Architecture réseau et ports

Document created by RSA Information Design and Development on Feb 3, 2017Last modified by David O'Malley on May 11, 2017
Version 2Show Document
  • View in full screen mode
  

Reportez-vous au schéma et au tableau des ports suivants pour veiller à ce que tous les ports concernés soient ouverts et que les composants de votre déploiement Security Analytics puissent communiquer les uns avec les autres.

Architecture réseau de Security Analytics

Le schéma suivant illustre l'architecture réseau de Security Analytics avec des ports utilisés pour les communications dans Security Analytics 10.6.

Remarque : Les hôtes de base Security Analytics doivent être en mesure de communiquer avec le serveur Security Analytics (serveur primaire dans un déploiement sur plusieurs serveurs) via le port UDP 123 pour la synchronisation Network Time Protocol (NTP).

 

 

Ports de service et hôtes de Security Analytics

Dans les versions antérieures à Security Analytics 10.4, un administrateur était en mesure d'utiliser le protocole natif pour les communications non-SSL rapides comme l'agrégation et l'API REST pour SSL entre Security Analytics et les hôtes. Toutes les communications de Security Analytics se font sur les ports Security Analytics Core natifs, plutôt que sur les ports de l'API REST. De ce fait, un second port Security Analytics Core natif par service hôte a été ajouté pour que les administrateurs puissent activer les communications réseau SSL tout en utilisant des méthodes de connectivité non sécurisées (HTTP et Security Analytics Core (natif)) pour la communication entre les services sur le même système. Les administrateurs peuvent activer ou désactiver les ports pour prendre en charge uniquement le protocole SSL, uniquement les protocoles non SSL, ou les deux.

Le tableau suivant dresse la liste des hôtes de Security Analytics et leurs ports de service respectifs :

                                                                                                                                                                                                                                                                     

À partir de l'hôte

Vers l'hôte

Vers les ports (Protocole)

Commentaires

N’importe quel hôte

Serveur Security Analytics

80 (TCP)

Yum/HTTP :

Tous les hôtes SA reçoivent des mises à jour du package RPM à partir du référentiel Yum situé sur le serveur Security Analytics via HTTP.  Il s’agit d’une communication bidirectionnelle entre n’importe quel hôte et le serveur Security Analytics.

N’importe quel hôte

Serveur Security Analytics

8140 (TCP)

Puppet-master.HTTPS:

Toutes les communications entre n’importe quel hôte et le serveur Security Analytics (Puppet Master) se font via HTTPS.

N’importe quel hôte

Serveur Security Analytics

61614 (STOMP/TCP)

rabbitmq-server(Mcollective/STOMP) :

Toutes les communications entre un hôte et le serveur Security Analytics (rabbitmq-server) s'effectuent via Mcollective/STOMP.

Sécurité
Analytique
Serveur
N’importe quel hôte5671 (AMQPS/TCP)

rabbitmq-server(RabbitMQ/AMQPS) :

Toutes les communications à partir du serveur Security Analytics (rabbitmq-server) vers n'importe quel hôte se font via RabbitMQ/AMQPS.

Remarque : Port 5671 a doit être ouvert les deux sens entre le serveur SA et les autres hôtes, les mises à jour de version.

Serveur Security Analytics

Log Decoder

56002 (SSL / TCP)

50002 (non SSL/TCP)
50102 (REST / TCP) - pour Security Analytics 10.3 et versions antérieures uniquement

Serveur Security Analytics

Broker

56003 (SSL/TCP)

50003 (non SSL/TCP)
50103 (REST / TCP) - pour Security Analytics 10.3 et versions antérieures uniquement

Serveur Security Analytics

Concentrator

56005 (SSL/TCP)

50007 (non SSL/TCP)
50105 (REST / TCP) - pour Security Analytics 10.3 et versions antérieures uniquement

Serveur Security Analytics

Packet Decoder

Service : 56004 (SSL / TCP)

50004 (non SSL/TCP)
50104 (REST/TCP)

Serveur Security Analytics

Log Collector (local, distant et and Windows d'ancienne génération)

56001 (SSL/TCP)

50001 (non SSL/TCP)
50101 (REST / TCP) - pour Security Analytics 10.3 et versions antérieures uniquement

Serveur Security Analytics

Archiver

56008 (SSL/TCP)

50008 (non SSL/TCP)
50108 (REST/TCP)

Serveur Security Analytics

ESA

50030 (SSL/TCP)

27017 (SSL / TCP) (par défaut)

27017 ne concerne qu'un seul hôte ESA.

Serveur Security Analytics

ESA - Context Hub50022 (SSL/TCP) 

Serveur Security Analytics

Malware (Malware situé sur le serveur Security Analytics)

60007 (TCP)

 

Serveur Security Analytics

Reporting Engine (rsa-re sur le serveur Security Analytics)

51113 (SSL/TCP)

 

Serveur Security Analytics

Incident Management (rsa-im sur le serveur Security Analytics)

50040 (TCP)

 

Serveur Security Analytics (IPDB Extractor)

enVision IPDB

135,138,139,445 (
TCP/UDP)


 

Serveur Security Analytics

IPDB Extractor

56025 (SSL/TCP)

50025 (non SSL/TCP)
50125 (REST/TCP)

Serveur Security Analytics

Warehouse Connector (sur Packet Decoder/Log Decoder)

56020. SSL
 

50020 (non SSL)
50120 (REST)

Serveur Security Analytics

ECAT

443 (TCP)

 

Serveur Security Analytics

Service hôte (Log Decoder, Packet Decoder, Concentrator, Broker, Warehouse Connector, Archiver)

56006 (SSL/TCP)

50006 (non SSL/TCP)
50106 (REST / TCP) - pour Security Analytics 10.3 et versions antérieures uniquement

Serveur Security Analytics

Workbench (Archiver)

56007 (SSL/TCP)

50007 (non SSL/TCP)
50107 (REST/TCP)

Serveur Security Analytics

Récepteur Syslog de log d'audit

II peut s'agir d'un récepteur Syslog ou d'un Log  Decoder

514 (TCP/UDP)

Obligatoire uniquement si les logs d'audit SA sont envoyés à un récepteur Log Decoder/Syslog tiers pour analyse.

Concentrator

Packet Decoder

56004

 

Concentrator

Log Decoder

56002

 

Broker

Concentrator

56005

 

Broker

Archiver

56008

 

Archiver

Log Decoder

56002

 

ESA 

Concentrator

56005

 

ESA

RSA LIVE
Serveur Whois

443

 

Malware

Broker

56003

 

Warehouse Connector

Warehouse

NFS (2049,111),
SFTP (TCP22)
WebHDFS (50070)

 

En mode Pull :

Log Collector (sur Log Decoder)

Virtual Log Collector

Windows Legacy Collector

5671 (TCP)

:

En mode Push :

Virtual Log Collector

Windows Legacy Collector

Log Collector (sur Log Decoder)

5671 (TCP)

 

enVision collecteur Local

Collecteur distant (machine virtuelle)

514 (TCP)

 

enVision collecteur Local

Log Decoder

514 (TCP)

 

ECAT

Log Decoder

514 (TCP/UDP)

 

ECAT

Serveur Security Analytics

5671 (TCP)

Les alertes ECAT sont envoyées à SAIM sur ce port.

Serveur Security Analytics (alertes RE, ESA  et Business Context Live Feeds)

Archer SecOps 1.3

Serveur Security Analytics vers UCF: syslog 1514 (TCP)/ 514 UDP/ 1515 STCP

UCF vers Archer Sec Ops : 80/ 443

Serveur Security Analytics vers UCF:9090 HTTP / 8443 HTTPS (Business context live feeds)

.

Serveur Security Analytics

(Alertes messagerie instantanée)

Archer SecOps 1.2/1.3

Service d'intégration SAIM sur un serveur Security Analytics : 5671

Service d’intégration SAIM vers Archer Sec Ops : 80/ 443

Le service d’intégration SAIM est présent sur UCF et s’intègre avec SecOps 1.3 et 1.2. 

Navigateur Web Security Analytics

Interface utilisateur du serveur Security Analytics

443 (HTTPS)

 

 Externe

Tous les hôtes

22 (TCP)

SSH fournit un accès au shell sur le périphérique, pour la gestion des hôtes d’urgence. Sur les hôtes avec le LogCollector installé, SSH fournit la prise en charge SFTP et SCP pour les périphériques qui téléchargent des fichiers log pour l'utilisation par Security Analytics.

Remarque : Lorsque vous effectuez une mise à jour vers une nouvelle version, ouvrez les ports de pare-feu 8140 et 61614 de tous les hôtes non liés au serveur Security Analytics sur le serveur Security Analytics afin qu'il puisse découvrir tous vos hôtes et services non liés au serveur Security Analytics.

You are here

Table of Contents > Architecture réseau et ports

Attachments

    Outcomes