Sophos EMS (Email Monitoring System)
Sophos EMS僅用於監護。它掃描並記錄電子郵件消息,但不使用任何動作。
Sophos EMS (電子郵件監控系統)也稱為"Sophos電子郵件傳感器",設計僅用於監控和報告,它可以在Sophos Central中生成詳細報告。這一靈活的非侵入式工具增強了客戶的可見性,並支援對使用Microsoft Defender for Microsoft 365,Google Workspace Security或其他第三方電子郵件安全服務的客戶進行補救。
EMS接收可能已通過現有安全檢查並已發送給最終用戶的消息的日誌副本。EMS會掃描這些訊息並記錄結果,但不會對其執行任何動作。您可以配置策略操作,但這些操作不會應用於訊息。
EMS還與Sophos的MDR和XDR系統無縫集成,使安全團隊能夠更深入地了解潛在威脅。通過API集成,EMS為其M365位客戶提供了手動追回功能。
Sophos EMS的功能
Sophos Central 會進行以下操作:
- 掃描入站和出站電子郵件以進行監控。
- 記錄掃描結果並更新訊息記錄,隔離郵件和其他報告。
- 支援Microsoft 365客戶的手動電子郵件追回。
- 直接與Sophos MDR或Sophos XDR集成。
- 將數據輸入Sophos Data Lake,用於威脅檢測,分析和MDR或XDR調查。
- 為威脅檢測添加額外的上下文並增強事件響應能力。
運作方式
Sophos EMS使用郵件服務(Microsoft 365或Google Workspace)中配置的日誌規則來獲取每個電子郵件的副本以進行掃描。原始電子郵件保持不變,並將發送給目標收件人。由於EMS依賴於日誌消息,因此在創建日誌副本之前,它不會掃描被Microsoft 365或Gmail阻止的電子郵件。
隨著數據流進,您將開始在訊息記錄中看到電子郵件記錄,在Sophos Central中看到隔離的郵件和其他報表。這使您可以監控電子郵件活動並查看潛在威脅,即使對電子郵件未採取任何操作。
注意
內部電子郵件不會在Sophos Central中掃描。這包括在同一Sophos帳戶中配置的任意兩個域之間交換的電子郵件,即使這些域屬於不同的租戶或使用不同的服務提供商(如Microsoft 365或Google)也是如此。
對於Microsoft 365用戶,EMS支援手動電子郵件追回。您可以配置電子郵件安全和數據控制原則來監視敏感或違反策略的內容,儘管您在這些原則中配置的操作不會影響電子郵件交付。從EMS進行記錄也有助於MDR調查。
如果您使用第三方電子郵件安全解決方案,則可以通過以下方式將其與EMS集成:如果您使用的是基於M365閘道器的設定,請創建安全連接器;如果您使用的是Google,請為基於M365郵件流的設定創建傳輸規則;如果您使用的是Google,請配置入站閘道器。這種集成可擴展可見性並確保在整個環境中進行一致的監控。
設定 Sophos EMS
要開始Sophos EMS安裝,請參見 設定 Sophos EMS。
從Sophos電子郵件Advanced到Sophos EMS的轉移
如果要從Sophos電子郵件高級版遷移到Sophos EMS,請執行以下操作:
- 通過閘道器或郵件流配置移除域。請參閱 刪除 Sophos Email Security 網域。
- 根據需要重置MX配置(針對閘道器)或郵件流設定(針對郵件流)。
- 在 “帳戶首選項”中,確保 **** “僅監控模式”(EMS)已打開。
- 再次添加域並完成日誌記錄配置。
從Sophos EMS到Sophos電子郵件高級版的轉移
如果要從Sophos EMS遷移到Sophos電子郵件高級版,請執行以下操作:
- 移除Sophos EMS中的域。請參閱 斷開電子郵件網域與 Sophos Gateway 的連線。
- 移除日誌記錄配置。
- 在 “帳戶首選項”中,確保 **** “僅監控模式”(EMS)已關閉。
- 再次添加域並完成閘道器或郵件流配置。