Sophos Endpoint Agent の概要

お客様のエンドポイントおよびサーバーにSophos Endpoint Agentを展開することで、組織に高度なエンドポイント保護（EPP）とエンドポイント検知および対応（EDR）機能の両方を提供できます。最適なセキュリティを実現するため、検知および保護（EPP+EDR）エージェントモードのフルインストールを推奨します。

インストール、エージェント管理、トラブルシューティングに関する包括的なガイダンスについては、以下のドキュメントおよびナレッジベース記事を参照してください。

• Sophos Endpoint Agentへのアップグレード
• Sophosエージェントのセットアップ
• XDRでのエージェント管理
• エージェントのアンインストール
• 技術仕様、FAQ、リリースノート、その他の情報

Sophos Endpoint Agentへのアップグレード

重要

Secureworks® Taegis™ XDRでは、Sophos Endpoint AgentはSophos Agentの検知および保護モードと検知のみモードの両方を指します（特に指定がない限り）。

お客様のSecureworks® Taegis™ XDRライセンスにより、組織全体で検知および保護（EPP+EDR）または検知のみ（EDR）モードのいずれかでSophos Agentを展開できます。Sophos Agentは、特に検知および保護バージョンで強化された保護コントロールを備えており、Taegis Endpoint Agentからのアップグレードを提供します。

Sophos Endpoint Agentのバージョン

Sophos Agent Detection Onlyモードは、Taegis Endpoint Agentと同等の検知機能を提供し、両方の製品で一貫した可視性と脅威検知を実現します。また、Live Responseも含まれており、アナリストがSophos Centralから直接デバイスに接続し、リアルタイムでセキュリティ問題の調査や修復を行うことができます。

以下の表は、エージェント機能の比較を示しています。

EDRカテゴリ	Red Cloak™ Endpoint Agent	Taegis Endpoint Agent	Sophos Agent 検知のみ	Sophos Agent 検知および保護
イベントおよび検知データ	✓	✓	✓	✓
ホストの隔離	✓	✓	✓	✓
Live Response			✓	✓
Anti Malware Scan Interface (AMSI)		✓	✓	✓
脅威サーフェスの削減（Webコントロール、アプリケーションコントロール、周辺機器コントロール、DLP）				✓
脅威防止（Web保護、機械学習、振る舞い検知、アンチエクスプロイト、アンチランサムウェア）				✓

既に他のエンドポイント保護プラットフォーム（EPP）を利用している場合でも、Sophos Agent Detection Onlyを展開することで、実用的なアップグレードパスを提供します。エージェントソフトウェアを再インストールすることなく、Sophos保護機能の追加または削除をいつでも選択できます。

重要

Sophos Agentで対応できない問題や特定の要件がある場合は、以前のエンドポイントソリューションに戻すことができます。お客様が戻す主な理由には、以下が含まれます。

• 特定のアプリケーションやシステムとの互換性の問題
• 以前のエージェントを必須とする組織のポリシーやコンプライアンス要件
• 展開や運用中に発生した未解決の技術的問題やバグ
• 現時点で以前のエージェントでのみ利用可能な機能やワークフローの必要性

戻す場合は、推奨されるアンインストールおよび再インストール手順に従い、円滑な移行を行ってください。詳細については、ナレッジベースまたはサポートにお問い合わせください。

Red CloakまたはTaegisからSophos Endpoint Agentへのアップグレード

Sophos Agentへのアップグレードに関するガイダンスは、ナレッジベース記事ガイド：Sophos Endpoint Agentへのアップグレードを参照してください。

また、Secureworksは、従来のエンドポイントエージェントからSophos Agentへ移行するお客様をサポートするためのエージェントアップグレード用PowerShellスクリプトを提供しています。新しいWindows展開にはこのスクリプトの活用を推奨します。このスクリプトは動的で、Red Cloak Endpoint AgentまたはTaegis Endpoint Agentの削除が必要かどうかを自動的に判別します。詳細はSophos Endpoint Agent for Windowsのインストールを参照してください。

エージェントの展開

ヒント

組織内でSophos Agentを展開する前に、テスト用エンドポイントグループでエージェントソフトウェアを検証することを推奨します。

Sophos Agentのセットアップ

お客様のXDRテナントにアクセスできるようになったら、Sophos Agentの利用を開始できます。また、XDRテナントからシングルサインオン（SSO）で直接Sophos Centralにアクセスすることも可能です。

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェント → サマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。

エンドポイントエージェントのサマリーからSophos Centralを開く

注意

Secureworks® Taegis™ XDRテナントからSSO経由でSophos Centralにアクセスする場合、ユーザーアカウントのロールはCentral内の特定の権限にマッピングされます。詳細はユーザーロールのマッピングドキュメントを参照してください。

Sophos Endpoint Agentの構成とインストールは、以下の手順に従ってください。

Sophos Centralで推奨されるオプション設定

1. デバイスグループおよびユーザーグループを使用して、デバイス（コンピューターおよびサーバー）やユーザーを管理用にグループ化します。これらは手動で定義することも、ディレクトリ同期を利用して管理負荷を軽減することもできます。

   注意

   デバイスやユーザーはグループ構成に含める必要はなく、個別にポリシーを設定することも可能です。

2. 設定可能なさまざまなグループポリシータイプを確認してください。多くの保護重視のポリシーはSophos Agent専用ですが、アップデート管理ポリシーはSophos Agent Detection Onlyエンドポイントもサポートします。アップデート管理を利用して、エンドポイントで実行されるソフトウェアバージョンやアップデートのタイミングを制御できます。

3. 必要なカスタムグループポリシーを作成し、適切なデバイスおよびユーザーグループに割り当てます。あるいは、デフォルトのベースポリシーを利用して、すべてのデバイスとユーザーに推奨される保護を提供することもできます。
4. エンドポイントがインターネットに直接アクセスできない環境を特定し、アップデートキャッシュおよびメッセージリレーの展開を検討してください。
5. 隔離されたホストには、リモートトラブルシューティングやクリーンアップツールのダウンロードのために限定的かつ認可されたアクセスが必要な場合があります。これらのシナリオでは、Sophos Centralで隔離例外を設定してください。

Sophos Agentのダウンロードと展開

1. エージェントダウンロードにアクセスし、必要なSophos Agentインストールパッケージをダウンロードします。

2. インストール作業を開始する前に、以下を確認してください。

   • ネットワーク制御がSophos Agentのネットワーク要件をサポートしていること
   • 対象マシンがSophos AgentのサポートされているOSであること
   • 対象マシンがSophos Agentの推奨システム要件を満たしていること

3. 上記のポイントを満たしたら、お使いのプラットフォームに応じたドキュメントを参照し、Sophos Agentのインストール方法を確認してください。

   • Windows
   • Linux
   • macOS

大規模展開

ナレッジベースには、新規Sophos Agent展開やMECM（SCCM）、Intune、Jamf ProなどのMDM（モバイルデバイス管理）ツールによるインストールをサポートする記事が複数掲載されています。MDMツールを利用してSophos Agentソフトウェアを配布する場合は、以下の記事を参照してください。

• Windows

  • How To: 従来のエンドポイントエージェントからSophos AgentへのWindowsアップグレードスクリプト
  • How To: Active Directory（AD）スタートアップスクリプトを使用したSophos AgentのWindows展開
  • How To: Intuneを使用したSophos AgentのWindows展開
  • How To: MECMを使用したSophos AgentのWindows展開

• macOS

  • How To: Jamf Proを使用したSophos AgentのmacOS展開

インストール作業完了後は、エンドポイントエージェントの管理を確認してください。これにより、XDRでエンドポイントエージェントサマリーを操作・管理する方法や、展開・インストール済みエージェントがテナントに報告されていることを検証できます。

XDRでのエージェント管理

エンドポイントへのタグ付け

注意

デバイスをSophos Agentにアップグレードすると、従来のエージェントエントリからタグのコピーが保持されます。

エンドポイントへのタグ付けは、XDR内でエンドポイントにコンテキストを付与します。この情報は、特定のタグでエンドポイントをフィルタリングしたり、Automationsのアクション実行時の条件として利用できます。

XDRで個別または一括でタグを追加・削除する方法については、エンドポイントタグの追加と削除を参照してください。

エージェントホストの隔離およびリストアアクションの作成

XDRは、Sophos Agentがインストールされたホストを隔離・リストアでき、ネットワーク内外との通信を遮断します。エンドポイントが侵害されたと考えられる状況に迅速に対応するため、XDR内のAutomations機能を活用できます。

Sophos Agentを実行しているホストの隔離またはリストアには、Automationsアクションの定義が必要です。隔離アクションの設定と運用については、How To: Taegisアクションの設定 - ホストの隔離を参照してください。

Live Response

Live Responseを利用すると、Sophos Agentデバイスに直接接続し、リアルタイムでセキュリティ問題のトリアージや修復が可能です。デフォルトでは、Sophos AgentでLive Responseは無効になっています。詳細はLive Responseを参照してください。

ライブエンドポイント検索（Live Discover）

注意

Live Endpoint Searchは、Sophos CentralではLive Discoverと呼ばれます。

Live Endpoint Searchは、Sophos Centralが管理しているデバイスを確認し、脅威の兆候やコンプライアンス状況を評価できる機能です。Sophos Agentのインストール後、Taegis Menuの詳細検索 > ライブエンドポイント検索からすぐにアクセスできます。

詳細は Sophos Live Discoverドキュメントを参照してください。

エージェントのアーカイブまたはアーカイブ解除

エンドポイントエージェントサマリーテーブルに表示されているエージェント（アンインストール済みのものなど）を削除したい場合は、アーカイブできます。

エンドポイントエージェントサマリーテーブルのフィルタを参照し、アーカイブ済みステータスなどのさまざまな条件でフィルタリングする方法を確認してください。

注意

XDRからエージェントを完全に削除することはできません。

選択したエンドポイントのアーカイブおよびアーカイブ解除の手順に従い、XDRで手動でエージェントのアーカイブ・アーカイブ解除を行ってください。

注意

アーカイブ済みのエージェントが引き続きXDRにテレメトリーを送信すると、自動的にアーカイブ解除されます。エージェントが最初にアーカイブされた際、エージェントがテレメトリーを送信し続けている場合は、アーカイブ解除が行われる前に短い猶予期間が設けられます。

エージェントのアンインストール

Sophos Agentをアンインストールし、エンドポイントまたはシステムから削除するには、Sophos Endpoint Agentのアンインストールを参照してください。

追加情報

技術情報およびSophos Agent仕様

• Sophos Agentの技術詳細はSophos Endpoint Agent技術詳細でご確認いただけます。
• Sophos AgentのFAQはFAQ: Sophos Endpoint Agentでご覧いただけます。

Sophos Agentのリリースノート

• 各Sophos Agentバージョンのアップグレード情報は Sophosリリースノートでご確認ください。
• XDRのリリース情報はリリースノートをご覧ください。