Mit den Informationen im folgenden Diagramm und in der Porttabelle können Sie sicherstellen, dass alle relevanten Ports für Komponenten in Ihrer NetWitness Platform-Bereitstellung geöffnet sind und miteinander kommunizieren können.
Einzelne Endpunkt-Architekturdiagramme finden Sie unter NetWitness Endpoint-Architektur am Ende dieses Themas.
Diagramm der NetWitness Platform-Netzwerkarchitektur
Das folgende Diagramm veranschaulicht die Netzwerkarchitektur von NetWitness Platform mit allen zugehörigen Produktkomponenten.
Hinweis: NetWitness Platform-Core-Hosts müssen mit dem NetWitness-Server (dem primären Server in einer Bereitstellung mit mehreren Servern) über UDP-Port 123 kommunizieren können, um eine NTP-Synchronisation (Network Time Protocol) durchzuführen.
Diagramm zur Netzwerkarchitektur von NetWitness Network (Packets)
Das folgende Diagramm zeigt die Netzwerkarchitektur von NetWitness Network (Packets).
Diagramm zur Netzwerkarchitektur NetWitness Logs
Das folgende Diagramm zeigt die Netzwerkarchitektur von NetWitness Logs.
Umfassende Liste der Host-, Service- und iDRAC-Ports von NetWitness Platform
Hinweis: Informationen zu Ports, die in der Ereignissammlung über die RSA NetWitness Logs verwendet werden, finden Sie unter „Grundlagen“ im RSA NetWitness Suite Leitfaden zur Bereitstellung der Protokollsammlung. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.
Dieser Abschnitt enthält die Portspezifikationen für die folgenden Hosts.
NW-Serverhost
Admin-Workstation | NW-Server | TCP 443, 80 | NGINX – NetWitness-Benutzeroberfläche |
Admin-Workstation | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Admin-Workstation | NW-Server | TCP 22 | SSH |
NW-Hosts | NW-Server | TCP 53 UDP 53 | DNS |
NW-Hosts | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
NW-Hosts | NW-Server | TCP 4505, 4506 | Salt Master-Ports |
NW-Hosts | NW-Server | TCP 443 | RSA Update-Repository |
NW-Hosts | NW-Server | TCP 5671 | RabbitMQ-amqp |
NW-Hosts | NW-Server | UDP 123 | NTP |
NW-Hosts | NW-Server | TCP 27017 | MongoDB |
NW-Server | cloud.netwitness.com | TCP 443 | Live |
NW-Server | cms.netwitness.com | TCP 443 | Live |
NW-Server | smcupdate.emc.com | TCP 443 | Live |
NW-Server | NFS-Server | TCP 111, 2049, UDP 111, 2049 | iDRAC-Installationen |
NW-Server | NW-Hosts | UDP 123 | NTP |
NW-Server | NW Endpoint | TCP 443, 9443 | Für NW-Endpoint 4.x-Integrationen |
Archiver-Host
Admin-Workstation | Archiver | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Archiver | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Archiver | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Archiver | TCP 22 | SSH |
NW-Server | Archiver | TCP 56008 (SSL), 50108 (REST) | Archiver-Anwendungsports |
NW-Server | Archiver | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Archiver | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
NW-Server | Archiver | TCP 514, 6514, 56007 (SSL), 50107 (REST), UDP 514 | Workbench-Anwendungsports |
Archiver | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Broker-Host
Admin-Workstation | Broker | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Broker | Concentrator | TCP 56005 | Concentrator-Anwendungsport |
Broker | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Broker | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Broker | TCP 22 | SSH |
NW-Server | Broker | TCP 56003 (SSL), 50103 (REST) | Broker-Anwendungsports |
NW-Server | Broker | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Broker | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Broker | NW-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Endpoint Broker | NW-Server | TCP 443 | RSA Update-Repository |
Concentrator-Host
Admin-Workstation | Concentrator | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Concentrator | Log Decoder | TCP 56002 | Concentrator-Anwendungsport |
Concentrator | Network Decoder | TCP 56004 | Concentrator-Anwendungsport |
Concentrator | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Concentrator | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Concentrator | TCP 22 | SSH |
NW-Server | Concentrator | TCP 56005 (SSL), 50105 (REST) | Concentrator-Anwendungsports |
Malware | Concentrator | TCP 56005 (SSL) | Malware |
NW-Server | Concentrator | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Concentrator | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Concentrator | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Endpoint Log Hybrid
Endpunkt-Agent | Endpoint Log Hybrid | TCP 443 UDP 444 | NGINX HTTPS NGINX UDP. Wenn UDP Port 444 in Ihrer Umgebung nicht akzeptabel ist, finden Sie weitere Informationen unter Ändern des UDP-Ports für Endpoint Log Hybrid. |
Endpunkt-Agent | Log Decoder oder Virtual Log Collector | TCP 514 (Syslog) UDP 514 (Syslog) TLS 6514 | Windows-Protokollsammlung |
Endpoint Log Hybrid | Log Decoder (extern) | TCP 50102 (REST) 56202 (Protobuf SSL) 50202 (Protobuf) | Um Metadaten an einen externen Log Decoder weiterzuleiten |
Endpoint Log Hybrid | NW-Server | TCP 443 | RSA Update-Repository |
NW-Server | Endpoint Log Hybrid | TCP 7050 | Webdatenverkehr über die Benutzeroberfläche |
Endpoint Log Hybrid | NW-Server | TCP 5671 | Nachrichtenbus |
Endpoint Log Hybrid | NW-Server | TCP 27017 | MongoDB |
NW-Server | Endpoint Log Hybrid | TCP 7054 | Webdatenverkehr über die Benutzeroberfläche |
NW-Server | NFS-Server | TCP 111, 2049 UDP 111, 2049 | iDRAC-Installationen |
Event Stream Analysis (ESA)-Host
Admin-Workstation | ESA | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
ESA Primary und Secondary | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
ESA Primary und Secondary | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | ESA | TCP 22 | SSH |
NW-Server, ESA Secondary | ESA Primary | TCP 27017 | MongoDB |
NW-Server | ESA Primary | TCP 7005 | Context Hub Launch-Port – (ESA Primary) |
NW-Server | ESA | TCP 50030 (SSL) | ESA-Anwendungsport |
NW-Server | ESA | TCP 50035 (SSL) | ESA-Anwendungsport |
NW-Server | ESA | TCP 50036 (SSL) | ESA-Anwendungsport |
NW-Server | ESA | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
ESA Primary und Secondary | cms.netwitness.com | TCP 443 | Live |
ESA Primary und Secondary | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
ESA Primary und Secondary | Active Directory | 636 (SSL)/389 (Nicht-SSL) | |
NW-Server | ESA | 80 (HTTP)/443 (HTTPS)(REST) | |
ESA Primary | Archer | 443 (SSL)/80 (Nicht-SSL) | |
ESA Primary | ESA Primary | TCP 7007 | Start-Port |
iDRAC Ports
22* | SSH | Standardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht |
443* | HTTP | Standardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht |
5900* | Virtuelle Konsolentastatur- und -mausumleitung, virtuelle Medien, virtuelle Ordner und Remotedateifreigabe | Standardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht |
111, 2049 | TCP | NetWitness Platform-Hosts zu NFS-Server |
111, 2049 | UDP | NetWitness Platform-Hosts zu NFS-Server |
Log Collector-Host
Admin-Workstation | Log Collector | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Log Collector | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Log Collector | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Log Collector | TCP 22 | SSH |
Log Collector | Protokollereignisquellen | Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können. | |
Protokollereignisquellen | Log Collector | TCP 514 (Syslog) UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)" | Protokollsammlungsports |
Protokollereignisquellen | Log Collector | TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008,64009 | Protokollsammlungs-FTP/S-Ports |
NW-Server | Log Collector | TCP 56001 (SSL), 50101 (REST) | Log Collector-Anwendungsports |
NW-Server | Log Collector | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Log Collector | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Log Collector | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Log Collector | Virtual Log Collector | TCP 5671 | Im Pull-Modus |
Virtual Log Collector | Log Collector | TCP 5671 | Im Push-Modus |
Log Decoder-Host
Admin-Workstation | Log Decoder | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Log Decoder | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Log Decoder | TCP 22 | SSH |
Log Decoder | Protokollereignisquellen | Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können. | |
Protokollereignisquellen | Log Decoder | TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) | Protokollsammlungsports |
Protokollereignisquellen | Log Decoder | TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009 | Protokollsammlungs-FTP/S-Ports |
NW-Server | Log Decoder | TCP 56001 (SSL), 50101 (REST) | Log Collector-Anwendungsports |
NW-Server | Log Decoder | TCP 56002 (SSL),56202 (Endpoint), 50102 (REST) | Log Decoder-Anwendungsports |
NW-Server | Log Decoder | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Log Decoder | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Log Decoder | Log Collector | TCP 6514 | |
Log Decoder | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Log Hybrid-Host
Admin-Workstation | Log Hybrid | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Log Hybrid | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Log Hybrid | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Log Hybrid | TCP 22 | SSH |
Log Collector | Protokollereignisquellen | Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können. | |
Protokollereignisquellen | Log Hybrid | TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) | Protokollsammlungsports |
Protokollereignisquellen | Log Hybrid | TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009 | Protokollsammlungs-FTP/S-Ports |
NW-Server | Log Hybrid | TCP 56001 (SSL), 50101 (REST) | Log Collector-Anwendungsports |
NW-Server | Log Hybrid | TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) | Log Decoder-Anwendungsports |
NW-Server | Log Hybrid | TCP 56005 (SSL), 50105 (REST) | Concentrator-Anwendungsports |
NW-Server | Log Hybrid | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Log Hybrid | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Log Hybrid | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Malware-Host
Admin-Workstation | Malware | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Malware | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Malware | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Malware | TCP 22 | SSH |
NW-Server | Malware | TCP 60007 | Malware-Anwendungsports |
NW-Server | Malware | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Malware | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
NW-Server | Malware | TCP 5432 | PostgreSQL |
NW-Server | Malware | TCP 56003 (SSL), 50103 (REST) | Broker-Anwendungsports |
Malware | panacea.threatgrid.com | TCP 443 | Threatgrid |
Malware | cloud.netwitness.com | TCP 443 | Community-Bewertung/Opswat |
Malware | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Network Decoder-Host
Admin-Workstation | Network Decoder | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Network Decoder | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Network Decoder | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Network Decoder | TCP 22 | SSH |
NW-Server | Network Decoder | TCP 56004 (SSL), 50104 (REST) | Network Decoder-Anwendungsports |
NW-Server | Network Decoder | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Network Decoder | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Network Decoder | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
Network Hybrid-Host
Admin-Workstation | Network Hybrid | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Network Hybrid | NW-Server | TCP 15671 | RabbitMQ-Managementbenutzeroberfläche |
Network Hybrid | NW-Server | TCP 443 | RSA Update-Repository |
Admin-Workstation | Network Hybrid | TCP 22 | SSH |
NW-Server | Network Hybrid | TCP 56004 (SSL), 50104 (REST) | Network Decoder-Anwendungsports |
NW-Server | Network Hybrid | TCP 56005 (SSL), 50105 (REST) | Concentrator-Anwendungsports |
NW-Server | Network Hybrid | TCP 56006 (SSL), 50106 (REST) | NetWitness-Appliance-Ports |
NW-Server | Network Hybrid | TCP 5671 | RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts |
Network Hybrid | NFS-Server | TCP 111 2049 UDP 111 2049 | iDRAC-Installationen |
UEBA-Host
UEBA-Server | NW-Server | TCP 443 | RSA Update-Repository |
UEBA-Server | Broker | TCP 56003 (SSL), 50103 (REST) | Broker-Anwendungsports |
UEBA-Server | Concentrator | TCP 56005 (SSL), 50105 (REST) | Concentrator-Anwendungsports |
Admin-Workstation | UEBA-Server | 443 | UEBA-Monitoring |
Admin-Workstation | UEBA-Server | 22 | SSH |
UEBA-Server | NW-Server | 15671 | UEBA-Warnmeldungen werden an Respond weitergeleitet |
NW-Server | NFS-Server | TCP 111, 2049 UDP 111, 2049 | iDRAC-Installationen |
NetWitness Endpoint-Architektur
NetWitness Endpoint 4.4-Integration in NetWitness Platform
Weitere Informationen zu Services, die auf Endpoint Log Hybrid ausgeführt werden, finden Sie unter Konfigurationsleitfaden für RSA NetWitness Endpoint.
So ändern Sie den UDP-Port für Endpoint Log Hybrid
In den folgenden Schritten erfahren Sie, wie Sie den standardmäßigen UDP-Port 444 des Endpoint Log Hybrid ändern können, wenn er in Ihrer Umgebung nicht akzeptabel ist. 555 ist das Beispiel, das dieses Verfahren als Ersatz für den 444 UDP-Port verwendet.
Es gibt zwei Aufgaben, die Sie ausführen müssen, um den Endpoint Log Hybrid-Standard-UDP-Port 444 zu ändern:
Aufgabe 1: Teilen Sie allen Agents mit, dass sie einen neuen UDP-Port verwenden sollen
Aufgabe 2: Aktualisieren Sie den Port auf allen Endpoint Log Hybrid-Hosts in Ihrer Umgebung
Hinweis: Wenn Sie bei der Ausführung von nwsetup-tui die Option für benutzerdefinierte Firewall-Regeln nicht ausgewählt haben, überschreibt NetWitness Platform die Firewall-Regeln nach einiger Zeit. Lesen Sie in diesem Fall den folgenden Wissensdatenbankartikel 00036446 (https://community.rsa.com/docs/DOC-93651).
Aufgabe 1: Teilen Sie allen Agents mit, dass sie einen neuen UDP-Port verwenden sollen
Führen Sie die folgenden Schritte aus, um den UDP-Port in der Standard-EDR-Policy (Enterprise Data Replication) und allen anderen Policies, die Sie haben, zu aktualisieren, um allen Agenten mitzuteilen, einen neuen UDP-Port zu verwenden.
-
Wählen Sie im Menü NetWitness Platform die Option ADMIN > Endpoint-Quellen > Policies aus.
Die Ansicht Policies wird angezeigt.
- Wählen Sie die Standard-EDR-Policy aus und klicken Sie in der Symbolleiste auf Bearbeiten.
- Blättern Sie nach unten, um den UDP-Port zu suchen und ändern Sie den Wert (z. B. von 444 auf 555).
- Klicken Sie am unteren Rand der Ansicht auf Policy veröffentlichen.
Aufgabe 2: Aktualisieren Sie den Port auf allen Endpoint Log Hybrid-Hosts in Ihrer Umgebung
Stellen Sie über SSH eine Verbindung her zu jedem Endpoint Log Hybrid-Host in Ihrer Umgebung mit admin Anmeldeinformationen und führen Sie die folgenden Updates durch.
- Aktualisieren Sie die iptables Regeln, um 555 anstelle von 444zu ermöglichen.
- Ersetzen Sie in der folgenden Datei 444 durch 555 .
vi /etc/sysconfig/iptables - Starten Sie iptables mit der folgenden Befehlszeichenfolge neu.
systemctl restart iptables - Überprüfen Sie die Änderung mit der folgenden Befehlszeichenfolge.
iptables -L -n
Nachfolgend ein Beispiel dafür, was für eine korrekte Änderung angezeigt wird.
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 555 /* EndpointNginxPort */ ctstate NEW
- Aktualisieren Sie die SELinux-Policy. 555 ist ein privilegierter Port, daher müssen Sie die SELinux-Policy aktualisieren, um diesen Port zuzulassen.
- Führen Sie die folgende Befehlszeichenfolge aus.
semanage port -a -t http_port_t -p udp 555
Wenn Sie Python-Fehler oder Warnungen erhalten, ignorieren Sie diese. - Überprüfen Sie die Änderung mit der folgenden Befehlszeichenfolge.
semanage port -l | grep http_port_t
Nachfolgend ein Beispiel dafür, was für eine korrekte Änderung angezeigt wird.
http_port_t udp 555, 444 - (Optional) Entfernen Sie 444.
- Aktualisieren Sie nginx config.
- Bearbeiten Sie die folgende Datei.
vi /etc/nginx/nginx.conf - Suchen Sie die folgende Zeichenfolge.
listen 444 udp; - Ersetzen Sie 444 durch:555
- Starten Sie nginx mit der folgenden Befehlszeichenfolge neu.
systemctl restart nginx
- Überprüfen Sie, ob die Agents über den neuen Port kommunizieren.
- Führen Sie die folgende Befehlszeichenfolge aus.
tcpdump -i eth0 port 555 - Warten Sie 30 Sekunden, da der Port alle 30 Sekunden ein Beacon sendet. Wenn alles ordnungsgemäß funktioniert, werden Informationen ähnlich der folgenden angezeigt.
09:20:12.571316 IP 10.40.15.103.60807 > NiranjanEPS1.rsa.lab.emc.com.dsf: UDP, length 20
09:20:12.572433 IP NiranjanEPS1.rsa.lab.emc.com.dsf > 10.40.15.103.60807: UDP, length 1
Beide Zeilen müssen zurückgegeben werden. Eine ist die Größenanforderung (20 Byte) und die andere die Antwortgröße (1 Byte).