コンテンツにスキップ

Sophos Endpoint Agent の隔離除外🔗

Sophos Endpoint Agent の隔離は、侵害されたデバイスのネットワーク通信を制限することで保護します。特定の状況では、リモートトラブルシューティングやクリーンアップツールのダウンロードなど、復旧のために限定的かつ認可された通信を許可する必要がある場合があります。本ドキュメントでは、これらのシナリオに対して隔離除外を設定するために、Sophos Central でコントロールにアクセスする方法を説明します。

隔離およびリストアアクションの設定方法については、ナレッジベース記事 How To: Configure Taegis Actions - Isolate Host を参照してください。

用語🔗

用語 定義
隔離済みデバイス 検知された侵害によりネットワーク通信が制限されたデバイス
除外 隔離済みデバイスに対して特定の限定的なネットワーク通信を許可するルール
ローカルポート 隔離済みデバイス上のネットワークポート
リモートポート リモートデバイスまたはサービス上のネットワークポート
リモートアドレス 通信を許可するリモートデバイスまたはサービスのIPアドレスまたはホスト名

隔離除外の設定🔗

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェント > サマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。この方法を利用するには、TaegisでアクティブなテナントがSophos Centralのお客様テナントである必要があります。

エンドポイントエージェントのサマリーからSophos Centralを開く

  1. Sophos Central で、My Products > General Settings に移動します。
  2. General Settings ページの General カテゴリで、Global Exclusions を選択します。
  3. Global Exclusions ページで、Add Exclusion を選択し、新しい除外ルールを定義します。

除外ルールの追加

  1. Exclusion Type のドロップダウンから Device Isolation (Windows/Mac/Linux) を選択します。

隔離ルールの選択

除外を作成することで、隔離済みデバイスが特定のデバイスやサービスと通信できるようにすることができます。除外は以下のいずれかで設定できます:

  • インバウンド接続: 指定したリモートデバイスから隔離済みデバイスへの接続を許可します。
  • アウトバウンド接続: 隔離済みデバイスから指定したリモートデバイスやサービスへの接続を許可します。
  • 双方向: 必要に応じて両方向の通信を許可します。

通信を制限するために、以下の設定を使用してください:

  • ローカルポート: 隔離済みデバイス上でこのポートを任意のデバイスが使用できます。
  • リモートポート: 隔離済みデバイスが任意のデバイス上でこのポートを使用できます。
  • リモートアドレス: 隔離済みデバイスはこのIPアドレスのデバイスとだけ通信できます。

よくあるシナリオ🔗

インバウンドのリモートデスクトップまたはSSHアクセスの有効化🔗

トラブルシューティングや調査のために、隔離済みデバイスへリモートでアクセスする必要がある場合があります。リモートデスクトップ(RDP)やSSHアクセスを許可するには、以下の手順に従ってください:

  1. DirectionInbound Connection を選択します。

  2. Local Port に、リモートアクセスツールで必要なポート番号を入力します。

    • RDPアクセス(Windowsデバイス)の場合は、ポート 3389 を入力します。
    • SSHアクセス(Linuxデバイス)の場合は、ポート 22 を入力します。

    インバウンドルールの設定

注意

信頼できるデバイスからのみ接続を許可してください。必要に応じて Remote Address 設定で送信元IPアドレスを指定してください。

隔離済みデバイスからのクリーンアップツールダウンロードの許可🔗

隔離済みデバイスが復旧やクリーンアップツールをダウンロードするために安全なサーバーへ接続する必要がある場合、以下の手順で有効化します:

  1. DirectionOutbound Connection を選択します。

  2. Remote Address に、認可されたサーバーのIPアドレスまたはホスト名を入力します。

    デバイスが 10.10.10.10 のクリーンアップサーバーからツールをダウンロードできるようにするには、Remote Address10.10.10.10 を入力します。

  3. (任意)Remote Port で、リモートサービスへのアクセスに関連するポートを定義します。

ベストプラクティス🔗

  • 除外は復旧に必要なポートやアドレスのみに必ず制限してください。
  • 可能な限り Local PortRemote Address の両方を指定し、露出を最小限に抑えてください。
  • 復旧が完了したら除外を削除し、完全な隔離状態に戻してください。