추가할 수 있습니다.

정책 및 설정 구성

정책을 관리하려면 내 제품 > 이메일 보호 > 정책으로 이동하십시오.

EMS 모드에서는 이메일 보안 및 데이터 제어 정책만 구성할 수 있습니다. 이러한 정책은 행동을 강요하지는 않지만 보고 결정을 생성하는 데 사용됩니다. 정확한 결과를 보장하기 위해 현재 이메일 환경의 정책과 일치하도록 구성하십시오.

• Email Security 정책
• 데이터 제어 정책

이메일 보안 설정을 관리하려면 일반 설정 아이콘 을(를) 클릭한 후 이메일 보안 섹션까지 스크롤하세요.

메일 흐름을 테스트 및 확인

도메인을 온보딩한 후, 저널 규칙을 만들고 정책 및 설정을 구성한 다음, 이메일 도메인 외부 주소에서 메일박스로 테스트 이메일을 보내십시오.

이메일은 저널 메일함으로 전달되어야 합니다. 동일하게, 구성한 우편함 주소는 메일의 사본을 수신해야 합니다.

위의 프로세스를 수행한 후에는 적용된 규칙을 사용자에게 적용한 이메일로 수신 및 발신하여 저널 규칙을 테스트할 수 있습니다.

메시지가 Sophos Gateway을 통해 전달되었는지 확인하려면 메시지 기록 보고서를 보면 됩니다.

보고서에 액세스하려면 다음과 같이 하십시오.

1. Sophos Central에 로그인하십시오.
2. 제품 내 제품 > 이메일 보호 > 보고서 > 메시지 기록로 이동합니다.

메시지가 시스템을 통해 전달되면 이 보고서에 항목이 표시됩니다.

메일이 전달되지 않은 경우 테스트 사서함에 메일이 수신되지 않습니다. 다음 단계를 수행하십시오.

1. 소포스 전달 IP를 올바르게 설정했는지 확인하세요.
2. 보내는 대상 사서함이 Sophos Email Security에 있는지 확인합니다.

이러한 단계를 모두 따랐는데도 여전히 메일이 해당 도메인에 전달되지 않으면 Sophos 지원팀에 문의하십시오.

M365 도메인 관리

만약 M365 도메인을 추가했다면 다음 작업을 수행할 수 있습니다:

• 도메인을 후송 전달 보호에 연결하거나 연결을 해제합니다.

• 귀하의 M365 사용자를 위해 사후 전달 보호 기능을 구성하십시오.

  참고

  Sophos EMS는 사후 전달 보호에서만 온디맨드 회수 기능을 지원합니다. EMS에서 자동 검색 및 복구 기능이 작동하지 않습니다. 온디맨드 회수 실행하기 전에 사후 전달 보호 구성하세요. 전송 후 보호을 참조하십시오.

• 도메인을 편집하십시오.

• 도메인을 연결 해제하십시오.

도메인 편집

도메인을 편집하려면 목록에서 도메인 이름을 클릭하고 설정을 변경한 후 저장을 클릭합니다.

도메인 삭제

도메인을 삭제하려면 제거하려는 도메인 오른쪽에 있는 를 클릭합니다.