Domini e porte da autorizzare
È necessario configurare il firewall o proxy in modo che autorizzi i domini e le porte indicati di seguito. Questa operazione consente di proteggere i dispositivi e gestirli da Sophos Central.
Tutte le funzionalità instradano il traffico utilizzando lo stesso proxy.
Alcuni dei domini da autorizzare sono di proprietà di Sophos Central Admin. Altri non lo sono, ma sono necessari per le operazioni essenziali, come il controllo del funzionamento delle installazioni o il riconoscimento dei certificati.
In questa pagina vengono indicati i domini e le porte richiesti per i seguenti prodotti:
- Intercept X, XDR o MDR. Per i prodotti di protezione dalle minacce, seguire le istruzioni indicate in questa sezione.
- Sophos AD Sync. Se si utilizza Sophos AD Sync, consultare anche questa sezione, per mantenere aggiornato l’elenco degli utenti Sophos Central.
Se si intende configurare Sophos Email Security, vedere Informazioni sul dominio e-mail.
Raccomandazioni
-
Evitare di utilizzare regole locali per i firewall. Potrebbero sostituire l’elenco di autorizzazione e impedire il corretto funzionamento dei prodotti Sophos. Ad esempio, bloccando le aree geografiche all’esterno degli USA, si potrebbero arrestare servizi che a volte vengono eseguiti attraverso aree europee. Questo può succedere perché i nostri prodotti sono ospitati su Amazon Web Service (AWS), che utilizza indirizzi IP non statici. Vedere Intervalli di indirizzi IP AWS e la pagina degli Indirizzi IP Amazon.
-
Verificare se è possibile utilizzare caratteri jolly nelle regole del firewall o del proxy. Se non è possibile, alcune funzionalità non saranno disponibili.
Intercept X, XDR o MDR
Se si utilizza una di queste licenze, seguire le istruzioni riportate di seguito:
- Intercept X Advanced
- Intercept X Advanced for Server
- Intercept X Advanced with XDR
- Intercept X Advanced for Server with XDR
- Rilevamento e risposta gestiti
- Managed Detection and Response Complete
- Managed Detection and Response Server
- Managed Detection and Response Complete Server
Porte
Autorizzare questa porta:
443 (HTTPS)
Domini
Autorizzare i domini indicati di seguito. Accertarsi di aver completato tutte le sezioni.
Domini Sophos Central Admin
-
Autorizzare questi domini Sophos:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
Se il proxy o il firewall supporta i caratteri jolly, è possibile utilizzare
*.sophos.com
per includere questi indirizzi. -
Autorizzare i seguenti indirizzi non Sophos:
az416426.vo.msecnd.net
dc.services.visualstudio.com
Domini Sophos
I domini da autorizzare saranno diversi, a seconda che il firewall o il proxy supporti i caratteri jolly.
Cliccare sulla scheda applicabile, per informazioni dettagliate.
Autorizzare i seguenti caratteri jolly per i domini Sophos:
*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net
*.analysis.sophos.com
*.ctr.sophos.com
*.hydra.sophos.com
Restrizione
Se il firewall non consente l’utilizzo di caratteri jolly, le funzionalità Live Response e Live Discover di XDR non funzioneranno. Questo avviene perché richiedono domini che è possibile autorizzare solo utilizzando un carattere jolly.
Se il proxy o firewall non supporta i caratteri jolly, occorrerà aggiungere manualmente tutti i singoli indirizzi richiesti.
Autorizzare questi domini Sophos:
central.sophos.com
cloud-assets.sophos.com
sophos.com
downloads.sophos.com
Occorre anche identificare gli indirizzi server che Sophos Management Communication System e i programmi di installazione dei dispositivi utilizzano per comunicare in maniera sicura con Sophos Central Admin. Cliccare sulla scheda corrispondente al sistema operativo del proprio dispositivo e seguire la procedura indicata per identificare e autorizzare questi indirizzi.
Sui dispositivi Windows, procedere come segue:
- Aprire
SophosCloudInstaller.log
. Si trova inC:\ProgramData\Sophos\CloudInstaller\Logs
. -
Cercare la riga che inizia con
Opening connection to
.Saranno presenti almeno due voci. La prima avrà un aspetto simile a una delle seguenti:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
La seconda avrà un aspetto simile a una delle seguenti:
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.com
api-cloudstation-us-east-2.prod.hydra.sophos.com
api.stn100yul.ctr.sophos.com
Aggiungere entrambi i domini alle proprie regole.
-
Aggiungere i seguenti indirizzi:
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-auto-upload.sophosupd.com
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
rca-upload-cloudstation-eu-central-1.qa.hydra.sophos.com
ssp.sophos.com
sdu-auto-upload.sophosupd.com
-
Aggiungere i domini richiesti per Sophos Management Communication System:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Aggiungere i domini richiesti per il servizio SophosLabs Intelix:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Potrebbe essere necessario autorizzare l’accesso ai seguenti siti delle autorità di certificazione, se non sono autorizzati dal proprio firewall:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Sui dispositivi Linux, procedere come segue:
- Trovare
SophosSetup.sh
nel proprio dispositivo. -
Eseguire il seguente comando per avviare il programma di installazione e stampare l’output:
sudo bash -x ./SophosSetup.sh
-
Cercare le seguenti righe:
- Riga che comincia con
+ CLOUD_URL=https://
- Riga che comincia con
+ MCS_URL=https://
Aggiungere alle regole i domini indicati in entrambe le righe.
- Riga che comincia con
-
Aggiungere i seguenti indirizzi:
dci.sophosupd.com
d1.sophosupd.com
d2.sophosupd.com
d3.sophosupd.com
dci.sophosupd.net
d1.sophosupd.net
d2.sophosupd.net
d3.sophosupd.net
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com
-
Aggiungere i domini richiesti per Sophos Management Communication System:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.com
dzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.com
mcs-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs-cloudstation-us-east-2.prod.hydra.sophos.com
mcs-cloudstation-us-west-2.prod.hydra.sophos.com
mcs2-cloudstation-eu-west-1.prod.hydra.sophos.com
mcs2-cloudstation-eu-central-1.prod.hydra.sophos.com
mcs2-cloudstation-us-east-2.prod.hydra.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
mcs.stn100syd.ctr.sophos.com
mcs.stn100yul.ctr.sophos.com
mcs.stn100hnd.ctr.sophos.com
mcs2.stn100syd.ctr.sophos.com
mcs2.stn100yul.ctr.sophos.com
mcs2.stn100hnd.ctr.sophos.com
mcs.stn100gru.ctr.sophos.com
mcs2.stn100gru.ctr.sophos.com
mcs.stn100bom.ctr.sophos.com
mcs2.stn100bom.ctr.sophos.com
-
Aggiungere i domini richiesti per il servizio SophosLabs Intelix:
us.analysis.sophos.com
apac.analysis.sophos.com
au.analysis.sophos.com
eu.analysis.sophos.com
-
Potrebbe essere necessario autorizzare l’accesso ai seguenti siti delle autorità di certificazione, se non sono autorizzati dal proprio firewall:
ocsp.globalsign.com
ocsp2.globalsign.com
crl.globalsign.com
crl.globalsign.net
ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com
Nota
Alcuni firewall o proxy mostrano ricerche inverse con gli indirizzi *.amazonaws.com
. Questo è un comportamento atteso, poiché utilizziamo Amazon AWS per ospitare vari server. Occorre aggiungere questi URL al firewall o proxy.
Domini per XDR
Autorizzare questi domini se la propria licenza include XDR:
live-terminal-eu-west-1.prod.hydra.sophos.com
live-terminal-eu-central-1.prod.hydra.sophos.com
live-terminal-us-west-2.prod.hydra.sophos.com
live-terminal-us-east-2.prod.hydra.sophos.com
live-terminal.stn100yul.ctr.sophos.com
live-terminal.stn100syd.ctr.sophos.com
live-terminal.stn100hnd.ctr.sophos.com
live-terminal.stn100gru.ctr.sophos.com
live-terminal.stn100bom.ctr.sophos.com
Domini per MDR
Autorizzare questi domini se la propria licenza include MDR.
Se si utilizza l’ispezione TLS o un firewall con filtro delle applicazioni, bisogna aggiungere i seguenti domini:
prod.endpointintel.darkbytes.io
kinesis.us-west-2.amazonaws.com
Per confermare che l’aggiunta di tali esclusioni dei domini è necessaria o per testare l’efficacia di queste esclusioni, occorre controllare il DNS e la propria connettività su un dispositivo.
Selezionare la scheda corrispondente al proprio sistema operativo.
Su Windows, procedere come segue:
-
Per controllare il DNS, aprire PowerShell e immettere i seguenti comandi:
Resolve-DnsName -Name prod.endpointintel.darkbytes.io
Resolve-DnsName -Name kinesis.us-west-2.amazonaws.com
Dovrebbe essere visualizzato un messaggio di risposta DNS da ogni dominio.
-
Per verificare la connettività, immettere il seguente comando:
Invoke-WebRequest -uri https://prod.endpointintel.darkbytes.io
Dovrebbe essere visualizzata la seguente risposta:
{message: "running..."}
.
Su Linux, procedere come segue:
-
Per controllare il DNS, immettere i seguenti comandi:
host prod.endpointintel.darkbytes.io
host kinesis.us-west-2.amazonaws.com
Dovrebbe essere visualizzato un messaggio di risposta DNS da ogni dominio.
-
Per verificare la connettività, immettere il seguente comando:
`curl -v https://prod.endpointintel.darkbytes.io/`
Dovrebbe essere visualizzata la seguente risposta:
{message: "running..."}
.
Sophos AD Sync
Se si utilizza Sophos AD Sync per mantenere aggiornato l’elenco di utenti Sophos Central con Active Directory, sarà necessario autorizzare anche i domini indicati in questa sezione.
Restrizione
Se il firewall non consente i caratteri jolly, non è possibile utilizzare l'utilità Sophos AD Sync.
-
Se si utilizza il servizio Active Directory, autorizzare i seguenti domini S3 pre-firmati:
tf-presigned-url-eu-west-1-prod-*-bucket.s3.eu-west-1.amazonaws.com
tf-presigned-url-eu-central-1-prod-*-bucket.s3.eu-central-1.amazonaws.com
tf-presigned-url-us-east-2-prod-*-bucket.s3.us-east-2.amazonaws.com
tf-presigned-url-us-west-2-prod-*-bucket.s3.us-west-2.amazonaws.com
tf-presigned-url-ca-central-1-prod-*-bucket.s3.ca-central-1.amazonaws.com
tf-presigned-url-ap-southeast-2-prod-*-bucket.s3.ap-southeast-2.amazonaws.com
tf-presigned-url-ap-northeast-1-prod-*-bucket.s3.ap-northeast-1.amazonaws.com
tf-presigned-url-ap-south-1-prod-*-bucket.s3.ap-south-1.amazonaws.com
tf-presigned-url-sa-east-1-prod-*-bucket.s3.sa-east-1.amazonaws.com
-
Autorizzare i seguenti caratteri jolly:
*.s3.eu-west-1.amazonaws.com
*.s3.eu-central-1.amazonaws.com
*.s3.us-east-2.amazonaws.com
*.s3.us-west-2.amazonaws.com
*.s3.ca-central-1.amazonaws.com
*.s3.ap-southeast-2.amazonaws.com
*.s3.ap-northeast-1.amazonaws.com
*.s3.ap-south-1.amazonaws.com
*.s3.sa-east-1.amazonaws.com
Quando si utilizzano FQDN con caratteri jolly, assicurarsi che le richieste DNS vengano indirizzate attraverso il firewall. Per maggiori informazioni, vedere Comportamento degli FQDN con caratteri jolly.