コンテンツにスキップ

Sophos Endpoint Agent の隔離除外🔗

Sophos Endpoint Agent の隔離は、侵害されたデバイスのネットワーク通信を制限することで保護します。特定の状況では、リモートトラブルシューティングやクリーンアップツールのダウンロードなど、修復のために限定的かつ認可された通信を許可する必要がある場合があります。本ドキュメントでは、これらのシナリオに対して隔離除外を設定するための Sophos Central でのコントロールへのアクセス方法について説明します。

Secureworks® Taegis™ XDR での隔離およびリストアアクションの設定方法については、ナレッジベース記事 How To: Configure Taegis Actions - Isolate Host を参照してください。

用語🔗

用語 定義
隔離デバイス 検知された侵害によりネットワーク通信が制限されたデバイス
除外 隔離デバイスに対して特定の限定的なネットワーク通信を許可するルール
ローカルポート 隔離デバイス上のネットワークポート
リモートポート リモートデバイスまたはサービス上のネットワークポート
リモートアドレス 通信を許可するリモートデバイスまたはサービスのIPアドレスまたはホスト名

隔離除外の設定🔗

お客様のXDRテナント内のさまざまなリンクからSophos Centralにアクセスできます。最も簡単な方法は、Taegisメニューからエンドポイントエージェントサマリーに移動し、ページタイトルの横にあるSophos Centralリンクを選択することです。

エンドポイントエージェントのサマリーからSophos Centralを開く

  1. Sophos Central で、My Products > General Settings に移動します。
  2. General Settings ページの General カテゴリで、Global Exclusions を選択します。
  3. Global Exclusions ページで、Add Exclusion を選択し、新しい除外ルールを定義します。

Add Exclusion Rule

  1. Exclusion Type のドロップダウンから Device Isolation (Windows/Mac/Linux) を選択します。

Selecting Isolation Rule

除外を作成することで、隔離デバイスが特定のデバイスやサービスと通信できるようにすることができます。除外は以下の通信方向で設定可能です:

  • インバウンド接続: 指定したリモートデバイスから隔離デバイスへの接続を許可します。
  • アウトバウンド接続: 隔離デバイスから指定したリモートデバイスやサービスへの接続を許可します。
  • 両方向: 必要に応じて両方向の通信を許可します。

通信を制限するために、以下の設定を使用してください:

  • ローカルポート: 隔離デバイス上でこのポートを任意のデバイスが使用できます。
  • リモートポート: 隔離デバイスが任意のデバイスでこのポートを使用できます。
  • リモートアドレス: 隔離デバイスはこのIPアドレスのデバイスとだけ通信できます。

よくあるシナリオ🔗

インバウンドのリモートデスクトップまたはSSHアクセスの有効化🔗

トラブルシューティングや調査のために、隔離デバイスへリモートでアクセスする必要がある場合があります。リモートデスクトップ(RDP)やSSHアクセスを許可するには、以下の手順に従ってください:

  1. DirectionInbound Connection を選択します。

  2. Local Port に、リモートアクセスツールで必要なポート番号を入力します。

    • RDPアクセス(Windowsデバイス)の場合は、ポート 3389 を入力します。
    • SSHアクセス(Linuxデバイス)の場合は、ポート 22 を入力します。

    Inbound Rule Configuration

注意

信頼できるデバイスからのみ接続を許可してください。必要に応じて Remote Address 設定で送信元IPアドレスを指定してください。

隔離デバイスからのクリーンアップツールダウンロードの許可(アウトバウンド)🔗

隔離デバイスが修復やクリーンアップツールをダウンロードするためにセキュアサーバーへ接続する必要がある場合、以下の手順で有効化します:

  1. DirectionOutbound Connection を選択します。

  2. Remote Address に、許可するサーバーのIPアドレスまたはホスト名を入力します。

    デバイスが 10.10.10.10 のクリーンアップサーバーからツールをダウンロードできるようにするには、Remote Address10.10.10.10 を入力します。

  3. (任意)Remote Port で、リモートサービスへのアクセスに関連するポートを定義します。

ベストプラクティス🔗

  • 除外は修復に必要なポートやアドレスのみに必ず制限してください。
  • 可能な限り Local PortRemote Address の両方を指定し、露出を最小限にしてください。
  • 修復が完了したら除外を削除し、完全な隔離状態に戻してください。