導入ガイド:ネットワーク アーキテクチャとポート

Document created by RSA Information Design and Development Employee on Apr 19, 2018Last modified by RSA Information Design and Development Employee on Jun 28, 2019
Version 5Show Document
  • View in full screen mode
 

次の図とポートの一覧を参照して、NetWitness Platform導入環境のコンポーネントが相互に通信できるように、必要なポートをすべて開いてください。

Endpointのアーキテクチャ図については、このトピックの終わりにある「NetWitness Endpointのアーキテクチャ」を参照してください。

NetWitness Platformネットワーク アーキテクチャ図

次の図は、すべてのコンポーネントを含むNetWitness Platformのネットワーク アーキテクチャを示します。

注:NetWitness Platformコア ホストは、NTP(Network Time Protocol)による時刻同期のために、UDPポート123を通じてNetWitness Server(複数サーバ導入環境ではプライマリ サーバ)と通信する必要があります。

 

 

NetWitness Network(パケット)ネットワーク アーキテクチャ図

次の図は、NetWitness Network(パケット)のネットワーク アーキテクチャを示しています。

NetWitness Logsネットワーク アーキテクチャ図

次の図は、NetWitness Logsのネットワーク アーキテクチャを示しています。

NetWitness Platformホスト、サービス、およびiDRACのポート一覧

注:NetWitness Logsのイベント収集に使用されるポートについては、『RSA NetWitness Platformログ収集の構成ガイド』の「ログ収集の基礎」を参照してください。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。

このセクションでは、次のホストのポート仕様を説明します。

                                 

NW Serverホスト

                                                                                                               

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーション NW ServerTCP 443、80nginx:NetWitness UI

管理ワークステーション

NW ServerTCP 15671RabbitMQ管理UI
管理ワークステーションNW ServerTCP 22 SSH

NWホスト

NW Server

TCP 53
UDP 53

DNS

NWホスト

NW Server

TCP 15671

RabbitMQ管理UI

NWホストNW ServerTCP 4505、4506 Saltマスター ポート
NWホストNW ServerTCP 443RSA更新リポジトリ

NWホスト

NW Server

TCP 5671

RabbitMQ-amqp

NWホストNW ServerUDP 123 NTP

NWホスト

NW ServerTCP 27017 MongoDB

NW Server

cloud.netwitness.com

TCP 443

Live

NW Server

cms.netwitness.comTCP 443

Live

NW Serversmcupdate.emc.comTCP 443

Live

NW Server

NFSサーバ

TCP 111、2049、
UDP 111、2049

iDRACインストール

NW ServerNWホストUDP 123 NTP

NW Server

NW Endpoint

TCP 443、9443

NW Endpoint 4.x統合用

Archiverホスト

                                                                     

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションArchiverTCP 15671RabbitMQ管理UI

Archiver

NW Server

TCP 15671

RabbitMQ管理UI

Archiver

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションArchiver TCP 22 SSH
NW ServerArchiver TCP 56008(SSL)、50108(REST) Archiverアプリケーション ポート
NW ServerArchiver TCP 56006(SSL)、50106(REST) NetWitnessアプライアンス ポート
NW ServerArchiver TCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス
NW ServerArchiverTCP 514、6514、56007(SSL)、50107(REST)、UDP 514 Workbenchアプリケーション ポート

Archiver

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Brokerホスト

                                                                           

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションBroker TCP 15671 RabbitMQ管理UI
BrokerConcentratorTCP 56005 Concentratorアプリケーション ポート

Broker

NW Server

TCP 15671

RabbitMQ管理UI

Broker

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションBroker TCP 22SSH
NW ServerBroker TCP 56003(SSL)、50103(REST) Brokerアプリケーション ポート
NW ServerBroker TCP 56006(SSL)、50106(REST)NetWitnessアプライアンス ポート
NW ServerBroker TCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス
BrokerNW Server TCP 111 2049
UDP 111 2049
iDRACインストール

Endpoint Broker

NW Server

TCP 443

RSA更新リポジトリ

Concentratorホスト

                                                                                 

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションConcentratorTCP 15671RabbitMQ管理UI
ConcentratorLog DecoderTCP 56002Concentratorアプリケーション ポート
ConcentratorNetwork DecoderTCP 56004 Concentratorアプリケーション ポート

Concentrator

NW Server

TCP 15671

RabbitMQ管理UI

Concentrator

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションConcentrator TCP 22 SSH
NW Server Concentrator TCP 56005(SSL)、50105(REST) Concentratorアプリケーション ポート
MalwareConcentrator TCP 56005(SSL)Malware
NW Server Concentrator TCP 56006(SSL)、50106(REST) NetWitnessアプライアンス ポート
NW Server Concentrator TCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス

Concentrator

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Endpoint Log Hybrid

                                                                     
ソース ホスト宛先ホスト宛先ポート コメント
エンドポイント エージェント Endpoint Log Hybrid

TCP 443

UDP 444

NGINX HTTPS

NGINX UDP。UDPポート444を使用できない場合は、「Endpoint Log HybridのUDPポートの変更方法」を参照してください。

エンドポイント エージェントLog Decoderまたは仮想Log Collector

TCP 514(Syslog)

UDP 514 (Syslog)

TLS 6514

Windowsログ収集

Endpoint Log HybirdLog Decoder(外部)

TCP 50102(REST)

56202(Protobuf SSL)

50202(Protobuf)

メタを外部Log Decoderに転送

Endpoint Log Hybird

NW Server

TCP 443

RSA更新リポジトリ

NW Server Endpoint Log Hybrid TCP 7050UI Webトラフィック

Endpoint Log Hybrid

NW Server

TCP 5671

メッセージ バス

Endpoint Log HybirdNW ServerTCP 27017MongoDB
NW ServerEndpoint Log HybirdTCP 7054UI Webトラフィック

NW Server

NFSサーバ

TCP 111、2049
UDP 111、2049

iDRACインストール

ESA(Event Stream Analysis)ホスト

                                                                                                               

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションESA TCP 15671 RabbitMQ管理UI

ESAプライマリおよびセカンダリ

NW Server

TCP 15671

RabbitMQ管理UI

ESAプライマリおよびセカンダリ

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションESATCP 22 SSH
NW Server、
ESAセカンダリ
ESAプライマリ TCP 27017MongoDB
NW Server ESAプライマリ TCP 7005 Context Hub起動ポート:(ESAプライマリ)
NW Server ESA TCP 50030(SSL) ESAアプリケーション ポート
NW Server ESA TCP 50035(SSL) ESAアプリケーション ポート
NW Server ESATCP 50036(SSL) ESAアプリケーション ポート
NW ServerESATCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス
ESAプライマリおよびセカンダリcms.netwitness.comTCP 443Live

ESAプライマリおよびセカンダリ

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

ESAプライマリおよびセカンダリ

Active Directory

636(SSL)/389(非SSL)

 

NW Server

ESA

80(HTTP)/443(HTTPS)(REST)

 

ESAプライマリ

Archer

443(SSL)/80(非SSL)

 

ESAプライマリ ESAプライマリ TCP 7007 起動ポート

iDRACポート

                                      
ポート機能コメント
22*SSH

iDRACが接続をリスンするデフォルトのポート。変更可能。

443*HTTPiDRACが接続をリスンするデフォルトのポート。変更可能。
5900*仮想コンソールのキーボードとマウスのリダイレクト、
仮想メディア、仮想フォルダ、リモート ファイル共有

iDRACが接続をリスンするデフォルトのポート。変更可能。

111、2049TCP

NetWitness PlatformホストからNFSサーバ

111、2049UDP NetWitness PlatformホストからNFSサーバ

Log Collectorホスト

                                                                                             

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションLog Collector TCP 15671 RabbitMQ管理UI

Log Collector

NW Server

TCP 15671

RabbitMQ管理UI

Log Collector

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションLog CollectorTCP 22SSH
Log Collector ログ イベント ソースログ収集の構成ガイド」を参照してください。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。
ログ イベント ソース Log Collector TCP 514(Syslog)
UDP 162(SNMP)、514(Syslog)、2055(NetFlow)、
4739(NetFlow)、6343(NetFlow)、9995(NetFlow)
ログ収集ポート
ログ イベント ソース Log Collector

TCP 21、64000、64001、64002、64003、64004、
64005、64006、64007、64008、64009

ログ収集FTP/Sポート
NW Server Log Collector

TCP 56001(SSL)、50101(REST)

Log Collectorアプリケーション ポート
NW ServerLog Collector

TCP 56006(SSL)、50106(REST)

NetWitnessアプライアンス ポート
NW ServerLog Collector TCP 5671すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス

Log Collector

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Log Collector仮想Log CollectorTCP 5671プル モード

仮想Log Collector

Log Collector

TCP 5671

プッシュ モード

Log Decoderホスト

                                                                                       

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションLog Decoder TCP 15671RabbitMQ管理UI

Log Decoder

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションLog Decoder TCP 22SSH
Log Decoder ログ イベント ソースログ収集の構成ガイド」を参照してください。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。 
ログ イベント ソースLog Decoder TCP 514(Syslog)、UDP 162(SNMP)、514(Syslog)、2055(NetFlow)、4739(NetFlow)、6343(NetFlow)、9995(NetFlow) ログ収集ポート
ログ イベント ソース Log Decoder TCP 21、64000、64001、64002、64003、64004、64005、64006、64007、64008、64009ログ収集FTP/Sポート
NW ServerLog Decoder TCP 56001(SSL)、50101(REST) Log Collectorアプリケーション ポート
NW ServerLog Decoder TCP 56002(SSL)56202(Endpoint)、50102(REST) Log Decoderアプリケーション ポート

NW Server

Log Decoder

TCP 56006(SSL)、50106(REST)

NetWitnessアプライアンス ポート

NW ServerLog Decoder TCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス
Log DecoderLog CollectorTCP 6514 

Log Decoder

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Log Hybridホスト

                                                                                             

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションLog Hybrid TCP 15671RabbitMQ管理UI

Log Hybrid

NW Server

TCP 15671

RabbitMQ管理UI

Log Hybrid

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションLog Hybrid TCP 22SSH
Log Collector ログ イベント ソースログ収集の構成ガイド」を参照してください。NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。 
ログ イベント ソースLog Hybrid TCP 514(Syslog)、UDP 162(SNMP)、514(Syslog)、2055(NetFlow)、4739(NetFlow)、6343(NetFlow)、9995(NetFlow) ログ収集ポート
ログ イベント ソース Log Hybrid TCP 21、64000、64001、64002、64003、64004、64005、64006、64007、64008、64009ログ収集FTP/Sポート
NW ServerLog Hybrid TCP 56001(SSL)、50101(REST) Log Collectorアプリケーション ポート
NW ServerLog Hybrid TCP 56002(SSL)、56202(Endpoint)、50102(REST) Log Decoderアプリケーション ポート
NW ServerLog Hybrid TCP 56005(SSL)、50105(REST) Concentratorアプリケーション ポート

NW Server

Log Hybrid

TCP 56006(SSL)、50106(REST)

NetWitnessアプライアンス ポート

NW ServerLog Hybrid TCP 5671 すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス

Log Hybrid

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Malwareホスト

                                                                                       

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションMalware TCP 15671RabbitMQ管理UI

Malware

NW Server

TCP 15671

RabbitMQ管理UI

Malware

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションMalware TCP 22 SSH
NW ServerMalware TCP 60007 Malwareアプリケーション ポート
NW ServerMalware TCP 56006(SSL)、50106(REST) NetWitnessアプライアンス ポート

NW Server

Malware TCP 5671すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス
NW ServerMalware TCP 5432 Postgresql
NW ServerMalware TCP 56003(SSL)、50103(REST)Brokerアプリケーション ポート
Malwarepanacea.threatgrid.comTCP 443ThreatGRID
Malwarecloud.netwitness.com TCP 443コミュニティの評価/OPSWAT

Malware

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Network Decoderホスト

                                                               

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションNetwork Decoder TCP 15671RabbitMQ管理UI

Network Decoder

NW Server

TCP 15671

RabbitMQ管理UI

Network Decoder

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションNetwork Decoder TCP 22SSH
NW ServerNetwork Decoder TCP 56004(SSL)、50104(REST) Network Decoderアプリケーション ポート

NW Server

Network Decoder

TCP 56006(SSL)、50106(REST)

NetWitnessアプライアンス ポート
NW ServerNetwork Decoder TCP 5671

すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス

Network Decoder

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

Network Hybridホスト

                                                                     

ソース ホスト

宛先ホスト

宛先ポート

コメント

管理ワークステーションNetwork Hybrid TCP 15671RabbitMQ管理UI
Network Hybrid

NW Server

TCP 15671

RabbitMQ管理UI

Network Hybrid

NW Server

TCP 443

RSA更新リポジトリ

管理ワークステーションNetwork Hybrid TCP 22SSH
NW ServerNetwork Hybrid TCP 56004(SSL)、50104(REST) Network Decoderアプリケーション ポート
NW ServerNetwork Hybrid TCP 56005(SSL)、50105(REST) Concentratorアプリケーション ポート

NW Server

Network Hybrid

TCP 56006(SSL)、50106(REST)

NetWitnessアプライアンス ポート
NW ServerNetwork Hybrid TCP 5671

すべてのNWホストへのRabbitMQ(AMQPS)メッセージ バス

Network Hybrid

NFSサーバ

TCP 111 2049
UDP 111 2049

iDRACインストール

UEBAホスト

                                                         

ソース ホスト

宛先ホスト

宛先ポート

コメント

UEBA Server

NW Server

TCP 443

RSA更新リポジトリ

UEBA ServerBroker TCP 56003(SSL)、50103(REST) Brokerアプリケーション ポート
UEBA ServerConcentrator TCP 56005(SSL)、50105(REST) Concentratorアプリケーション ポート
管理ワークステーションUEBA Server443UEBAモニタリング
管理ワークステーションUEBA Server22SSH

UEBA Server

NW Server

15671

UEBAアラートをRespondに転送

NW Server

NFSサーバ

TCP 111、2049
UDP 111、2049

iDRACインストール

 

NetWitness Endpointのアーキテクチャ

NetWitness Endpoint 4.4とNetWitness Platformの統合

Endpoint Log Hybridで実行されるサービスの詳細については、『RSA NetWitness Endpoint構成ガイド』を参照してください。

Endpoint Log HybridのUDPポートの変更方法

次の手順では、Endpoint Log HybridのデフォルトのUDPポート444を使用できない環境で、ポートを変更する方法について説明します。例として、UDPポートを444から555に変更しています。
Endpoint Log HybridのデフォルトのUDPポート444を変更するには、次の2つのタスクを実行する必要があります。

タスク1:すべてのエージェントに新しいUDPポートを使用するように指示する

タスク2:すべてのEndpoint Log Hybridホストでポートを更新する

注: nwsetup-tuiの実行時にカスタム ファイアウォール ルールの使用を選択しなかった場合、NetWitness Platformは、一定期間が経過するとファイアウォール ルールを上書きします。該当する場合はナレッジ ベースの記事00036446(https://community.rsa.com/docs/DOC-93651)を参照してください。

タスク1:すべてのエージェントに新しいUDPポートを使用するように指示する

次の手順を実行して、デフォルトのEDRポリシーとその他のすべてのポリシーでUDPポートを更新し、すべてのエージェントに新しいUDPポートを使用するよう指示します。

  1. NetWitness PlatformのUIにアクセスし、[管理]>[エンドポイント ソース]>[ポリシー]を選択します。
    ポリシー]ビューが表示されます。

  2. Default EDR Policy]を選択し、ツールバーの[編集]をクリックします。
  3. UDPポート]までスクロールダウンし、値を変更します(たとえば、444から555に変更します)。
  4. 画面の下部にある[ポリシーの公開]をクリックします。

タスク2:すべてのEndpoint Log Hybridホストでポートを更新する

admin の認証情報を使用して、導入環境の各Endpoint Log HybridホストにSSHで接続し、次の更新を行います。

  1. iptables ルールを更新して、444の代わりに555 を許可します。
    1. 次のファイルで、444 555 に置換します。
      vi /etc/sysconfig/iptables
    2. 次のコマンドを実行して、iptablesを再起動します。
      systemctl restart iptables
    3. 次のコマンドを実行して、変更結果を確認します。
      iptables -L -n
      正しく変更された場合は、次の例のように表示されます。
      ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 555 /* EndpointNginxPort */ ctstate NEW
  2. SELinuxポリシーを更新します。555は特権ポートであるため、このポートを許可するようにSELinuxポリシーを更新する必要があります。
    1. 次のコマンドを実行します。
      semanage port -a -t http_port_t -p udp 555
      Pythonのエラーまたは警告が表示された場合は、無視してください。
    2. 次のコマンドを実行して、変更結果を確認します。
      semanage port -l | grep http_port_t
      正しく変更された場合は、次の例のように表示されます。
      http_port_t udp 555, 444
    3. (オプション)444を削除します。
  3. nginxの構成を更新します。
    1.  次のファイルを編集します。
      vi /etc/nginx/nginx.conf
    2.  次の文字列を検索します。
      listen 444 udp;
    3.  444 555に置換します。
    4.  次のコマンドを実行して、nginxを再起動します。
      systemctl restart nginx
  4. エージェントが新しいポートで通信していることを確認します。
    1. 次のコマンドを実行します。
      tcpdump -i eth0 port 555
    2. ポートは30秒ごとにビーコンを送信するため、30秒間待ちます。すべてが正しく機能している場合、次のような情報が表示されます。
      09:20:12.571316 IP 10.40.15.103.60807 > NiranjanEPS1.rsa.lab.emc.com.dsf: UDP, length 20
      09:20:12.572433 IP NiranjanEPS1.rsa.lab.emc.com.dsf > 10.40.15.103.60807: UDP, length 1

      両方の行が出力されることを確認する必要があります。1つは要求(サイズは20 バイト)で、もう1つは応答(サイズは1バイト)です。

 

Previous Topic:オプション構成
You are here
Table of Contents > ネットワーク アーキテクチャとポート

Attachments

    Outcomes