Sophos Endpoint Agent インストール情報および前提条件🔗
このドキュメントでは、Sophos Endpoint Agent のインストールに必要な重要情報および前提条件を提供します。ファイアウォールやプロキシの正しい設定は、デバイスの保護と管理を確実に行うために不可欠です。
ドメインおよびポートの設定🔗
必要なドメインおよびポートを許可するようにファイアウォールまたはプロキシを設定する必要があります。この設定により、すべての機能が同じプロキシを使用してトラフィックをルーティングできるようになります。一部のドメインはSophosが所有しており、他のドメインはインストールの検証や証明書の認識などの運用に不可欠です。
注意
以下の設定手順は、ファイアウォールがデフォルトでアウトバウンドトラフィックをブロックしている場合(デフォルト拒否)にのみ適用してください。お客様の環境がデフォルトでアウトバウンドトラフィックを許可している場合は、この手順をスキップしてください。
推奨事項🔗
- リージョン別ファイアウォールルールの回避: これらのルールは許可リストを上書きし、Sophos Agent の正常な動作を妨げる可能性があります。たとえば、米国外リージョンをブロックすると、Amazon Web Services (AWS) 上でホストされているため、ヨーロッパリージョン経由のサービスが妨げられる場合があります。AWSは非固定IPアドレスを使用します。詳細は AWS IPアドレス範囲 およびAmazon IPアドレスをご参照ください。
- ワイルドカードの使用: ファイアウォールやプロキシがワイルドカードをサポートしている場合、設定が簡素化されます。サポートしていない場合、一部の機能が利用できなくなる可能性があります。
ポート🔗
- 次のポートを許可してください: 443 (HTTPS)
ドメイン🔗
Sophos Central Admin ドメイン🔗
以下のSophosドメインを許可してください:
central.sophos.comcloud-assets.sophos.comsophos.comdownloads.sophos.com
プロキシやファイアウォールがワイルドカードをサポートしている場合、*.sophos.com のワイルドカードを使用してこれらのアドレスをカバーできます。
非Sophosアドレス🔗
以下の非Sophosアドレスを許可してください:
az416426.vo.msecnd.netdc.services.visualstudio.com
Sophos ドメイン🔗
許可が必要なドメインは、ファイアウォールやプロキシがワイルドカードをサポートしているかどうかによって異なります。
該当するタブをクリックして詳細を確認してください。
以下のワイルドカードを許可してSophosドメインをカバーしてください:
*.sophos.com*.sophosxl.com*.sophosxl.net*.sophosupd.com*.sophosupd.net*.hitmanpro.com
ファイアウォールが既に許可していない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
*.globalsign.com*.globalsign.net*.digicert.com
以下のワイルドカードを許可してSophosドメインをカバーしてください:
^sophos\.com/^[A-Za-z0-9.-]*\.sophos\.com.?/^[A-Za-z0-9.-]*\.sophosxl\.com.?/^[A-Za-z0-9.-]*\.sophosxl\.net.?/^[A-Za-z0-9.-]*\.sophosupd\.com.?/^[A-Za-z0-9.-]*\.sophosupd\.net.?/^[A-Za-z0-9.-]*\.hitmanpro\.com.?/
ファイアウォールが既に許可していない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
^[A-Za-z0-9.-]*\.globalsign\.com.?/^[A-Za-z0-9.-]*\.globalsign\.net.?/^[A-Za-z0-9.-]*\.digicert\.com.?/
プロキシやファイアウォールがワイルドカードをサポートしていない場合、必要なドメインを正確に手動で追加する必要があります。
以下のSophosドメインを許可してください:
central.sophos.comcloud-assets.sophos.comsophos.comdownloads.sophos.com
Sophos管理通信システムおよびデバイスインストーラーがSophos Central Adminと安全に通信するために使用するサーバーアドレスを特定する必要があります。お使いのデバイスのオペレーティングシステムに該当するタブをクリックし、手順に従ってこれらのアドレスを特定し、許可してください。
Windowsデバイスの場合、以下の手順を実施してください:
SophosCloudInstaller.logを開きます。C:\ProgramData\Sophos\CloudInstaller\Logsにあります。-
Opening connection toで始まる行を探します。少なくとも2つのエントリがあります。最初のエントリは以下のいずれかのようになります:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs.stn100yul.ctr.sophos.commcs2.stn100yul.ctr.sophos.com
2つ目のエントリは以下のいずれかのようになります:
dzr-api-amzn-eu-west-1-9af7.api-upe.p.hmr.sophos.comapi-cloudstation-us-east-2.prod.hydra.sophos.comapi.stn100yul.ctr.sophos.com
両方のドメインをルールに追加してください。
-
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-auto-upload.sophosupd.comsdu-feedback.sophos.comsophosxl.net4.sophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.comalert.hitmanpro.comssp.sophos.comsdu-auto-upload.sophosupd.comrca-upload-cloudstation-us-west-2.prod.hydra.sophos.comrca-upload-cloudstation-us-east-2.prod.hydra.sophos.comrca-upload-cloudstation-eu-west-1.prod.hydra.sophos.comrca-upload-cloudstation-eu-central-1.prod.hydra.sophos.comrca-upload.stn100bom.ctr.sophos.comrca-upload.stn100yul.ctr.sophos.comrca-upload.stn100hnd.ctr.sophos.comrca-upload.stn100gru.ctr.sophos.comrca-upload.stn100syd.ctr.sophos.com
-
Sophos管理通信システムに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.commcs-push-server-eu-west-1.prod.hydra.sophos.commcs-push-server-eu-central-1.prod.hydra.sophos.commcs-push-server-us-west-2.prod.hydra.sophos.commcs-push-server-us-east-2.prod.hydra.sophos.commcs-push-server.stn100yul.ctr.sophos.commcs-push-server.stn100syd.ctr.sophos.commcs-push-server.stn100hnd.ctr.sophos.commcs-push-server.stn100gru.ctr.sophos.commcs-push-server.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.comanalysis.sophos.com
-
ライセンスにXDRまたはMDRが含まれている場合は、以下のドメインも追加してください:
live-terminal-eu-west-1.prod.hydra.sophos.comlive-terminal-eu-central-1.prod.hydra.sophos.comlive-terminal-us-west-2.prod.hydra.sophos.comlive-terminal-us-east-2.prod.hydra.sophos.comlive-terminal.stn100yul.ctr.sophos.comlive-terminal.stn100syd.ctr.sophos.comlive-terminal.stn100hnd.ctr.sophos.comlive-terminal.stn100gru.ctr.sophos.comlive-terminal.stn100bom.ctr.sophos.com
-
ファイアウォールが既に許可していない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
macOSデバイスの場合、以下の手順を実施してください:
- SophosInstall.zip をダウンロードして展開します。インストール前の準備 を参照してください。
SophosCloudConfig.plistを開きます。SophosInstall/Sophos Installer Componentsディレクトリにあります。RegistrationServerURLキーを探します。その後に続く文字列にURLが含まれています。このドメインをルールに追加してください。-
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-auto-upload.sophosupd.comsdu-feedback.sophos.comsophosxl.net4.sophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.comamazonaws.comssp.sophos.comsdu-auto-upload.sophosupd.comrca-upload-cloudstation-us-west-2.prod.hydra.sophos.comrca-upload-cloudstation-us-east-2.prod.hydra.sophos.comrca-upload-cloudstation-eu-west-1.prod.hydra.sophos.comrca-upload-cloudstation-eu-central-1.prod.hydra.sophos.comrca-upload.stn100bom.ctr.sophos.comrca-upload.stn100yul.ctr.sophos.comrca-upload.stn100hnd.ctr.sophos.comrca-upload.stn100gru.ctr.sophos.comrca-upload.stn100syd.ctr.sophos.com
-
Sophos管理通信システムに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.com
-
ファイアウォールが既に許可していない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
Linuxデバイスの場合、以下の手順を実施してください:
- デバイス上で
SophosSetup.shを探します。 -
以下のコマンドを実行してインストーラーを起動し、出力を表示します。
-
以下の行を探します:
+ CLOUD_URL=https://で始まる行+ MCS_URL=https://で始まる行
両方の行からドメインをルールに追加してください。
-
以下のアドレスを追加してください:
t1.sophosupd.comsus.sophosupd.comsdds3.sophosupd.comsdds3.sophosupd.netsdu-feedback.sophos.comsophosxl.net4.sophosxl.netsamples.sophosxl.netcloud.sophos.comid.sophos.comcentral.sophos.comdownloads.sophos.com
-
Sophos管理通信システムに必要なドメインを追加してください:
dzr-mcs-amzn-eu-west-1-9af7.upe.p.hmr.sophos.comdzr-mcs-amzn-us-west-2-fa88.upe.p.hmr.sophos.commcs-cloudstation-eu-central-1.prod.hydra.sophos.commcs-cloudstation-eu-west-1.prod.hydra.sophos.commcs-cloudstation-us-east-2.prod.hydra.sophos.commcs-cloudstation-us-west-2.prod.hydra.sophos.commcs2-cloudstation-eu-west-1.prod.hydra.sophos.commcs2-cloudstation-eu-central-1.prod.hydra.sophos.commcs2-cloudstation-us-east-2.prod.hydra.sophos.commcs2-cloudstation-us-west-2.prod.hydra.sophos.commcs.stn100syd.ctr.sophos.commcs.stn100yul.ctr.sophos.commcs.stn100hnd.ctr.sophos.commcs2.stn100syd.ctr.sophos.commcs2.stn100yul.ctr.sophos.commcs2.stn100hnd.ctr.sophos.commcs.stn100gru.ctr.sophos.commcs2.stn100gru.ctr.sophos.commcs.stn100bom.ctr.sophos.commcs2.stn100bom.ctr.sophos.commcs-push-server-eu-west-1.prod.hydra.sophos.commcs-push-server-eu-central-1.prod.hydra.sophos.commcs-push-server-us-west-2.prod.hydra.sophos.commcs-push-server-us-east-2.prod.hydra.sophos.commcs-push-server.stn100yul.ctr.sophos.commcs-push-server.stn100syd.ctr.sophos.commcs-push-server.stn100hnd.ctr.sophos.commcs-push-server.stn100gru.ctr.sophos.commcs-push-server.stn100bom.ctr.sophos.com
-
SophosLabs Intelixサービスに必要なドメインを追加してください:
us.analysis.sophos.comapac.analysis.sophos.comau.analysis.sophos.comeu.analysis.sophos.com
-
ライセンスにXDR または Taegis MDR が含まれている場合は、以下のドメインも追加してください:
live-terminal-eu-west-1.prod.hydra.sophos.comlive-terminal-eu-central-1.prod.hydra.sophos.comlive-terminal-us-west-2.prod.hydra.sophos.comlive-terminal-us-east-2.prod.hydra.sophos.comlive-terminal.stn100yul.ctr.sophos.comlive-terminal.stn100syd.ctr.sophos.comlive-terminal.stn100hnd.ctr.sophos.comlive-terminal.stn100gru.ctr.sophos.comlive-terminal.stn100bom.ctr.sophos.com
-
ファイアウォールが既に許可していない場合は、以下の認証局サイトへのアクセスも許可する必要があります:
ocsp.globalsign.comocsp2.globalsign.comcrl.globalsign.comcrl.globalsign.netocsp.digicert.comcrl3.digicert.comcrl4.digicert.com
注意
一部のファイアウォールやプロキシでは、*.amazonaws.com アドレスで逆引きが表示される場合があります。これは、複数のサーバーをAmazon AWS上でホストしているため想定される動作です。これらのURLもファイアウォールやプロキシに追加してください。
プロキシ設定🔗
Sophos Agent を Sophos Central に接続したり、Sophosのアップデートをプロキシサーバー経由でダウンロードしたりするように設定できます。このセクションでは、Sophos Central でのプロキシ設定方法を説明します。
必要に応じて、各デバイスで直接プロキシ設定を行うこともできます。詳細は デバイスをプロキシサーバー設定で利用する方法 をご参照ください。
プロキシの設定🔗
これらの手順により、コンピュータとサーバーの両方でプロキシサーバーを利用できます。
- My Products → General Settings → Proxy Configuration を選択します。
- Proxy Configuration ページで Proxy Configuration をオンにします。
-
プロキシ設定を入力します:
- Hostname 例:
proxy.example.net - Port 例:
8080 - プロキシの Username および Password
- Hostname 例:
-
Save を選択します。
注意
セキュリティ上の理由から、パスワードの復元はできません。Save を選択すると、既存のパスワードが上書きされる場合があります。
デバイスの接続方法🔗
Sophos Agent デバイスは、最初に見つけた動作する設定を使ってインターネットに接続します。デバイスは以下の順序で接続を試みます:
- Sophos Central の Message Relay を使用
- ここで説明したプロキシ設定を使用
- デフォルトのシステムプロキシを使用
- 自動検出されたプロキシ(WPAD)を使用
- プロキシを使用せずに接続
エンドポイントソフトウェアの管理🔗
Sophos Central から直接 Sophos Agent のインストールを管理できます。この機能により、必要に応じて Sophos Agent Detection Only から Sophos Endpoint Agent へ簡単にアップグレードし、高度な予防的コントロールを追加できます。必要に応じて、Sophos Endpoint Agent から Sophos Agent Detection Only へダウングレードすることも可能です。
これらのアクションは、コンピュータとサーバーの両方に適用できます。
- My Products → Endpoint → Computers に移動します。
- チェックボックスを使って個別のコンピュータを選択するか、全選択チェックボックスで全コンピュータを管理します。
- Manage Endpoint Software をクリックして設定モーダルを開きます。
モーダル内で Agent Mode を使用して、選択したエージェントを別のソフトウェアモードに切り替えたり、エージェントをリモートでアンインストールしたりできます。
また、Encryption オプションを使用して選択したエンドポイントに暗号化を強制することもできます。
- My Products → Endpoint → Servers に移動します。
- チェックボックスを使って個別のサーバーを選択するか、全選択チェックボックスで全サーバーを管理します。
- Manage Endpoint Software をクリックして設定モーダルを開きます。
モーダル内で Agent Mode を使用して、選択したエージェントを別のソフトウェアモードに切り替えたり、エージェントをリモートでアンインストールしたりできます。
注意
サーバーではEncryptionオプションは利用できません。