ネットワーク アーキテクチャとポート

Document created by RSA Information Design and Development on Feb 15, 2017Last modified by David O'Malley on May 11, 2017
Version 2Show Document
  • View in full screen mode
  

次の図とポートの表を参照して、お客様のSecurity Analytics導入環境のコンポーネントが相互に通信できるように、必要なポートをすべて開いてください。

Security Analyticsのネットワーク アーキテクチャ

次の図は、Security Analyticsのネットワーク アーキテクチャとSecurity Analytics 10.6の通信用ポートを示したものです。

注:Security Analyticsコア ホストは、NTP(Network Time Protocol)による時刻の同期のために、UDPポート123を通じてSecurity Analyticsサーバ(複数サーバ導入環境ではプライマリ サーバ)と通信できる必要があります。

 

 

Security Analyticsホストおよびサービス ポート

Security Analytics 10.4より前のバージョンでは、Security Analyticsとホスト間の通信において、集計のような高速な通信では非SSLのネイティブ プロトコルを使用したり、REST API for SSLを使用できました。Security Analyticsからのすべての通信は、REST APIから、ネイティブのSecurity Analytics コア ポートに移行されました。その結果、ホスト サービスごとに第2のネイティブSecurity Analytics コア ポートが追加され、管理者は安全な(SSL)通信を使用できるようになりました。その一方で、同じシステム上のサービス間の通信には、引き続き非SSL(HTTPとSecurity Analyticsコア(ネイティブ))接続を使用できます。管理者は、ポートのオンとオフを切り替えることによって、SSLのみ、非SSLのみ、またはその両方をサポートすることができます。

次の表に、Security Analyticsホストとそのサービス ポートを示します。

                                                                                                                                                                                                                                                                     

From ホスト

To ホスト

To ポート(プロトコル)

説明

任意のホスト

Security Analyticsサーバ

80(TCP)

Yum/HTTP:

すべてのSAホストは、HTTP経由で、Security Analyticsサーバ上のYumリポジトリからRPMパッケージの更新を受信します。  これは、任意のホストからSecurity Analyticsサーバへの双方向通信です。

任意のホスト

Security Analyticsサーバ

8140(TCP)

Puppet-master.HTTPS:

任意のホストからSecurity Analyticsサーバ (Puppet master)へのすべての通信はHTTPS経由です。

任意のホスト

Security Analyticsサーバ

61614(STOMP/TCP)

rabbitmq-server(Mcollective/STOMP):

任意のホストからSecurity Analyticsサーバ(rabbitmq-server)へのすべての通信はMcollective/STOMP経由です。

Security
Analytics
サーバ
任意のホスト5671(AMQPS/TCP)

rabbitmq-server(RabbitMQ/AMQPS):

Security Analyticサーバ(rabbitmq-server)から任意のホストへのすべての通信はRabbitMQ/AMQPS経由です。

注:バージョンの更新のために、SAサーバと他のホスト間で双方向にポート5671を開く必要があります。

Security Analyticsサーバ

Log Decoder

56002(SSL/TCP)

50002(非SSL/TCP)
50102(REST/TCP):Security Analytics 10.3以前のみ

Security Analyticsサーバ

Broker

56003(SSL/TCP)

50003(非SSL/TCP)
50103(REST/TCP):Security Analytics 10.3以前のみ

Security Analyticsサーバ

Concentrator

56005(SSL/TCP)

50005(非SSL/TCP)
50105(REST/TCP):Security Analytics 10.3以前のみ

Security Analyticsサーバ

Packet Decoder

サービス:56004(SSL/TCP)

50004(非SSL/TCP)
50104(REST/TCP)

Security Analyticsサーバ

Log Collector(ローカル、リモート、Windows Legacy)

56001(SSL/TCP)

50001(非SSL/TCP)
50101(REST/TCP):Security Analytics 10.3以前のみ

Security Analyticsサーバ

Archiver

56008(SSL/TCP)

50008(非SSL/TCP)
50108(REST/TCP)

Security Analyticsサーバ

ESA

50030(SSL/TCP)

27017(SSL/TCP)(デフォルト)

27017は1つのESAホストにのみ使用。

Security Analyticsサーバ

ESA - Context Hub50022(SSL/TCP) 

Security Analyticsサーバ

Malware(Security Analyticsサーバ上に共存)

60007(TCP)

 

Security Analyticsサーバ

Reporting Engine(Security Analyticsサーバ上のrsa-re)

51113(SSL/TCP)

 

Security Analyticsサーバ

Incident Management(Security Analyticsサーバ上のrsa-im)

50040(TCP)

 

Security Analyticsサーバ(IPDB Extractor)

enVision IPDB

135、138、139、445(
TCP/UDP)


 

Security Analyticsサーバ

IPDB Extractor

56025(SSL/TCP)

50025(非SSL/TCP)
50125(REST/TCP)

Security Analyticsサーバ

Warehouse Connector(Packet Decoder/Log Decoder上)

56020(SSL)
 

50020(非SSL)
50120(REST)

Security Analyticsサーバ

ECAT

443(TCP)

 

Security Analyticsサーバ

ホスト サービス(Log Decoder、Packet Decoder、Concentrator、Broker、Warehouse Connector、Archiver)

56006(SSL/TCP)

50006(非SSL/TCP)
50106(REST/TCP):Security Analytics 10.3以前のみ

Security Analyticsサーバ

Workbench(Archiver)

56007(SSL/TCP)

50007(非SSL/TCP)
50107(REST/TCP)

Security Analyticsサーバ

監査ログのSyslogレシーバー

サード パーティのSyslogレシーバーまたはLogDecoderを使用できます。

514(TCP/UDP)

解析のために監査ログをLog Decoder/サード パーティのSyslogレシーバーに送信する場合にのみ必要です。

Concentrator

Packet Decoder

56004

 

Concentrator

Log Decoder

56002

 

Broker

Concentrator

56005

 

Broker

Archiver

56008

 

Archiver

Log Decoder

56002

 

ESA 

Concentrator

56005

 

ESA

RSA Live
WHOISサーバ

443

 

Malware

Broker

56003

 

Warehouse Connector

Warehouse

NFS(2049、111)、
SFTP(TCP22)
WebHDFS(50070)

 

プル モードの場合:

Log Collector(Log Decoder上)

Virtual Log Collector

Windows Legacy Collector

5671(TCP)

:

プッシュ モードの場合:

Virtual Log Collector

Windows Legacy Collector

Log Collector(Log Decoder上)

5671(TCP)

 

enVisionローカルCollector

リモートCollector(VM)

514(TCP)

 

enVisionローカルCollector

Log Decoder

514(TCP)

 

ECAT

Log Decoder

514(TCP/UDP)

 

ECAT

Security Analyticsサーバ

5671(TCP)

ECATアラートはこのポートのSAIMに送られます。

Security Analyticsサーバ(REアラート、ESA、ビジネス コンテキストLive Feed)

Archer SecOps 1.3

Security AnalyticsサーバからUCF:syslog 1514(TCP)/514 UDP/1515 STCP

UCFからArcher Sec Ops:80/443

Security AnalyticsサーバからUCF:9090 HTTP/8443 HTTPS(ビジネス コンテキストLive Feed)

.

Security Analyticsサーバ

(IMアラート)

Archer SecOps 1.2/1.3

SAIM Integration ServiceからSecurity Analyticsサーバ:5671

SAIM Integration ServiceからArcher Sec Ops:80/443

SAIM Integration Serviceは、UCF上に存在し、SecOps 1.3および1.2と統合されています。 

Security Analytics Webブラウザ

Security Analyticsサーバ UI

443(HTTPS)

 

 外部

すべてのホスト

22(TCP)

SSHは、非常時などのホスト管理のためにデバイスへのシェル アクセスを可能にします。LogCollectorがインストールされたホストでは、Security Analyticsに集計されるログ ファイルは、SSHをベースとするSFTPおよびSCPを使用してアップロードされます。

注:新しいバージョンに更新する際は、ファイアウォール ポート8140および61614をすべての非Security AnalyticsサーバホストからSecurity Analytics サーバの方向に開き、Security Analyticsサーバがすべての非Security Analyticsサーバホストおよびサービスを検出できるようにします。

You are here

Table of Contents > ネットワーク アーキテクチャとポート

Attachments

    Outcomes