Sophos EMS (Email Monitoring System)

Sophos EMS (Email Monitoring System)，亦稱為"Email Sensor"，專為監控和報告而設計，並在Sophos Central生成詳細報告。此靈活且不具侵入性的工具可增強可見性，並支援使用 Microsoft Defender for Microsoft 365、Google Workspace Security 或其他第三方電子郵件安全服務的客戶進行糾正。

EMS 收到可能已通過現有安全檢查並傳遞給最終用戶的消息副本。EMS 掃描這些訊息並記錄結果，但不對其採取任何行動。您可以配置策略操作，但這些操作不會應用於訊息。

EMS 也可以與 Sophos 的 MDR 和 XDR 系統無縫整合，讓安全團隊更深入了解潛在威脅。通過 API 整合，EMS 為其 M365 客戶提供手動追回功能。

您可以觀看以下影片，逐步了解如何設定 AD 同步工具。該文件涵蓋了 Microsoft 365 和 Google Workspace 的配置過程，以及不同的第三方解決方案。

Sophos EMS的功能為何

Sophos Central 會進行以下操作：

• 掃描入站和出站電子郵件以進行監控目的。
• 記錄掃描結果並更新訊息歷程、隔離訊息和其他報告。
• 支援針對 Microsoft 365 顧客的手動郵件撤回功能。
• 直接整合Sophos MDR或Sophos XDR。
• 將數據輸入Sophos Data Lake，用於威脅檢測、分析，以及 MDR 或 XDR 調查。
• 增加威脅偵測的額外內容，並增強事件應對能力。

運作方式

Sophos EMS 使用在您的郵件服務（Microsoft 365 或 Google Workspace）中配置的日誌規則，以獲取每封電子郵件的副本進行掃描。原始電子郵件保持不變，並交付給預定收件人。由於EMS依賴於日誌消息，因此在創建日誌副本之前，它不會掃描被Microsoft 365或Gmail阻止的電子郵件。

當數據流入時，您將在 Sophos Central 的「訊息紀錄」、被隔離的訊息和其他報告中看到電子郵件記錄。這讓您能監控電子郵件活動並深入檢視潛在威脅，即使不對電子郵件採取任何行動。

對於 Microsoft 365 使用者，EMS 支援手動郵件撤回功能。您可以配置電子郵件安全性和數據控制策略，以監控敏感或違反策略的內容，儘管您在這些策略中配置的動作不會影響電子郵件傳遞。EMS 的記錄也為 MDR 調查提供了寶貴的上下文。

如果您使用第三方電子郵件安全解決方案，可以按照以下方式與EMS整合：如果您使用基於 M365 網關的設定，請創建一個安全連接器；如果您使用基於 M365 郵件流的設定，請為其創建傳輸規則；如果您使用 Google，請配置一個入站網關。此整合擴展了可見性，確保在您的環境中進行一致的監控。

設定 Sophos EMS

要開始進行 Sophos EMS 設定，請參閱 設定 Sophos EMS。

從Sophos Email Advanced遷移至Sophos EMS

若您要從 Sophos Email Advanced 遷移至 Sophos EMS，請執行以下步驟：

1. 從網關或郵件流配置中刪除域。請參閱 刪除 Sophos Email Security 網域。
2. 重設MX配置（用於網關）或郵件流設置（用於郵件流），視情況而定。
3. 在帳戶偏好設定中，請確保已開啟僅監視模式（EMS）。
4. 請再次新增網域並完成日誌配置。

從Sophos EMS遷移至Sophos Email Advanced

如果您正在從 Sophos EMS 遷移至 Sophos Email Advanced，請按照以下步驟進行：

1. 從 Sophos EMS 中移除域。請參閱 斷開電子郵件網域與 Sophos Gateway 的連線。
2. 移除日誌配置。
3. 在\中，請確保\已關閉。
4. 再次新增領域並完成網關或郵件流配置。