Sophos EMS (Email Monitoring System)
Sophos EMS é usado apenas para monitoramento. Ele verifica e registra mensagens de e-mail, mas não adota nenhuma ação.
O Sophos EMS (Email Monitoring System), também conhecido como "Email Sensor", é projetado apenas para monitoramento e relatórios, e gera relatórios detalhados no Sophos Central. Essa ferramenta flexível e não intrusiva melhora a visibilidade e oferece suporte à remediação para clientes que usam o Microsoft Defender para Microsoft 365, o Google Workspace Security ou outros serviços de segurança de e-mail de terceiros.
O EMS recebe cópias em diário de mensagens que podem ter passado nas verificações de segurança existentes e que foram entregues aos usuários finais. O EMS verifica essas mensagens e registra os resultados, mas não adota nenhuma ação sobre elas. Você pode configurar ações de política, mas essas ações não são aplicadas às mensagens.
O EMS também se integra perfeitamente com os sistemas MDR e XDR da Sophos, capacitando as equipes de segurança com uma compreensão mais profunda das ameaças potenciais. Através da integração de API, o EMS oferece aos seus clientes M365 a capacidade de fazer o clawback manual.
O que o Sophos EMS faz
O Sophos EMS faz o seguinte:
- Varredura de e-mails de entrada e saída para fins de monitoramento.
- Registra os resultados em log e atualiza o Histórico de mensagens, Mensagens em quarentena e outros relatórios.
- Suporta clawback de e-mail manual para clientes Microsoft 365.
- Integra-se diretamente com o Sophos MDR ou Sophos XDR.
- Alimenta dados no Sophos Data Lake para detecção de ameaças, análises e investigações de MDR ou XDR.
- Adiciona contexto adicional para detecção de ameaças e melhora os recursos de resposta a incidentes.
Como funciona
O Sophos EMS utiliza regras de diários de mensagens configuradas no seu serviço de e-mail (Microsoft 365 ou Google Workspace), para obter uma cópia de cada e-mail para varredura. O e-mail original permanece inalterado e é entregue ao destinatário desejado. Como o EMS depende do diário de mensagens, ele não faz a varredura de e-mails bloqueados pelo Microsoft 365 ou pelo Gmail antes de uma cópia do diário ser criada.
À medida que os dados fluem, você começará a ver registros de e-mail no Histórico de mensagens, Mensagens em quarentena e outros relatórios no Sophos Central. Isso permite que você monitore a atividade do e-mail e tenha visibilidade sobre possíveis ameaças, mesmo que nenhuma ação seja adotada nos e-mails.
Nota
Os e-mails internos não são digitalizados no Sophos Central. Isso inclui e-mails trocados entre dois domínios configurados na mesma conta Sophos, mesmo que os domínios pertençam a diferentes locatários ou usem diferentes provedores de serviços, como Microsoft 365 ou Google.
Para usuários do Microsoft 365, o EMS suporta o clawback de e-mail manual. Você pode configurar as políticas de Segurança de e-mail e Controle de dados para monitorar conteúdo sensível ou violador de políticas, embora as ações que você configurar nessas políticas não afetem a entrega de e-mail. O log do EMS também contribui com um contexto valioso para as investigações de MDR.
Se você usar uma solução de segurança de e-mail de terceiros, poderá integrá-la ao EMS das seguintes maneiras: Crie um conector seguro se estiver usando uma configuração baseada em gateway do M365, crie regras de transporte para uma configuração baseada em Fluxo de Emails do M365 ou configure um gateway de entrada se você estiver usando o Google. Essa integração amplia a visibilidade e garante um monitoramento consistente em todo o seu ambiente.
Configurar um Sophos EMS
Para começar a configuração do Sophos EMS, consulte Configurar um Sophos EMS.
Migrar do Sophos Email Advanced para o Sophos EMS
Se você estiver migrando do Sophos Email Advanced para o Sophos EMS, faça o seguinte:
- Remova os domínios das configurações de gateway ou Fluxo de Emails. Consulte Deletar domínios do Sophos Email Security.
- Redefina as configurações de MX (para gateway) ou as configurações de fluxo de e-mails (para Fluxo de Emails e Mailflow), conforme aplicável.
- Em Preferências da conta, certifique-se de que o Modo Somente monitorar (EMS) esteja ativado.
- Adicione os domínios novamente e complete as configurações do diário.
Migrar do Sophos EMS para o Sophos Email Advanced
Se você estiver migrando do Sophos EMS para o Sophos Email Advanced, faça o seguinte:
- Remova os domínios do Sophos EMS. Consulte Desconectar o domínio de e-mail do Sophos EMS.
- Remova as configurações do diário.
- Em Preferências da conta, certifique-se de que o Modo Somente monitorar (EMS) esteja desativado.
- Adicione os domínios novamente e complete as configurações de gateway ou Fluxo de Emails.