Informationen für Administratoren eines Sophos Mandaten

Hier sind stichpunktartig einige Hinweise aufgelistet, die Ihnen den Einstieg im Umgang mit dem Sophos-Mandanten erleichtern sollen. Eine tiefgehende Beratung oder Schulung kann vom RHRZ leider nicht geleistet werden.

Das Einrichten Ihres Admin-Accounts erfordert einmalig mehrfache Bestätigungen von Ihnen. Das Login im Sophos Backend nutzt eine 2-Faktor-Authentifizierung. Hierfür wird empfohlen eine App zu nutzen, die TOTP (Time-based One-time Passwords) unterstützt, z.B. Authy oder Google/Microsoft Autenticator.

Über Help rechts oben im Backend erhalten Sie ausführliche Informationen zu den Funktionen des Backends bei Sophos.

Software Download

Im Menu "Devices -> Installers" können Sie die für Ihren Mandanten angepasste Software für Clients und Server herunterladen. Der Sophos Client registriert sich automatisch in Ihrem Mandanten. Alle Detail-Informationen der Clients werden nur innerhalb Ihres Mandanten angezeigt. An übergeordneter Stelle sind lediglich die Anzahl verbrauchter Lizenzen und die Anzahl der Warnmeldungen zu sehen.

Für den Download wählen Sie bitte "Choose Components", dann wählen Sie im folgenden Fenster nur die Option "Sophos Intercept X Advanced" aus. Weitere Komponenten sind nicht lizensiert und brauchen daher nicht installiert werden. (Falls Sie den "Complete .. Installer" verwendet haben oder nicht lizensierte Komponenten installiert haben, dann ist dies unproblamtisch, solange Sie die zusätzlichen Funktionen nicht aktivieren).

Nach der Installation des Sophos Clients sind die Schutzfunktionen auf dem jeweiligen Gerät aktiv. Weitere Einstellungen sind nicht zwingend notwendig.

Sophos für Linux wird als Software für Server aufgelistet. Diese Version kann jedoch auch auf Linux-Desktops verwendet werden. Im Backend erscheinen die Linux-Desktops jedoch in der Liste der Server. Die Zuordnung eines Gerätes zur Liste der Slients und Server spielt erst dann eine Rolle, wenn unterschiedliche Regeln für Clients und Server definiert werden.

Übersicht der Sophos Installationen

Im Menu "Devices" werden alle Geräte aufgelistet, die Ihrem Mandant zugeordnet sind. Sie können zu jedem Gerät detailierte Informationen abrufen.  

Bitte wählen Sie hier NICHT das "+" in den Spalten Encryption oder ZTNA aus, da Sie damit zusätzliche nicht lizensierte Funktionen aktivieren - sofern diese installiert wurden.

 

Übersicht und Auswertung eines Vorfalls

In den Menus "Dashboard" und "Alerts" finden Sie eine zusammengefasste bzw. ausführlichere Übersicht aller nicht behobenen Warnungen. Potentiell schädliche Ereignisse, die Sophos unterbinden konnte, werden hier nicht gelistet. Diese finden Sie unter "Logs & Reports" -> "Events" oder in den Detail-Informationen zu dem jeweiligen Endgerät.

Im "Thread Analysis Center" können Sie detailierte Informationen zu (potentiell) schädlichen Ergeignissen bekommen. Dazu gehört: Ausgangspunkt einer Bedrohnung (blauer Punkt) und ggf. erkannte Schadsoftware (roter Punkt), beteiligte oder ggf. betroffene Prozesse, Libraries, Dateien, Netzwerkverbindungen, RegistryKeys (Windows), ...  

In dem Beispiel unten wurde lediglich ´curl malware.wicar.org´ in der Powershell ausgeführt, also eine URL aufgerufen unter der "Demo Malware" geladen werden kann. Die Netzwerkverbindung wurde von Sophos unterbrochen und der Prozess gestoppt. Der Nutzer erhielt eine Warnmeldung. In der Analyse können die - in diesem Fall alle harmlosen - Aktivitäten der Powershell nachvollzogen werden (Die Dateien und Registry-Keys können aufgelistet werden und detailierte Informationen über ausführbare Dateien abgerufen werden).

Ausführlicheres Beispiel bei Sophos: https://support.sophos.com/support/s/article/KB-000036359 
(die Screenshots zeigen eine ältere Version des Interfaces)

Tamper Protection und Passwort für Sophos Client

Bei eingeschalteter Tamper Protection kann der Sophos Client vom Nutzer nicht deinstalliert werden. Die Tamper Protection kann unter "Global Settings" für alle Clients oder unter "Devices" pro Gerät aktiviert oder deaktiviert werden.

Im Sophos Client hat der Nutzer die Möglichkeit Sophos bzw. einzelne Funktionen von Sophos für bis zu vier Stunden zu deaktiveren. Wenn die Tamper Protection aktiviert ist, dann ist dafür die Eingabe eines Passwortes notwendig. Dieses muss pro Gerät abgerufen werden ("Devices" -> Gerät anwählen -> "View Password Details"). Das Passwort kann per Klick erneuert werden (Das neue Passwort wird nach ~ 1 Minute aktiv). Vorherige Passwörter sind im Backend aufgelistet. 

Vordefinierte Konfiguration

Viele Konfigurationsmöglichkeiten werden vom RHRZ über ein Template vorgegeben und können innerhalb eines Mandanten nicht geändert werden. Das Vorhängeschloss-Symbol markiert vorgegebene Konfigurationen. Das Template enthält weitgehend die von Sophos empfohlende Konfiguration, lediglich die Funktion "Web-Control" wurde deaktiviert.

Das Template hat leider eine vorgegebene Granularität, so dass es nicht möglich ist weniger Vorgaben zu machen. Falls Sie für Ihren Bereich Zugriff auf vordefinierte Konfigurationen benötigen, dann ist dies nach Absprache möglich.

Empfehlung

E-Mail Alerts: Sie können via E-Mail Warnmeldung von Sophos erhalten. Dies konfigurieren Sie unter "General Settings" (Zahnrad oben rechts) -> "Configure email alerts". 

Als "Alert" meldet Sophos i.d.R. nur Dinge, die Ihr Eingreifen als Administrator erfordert. Schauen Sie am besten auch regelmäßig unter "Logs & Reports" -> "Events" nach, welche weiteren Meldungen es gibt, z.B. ob bestimmte Meldungen sehr häufig vorkommen.

Es ist nicht auszuschließen, dass es bei der Erkennung von schädlichem Verhalten zu False-Postives kommt. In diesem Fall können wir Ausnahmen konfigurieren. Bitte melden Sie sich in diesem Fall per Ticket-System. 

 

 

 

Installation von Sophos InterceptX mit SCCM

Die nachfolgende Anleitung setzt voraus, dass für Ihren Bereich bereits ein Mandant bei Sophos für die Nutzung von InterceptX eingerichtet wurde. Zusätzlich richtet sich diese Anleitung an Administratoren, welche SCCM für die Verwaltung ihrer Clients zum Einsatz bringen. Die Verfügbarkeit von des RHRZ SCCMs in Ihrem Bereich wird demnach ebenfalls vorausgesetzt. Das Deployment von Sophos InterceptX per SCCM kann mit Hilfe des Sophos InterceptX – Pakets aus dem zentralen Softwarekatalog des SCCM erfolgen. Zuvor wird jedoch einmalig eine Konfiguration des Installationsvorgangs in der SCCM Konsole benötigt. Das CustomerToken und die MCSCustomerID Ihres Mandanten bei Sophos müssen mit Hilfe von Collection Variablen über SCCM an Ihren verwalteten Clients bekanntgegeben werden. Auf diese Weise können die Clients bei der Installation von Sophos InterceptX Ihrem Sophos Mandanten zugewiesen werden. Bitte beachten Sie, dass Sophos InterceptX als Betriebssystem Windows 10 21h2 (2109) bzw. Windows 11 21h2 oder höher erfordert.