重要
Sophos Endpoint Agent for macOS はアーリーアクセスと表示されていますが、すべてのTaegisユーザーが利用可能です。招待や登録は不要です。
Sophos Endpoint Agent のインストール情報および前提条件🔗
このドキュメントでは、Sophos Endpoint Agent のインストールに必要な重要情報および前提条件を提供します。ファイアウォールやプロキシの正しい設定は、お使いのデバイスの保護と管理を確実にするために重要です。
ドメインおよびポートの設定🔗
必要なドメインおよびポートを許可するようにファイアウォールまたはプロキシを設定する必要があります。この設定により、すべての機能が同じプロキシを使用してトラフィックをルーティングできるようになります。一部のドメインはSophosが所有しており、他のドメインはインストールの検証や証明書の認識などの運用に不可欠です。
注意
以下の設定手順は、ファイアウォールがデフォルトでアウトバウンドトラフィックをブロックしている場合(デフォルト拒否)にのみ適用してください。お使いの環境がデフォルトでアウトバウンドトラフィックを許可している場合は、これらの手順をスキップしてください。
推奨事項🔗
- リージョン別ファイアウォールルールの回避: これらのルールは許可リストを上書きし、Sophos Agent の正常な動作を妨げる可能性があります。たとえば、米国外リージョンをブロックすると、Amazon Web Services (AWS) 上でホストされているため、ヨーロッパリージョン経由で動作するサービスが妨げられる場合があります。AWSは非固定IPアドレスを使用します。詳細は AWS IPアドレス範囲 およびAmazon IPアドレスをご参照ください。
- ワイルドカードの使用: ファイアウォールやプロキシがワイルドカードをサポートしている場合、設定が簡素化されます。サポートしていない場合、一部の機能が利用できなくなる可能性があります。
ポート🔗
- 次のポートを許可してください: 443 (HTTPS)
ドメイン🔗
Sophos Central Admin ドメイン🔗
以下のSophosドメインを許可してください:
central.sophos.comcloud-assets.sophos.comsophos.comdownloads.sophos.com
プロキシやファイアウォールがワイルドカードをサポートしている場合、*.sophos.com のワイルドカードを使用してこれらのアドレスをカバーできます。
Sophos以外のアドレス🔗
以下のSophos以外のアドレスを許可してください:
az416426.vo.msecnd.netdc.services.visualstudio.com
Sophosドメイン🔗
許可すべきドメインは、ファイアウォールやプロキシがワイルドカードをサポートしているかどうかによって異なります。
ワイルドカードあり🔗
以下のワイルドカードを許可してSophosドメインをカバーしてください:
*.sophos.com*.sophosupd.com*.sophosupd.net*.sophosxl.net*.analysis.sophos.com*.ctr.sophos.com*.hydra.sophos.com*.hitmanpro.com
正規表現ワイルドカードあり🔗
以下のワイルドカードを許可してSophosドメインをカバーしてください:
^sophos\.com/^[A-Za-z0-9.-]*\.sophos\.com.?/^[A-Za-z0-9.-]*\.sophosxl\.com.?/^[A-Za-z0-9.-]*\.sophosxl\.net.?/^[A-Za-z0-9.-]*\.sophosupd\.com.?/^[A-Za-z0-9.-]*\.sophosupd\.net.?/^[A-Za-z0-9.-]*\.hitmanpro\.com.?/
ファイアウォールで既に許可されていない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
^[A-Za-z0-9.-]*\.globalsign\.com.?/^[A-Za-z0-9.-]*\.globalsign\.net.?/^[A-Za-z0-9.-]*\.digicert\.com.?/
ワイルドカードなし🔗
プロキシやファイアウォールがワイルドカードをサポートしていない場合、以下のSophosドメインを正確に手動で追加してください:
central.sophos.comcloud-assets.sophos.comsophos.comdownloads.sophos.com
Windowsデバイスの場合、以下の手順を実施してください:
-
SophosCloudInstaller.logを開きます。C:\ProgramData\Sophos\CloudInstaller\Logsにあります。 -
Opening connection toで始まる行を探します。少なくとも2つのエントリがあります。最初のエントリは以下のいずれかのようになります:dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs.stn100yul.ctr.sophos.commcs2.stn100yul.ctr.sophos.com
2つ目のエントリは以下のいずれかのようになります:
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.comapi-cloudstation-us-east-2.prod.hydra.sophos.comapi.stn100yul.ctr.sophos.com
両方のドメインをルールに追加してください。
-
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-auto-upload.sophosupd.comsdu-feedback.sophos.comsophosxl.net4.sophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.comalert.hitmanpro.comssp.sophos.comsdu-auto-upload.sophosupd.comrca-upload-cloudstation-us-west-2.prod.hydra.sophos.comrca-upload-cloudstation-us-east-2.prod.hydra.sophos.comrca-upload-cloudstation-eu-west-1.prod.hydra.sophos.comrca-upload-cloudstation-eu-central-1.prod.hydra.sophos.comrca-upload.stn100bom.ctr.sophos.comrca-upload.stn100yul.ctr.sophos.comrca-upload.stn100hnd.ctr.sophos.comrca-upload.stn100gru.ctr.sophos.comrca-upload.stn100syd.ctr.sophos.com
-
Sophos Management Communication Systemに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.commcs-push-server-eu-west-1.prod.hydra.sophos.commcs-push-server-eu-central-1.prod.hydra.sophos.commcs-push-server-us-west-2.prod.hydra.sophos.commcs-push-server-us-east-2.prod.hydra.sophos.commcs-push-server.stn100yul.ctr.sophos.commcs-push-server.stn100syd.ctr.sophos.commcs-push-server.stn100hnd.ctr.sophos.commcs-push-server.stn100gru.ctr.sophos.commcs-push-server.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.comanalysis.sophos.com
-
ライセンスにXDRまたはMDRが含まれている場合、以下のドメインを追加してください:
live-terminal-eu-west-1.prod.hydra.sophos.comlive-terminal-eu-central-1.prod.hydra.sophos.comlive-terminal-us-west-2.prod.hydra.sophos.comlive-terminal-us-east-2.prod.hydra.sophos.comlive-terminal.stn100yul.ctr.sophos.comlive-terminal.stn100syd.ctr.sophos.comlive-terminal.stn100hnd.ctr.sophos.comlive-terminal.stn100gru.ctr.sophos.comlive-terminal.stn100bom.ctr.sophos.com
-
ファイアウォールで許可されていない場合、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
Linuxデバイスの場合、以下の手順を実施してください:
-
デバイス上で
SophosSetup.shを探します。 -
以下のコマンドを実行してインストーラーを開始し、出力を表示します:
-
以下の行を探します:
+ CLOUD_URL=https://で始まる行+ MCS_URL=https://で始まる行
両方の行からドメインをルールに追加してください。
-
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-feedback.sophos.comsophosxl.netsophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.com
-
Sophos Management Communication Systemに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.commcs-push-server-eu-west-1.prod.hydra.sophos.commcs-push-server-eu-central-1.prod.hydra.sophos.commcs-push-server-us-west-2.prod.hydra.sophos.commcs-push-server-us-east-2.prod.hydra.sophos.commcs-push-server.stn100yul.ctr.sophos.commcs-push-server.stn100syd.ctr.sophos.commcs-push-server.stn100hnd.ctr.sophos.commcs-push-server.stn100gru.ctr.sophos.commcs-push-server.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.com
-
ライセンスにXDRまたはMDRが含まれている場合、以下のドメインを追加してください:
live-terminal-eu-west-1.prod.hydra.sophos.comlive-terminal-eu-central-1.prod.hydra.sophos.comlive-terminal-us-west-2.prod.hydra.sophos.comlive-terminal-us-east-2.prod.hydra.sophos.comlive-terminal.stn100yul.ctr.sophos.comlive-terminal.stn100syd.ctr.sophos.comlive-terminal.stn100hnd.ctr.sophos.comlive-terminal.stn100gru.ctr.sophos.comlive-terminal.stn100bom.ctr.sophos.com
-
ファイアウォールで許可されていない場合、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
macOSデバイスの場合、以下の手順を実施してください:
-
macOSインストールの前提条件 を参照してください。
-
SophosCloudConfig.plistを開きます。SophosInstall/Sophos Installer Componentsディレクトリにあります。 -
RegistrationServerURLキーを探します。その後に続く文字列にURLが含まれています。このドメインをルールに追加してください。 -
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-auto-upload.sophosupd.comsdu-feedback.sophos.comsophosxl.net4.sophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.comamazonaws.comssp.sophos.comsdu-auto-upload.sophosupd.comrca-upload-cloudstation-us-west-2.prod.hydra.sophos.comrca-upload-cloudstation-us-east-2.prod.hydra.sophos.comrca-upload-cloudstation-eu-west-1.prod.hydra.sophos.comrca-upload-cloudstation-eu-central-1.prod.hydra.sophos.comrca-upload.stn100bom.ctr.sophos.comrca-upload.stn100yul.ctr.sophos.comrca-upload.stn100hnd.ctr.sophos.comrca-upload.stn100gru.ctr.sophos.comrca-upload.stn100syd.ctr.sophos.com
-
Sophos Management Communication Systemに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.com
-
ファイアウォールで許可されていない場合、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
TLSインスペクション用ドメイン🔗
TLSインスペクションを使用している場合や、アプリケーションフィルタリングを行うファイアウォールを使用している場合は、以下のドメインを追加してください:
prod.endpointintel.darkbytes.iokinesis.us-west-2.amazonaws.com
DNSおよび接続性の確認🔗
以下のコマンドを使用して、ドメイン除外の確認や有効性のテストを行うことができます。
-
DNSを確認するには、PowerShellを開いて次のコマンドを入力します:
各ドメインからDNS応答メッセージが表示されるはずです。
-
接続性を確認するには、次のコマンドを入力します:
{message: "running..."} という応答が表示されるはずです。
-
DNSを確認するには、次のコマンドを入力します:
各ドメインからDNS応答メッセージが表示されるはずです。
-
接続性を確認するには、次のコマンドを入力します:
{message: "running..."} という応答が表示されるはずです。
プロキシ設定🔗
Sophos Agent を Sophos Central に接続したり、Sophosのアップデートをプロキシサーバー経由でダウンロードしたりするように設定できます。このセクションでは、Sophos Central でのプロキシ設定方法を説明します。
必要に応じて、各デバイスで直接プロキシ設定を行うこともできます。詳細は デバイスをプロキシサーバー設定で利用する方法 をご参照ください。
プロキシの設定🔗
これらの手順により、コンピュータとサーバーの両方でプロキシサーバーを利用できるようになります。
- My Products → General Settings → Proxy Configuration を選択します。
- Proxy Configuration ページで Proxy Configuration をオンにします。
-
プロキシ設定を入力します:
- Hostname(例:
proxy.example.net) - Port(例:
8080) - プロキシの Username および Password
- Hostname(例:
-
Save を選択します。
注意
セキュリティ上の理由から、パスワードの復元はできません。Save を選択すると、既存のパスワードが上書きされる場合があります。
デバイスの接続方法🔗
Sophos Agent デバイスは、最初に見つけた動作する設定を使ってインターネットに接続します。デバイスは以下の順序で接続を試みます:
- Sophos Central の Message Relay を使用
- ここで説明したプロキシ設定を使用
- デフォルトのシステムプロキシを使用
- 自動検出されたプロキシ(WPAD)を使用
- プロキシを使用せずに接続
エンドポイントソフトウェアの管理🔗
Sophos Agent のインストールは、Sophos Central から直接管理できます。この機能により、必要に応じて Sophos Agent Detection Only から Sophos Endpoint Agent へ簡単にアップグレードし、高度な予防的コントロールを追加できます。必要に応じて、Sophos Endpoint Agent から Sophos Agent Detection Only へのダウングレードも可能です。
これらのアクションは、コンピュータとサーバーの両方に適用できます。
- My Products → Endpoint → Computers に移動します。
- チェックボックスを使って個別のコンピュータを選択するか、すべてのコンピュータを管理する場合は全選択チェックボックスを使用します。
- Manage Endpoint Software をクリックして設定モーダルを開きます。
モーダル内で Agent Mode を使用して、選択したエージェントを別のソフトウェアモードに切り替えたり、エージェントをリモートでアンインストールしたりできます。
また、Encryption オプションを使用して、選択したエンドポイントに暗号化を強制することもできます。
- My Products → Endpoint → Servers に移動します。
- チェックボックスを使って個別のサーバーを選択するか、すべてのサーバーを管理する場合は全選択チェックボックスを使用します。
- Manage Endpoint Software をクリックして設定モーダルを開きます。
モーダル内で Agent Mode を使用して、選択したエージェントを別のソフトウェアモードに切り替えたり、エージェントをリモートでアンインストールしたりできます。
注意
サーバーではEncryptionオプションは利用できません。