Hier sind stichpunktartig einige Hinweise aufgelistet, die Ihnen den Einstieg im Umgang mit dem Sophos-Mandanten erleichtern sollen. Eine tiefgehende Beratung oder Schulung kann vom RHRZ leider nicht geleistet werden.

Das Einrichten Ihres Admin-Accounts erfordert einmalig mehrfache Bestätigungen von Ihnen. Das Login im Sophos Backend nutzt eine 2-Faktor-Authentifizierung. Hierfür wird empfohlen eine App zu nutzen, die TOTP (Time-based One-time Passwords) unterstützt, z.B. Authy oder Google/Microsoft Autenticator.

Über Help rechts oben im Backend erhalten Sie ausführliche Informationen zu den Funktionen des Backends bei Sophos.

Bei eingeschalteter Tamper Protection kann der Sophos Client vom Nutzer nicht deinstalliert werden. Die Tamper Protection kann unter "Global Settings" für alle Clients oder unter "Devices" pro Gerät aktiviert oder deaktiviert werden.

Im Sophos Client hat der Nutzer die Möglichkeit Sophos bzw. einzelne Funktionen von Sophos für bis zu vier Stunden zu deaktiveren. Wenn die Tamper Protection aktiviert ist, dann ist dafür die Eingabe eines Passwortes notwendig. Dieses muss pro Gerät abgerufen werden ("Devices" -> Gerät anwählen -> "View Password Details"). Das Passwort kann per Klick erneuert werden (Das neue Passwort wird nach ~ 1 Minute aktiv). Vorherige Passwörter sind im Backend aufgelistet. 

Viele Konfigurationsmöglichkeiten werden vom RHRZ über ein Template vorgegeben und können innerhalb eines Mandanten nicht geändert werden. Das Vorhängeschloss-Symbol markiert vorgegebene Konfigurationen. Das Template enthält weitgehend die von Sophos empfohlende Konfiguration, lediglich die Funktion "Web-Control" wurde deaktiviert.

Das Template hat leider eine vorgegebene Granularität, so dass es nicht möglich ist weniger Vorgaben zu machen. Falls Sie für Ihren Bereich Zugriff auf vordefinierte Konfigurationen benötigen, dann ist dies nach Absprache möglich.

E-Mail Alerts: Sie können via E-Mail Warnmeldung von Sophos erhalten. Dies konfigurieren Sie unter "General Settings" (Zahnrad oben rechts) -> "Configure email alerts". 

Als "Alert" meldet Sophos i.d.R. nur Dinge, die Ihr Eingreifen als Administrator erfordert. Schauen Sie am besten auch regelmäßig unter "Logs & Reports" -> "Events" nach, welche weiteren Meldungen es gibt, z.B. ob bestimmte Meldungen sehr häufig vorkommen.

Es ist nicht auszuschließen, dass es bei der Erkennung von schädlichem Verhalten zu False-Postives kommt. In diesem Fall können wir Ausnahmen konfigurieren. Bitte melden Sie sich in diesem Fall per Ticket-System. 

Die nachfolgende Anleitung setzt voraus, dass für Ihren Bereich bereits ein Mandant bei Sophos für die Nutzung von InterceptX eingerichtet wurde. Zusätzlich richtet sich diese Anleitung an Administratoren, welche SCCM für die Verwaltung ihrer Clients zum Einsatz bringen. Die Verfügbarkeit von des RHRZ SCCMs in Ihrem Bereich wird demnach ebenfalls vorausgesetzt. Das Deployment von Sophos InterceptX per SCCM kann mit Hilfe des Sophos InterceptX – Pakets aus dem zentralen Softwarekatalog des SCCM erfolgen. Zuvor wird jedoch einmalig eine Konfiguration des Installationsvorgangs in der SCCM Konsole benötigt. Das CustomerToken und die MCSCustomerID Ihres Mandanten bei Sophos müssen mit Hilfe von Collection Variablen über SCCM an Ihren verwalteten Clients bekanntgegeben werden. Auf diese Weise können die Clients bei der Installation von Sophos InterceptX Ihrem Sophos Mandanten zugewiesen werden. Bitte beachten Sie, dass Sophos InterceptX als Betriebssystem Windows 10 21h2 (2109) bzw. Windows 11 21h2 oder höher erfordert.