Uso de puertos de QRadar
Revise la lista de puertos comunes que los servicios y componentes de IBM QRadar utilizan para comunicarse a través de la red. Puede utilizar la lista de puertos para determinar qué puertos deben estar abiertos en la red. Por ejemplo, puede determinar qué puertos deben estar abiertos para que el QRadar Console se comunique con los procesadores de sucesos remotos.
Aviso: Si cambia algún puerto común, el despliegue de QRadar podría interrumpiarse.
Sondeo remoto de WinCollect
Los agentes de WinCollect que sondean remotamente otros sistemas operativos Microsoft Windows pueden requerir asignaciones de puerto adicionales.
Para obtener más información, consulte IBM QRadar WinCollect Guía del usuario.
Puertos de escucha de QRadar
La tabla siguiente muestra los puertos de QRadar que están abiertos en un estado
LISTEN. Los puertos de LISTEN sólo son válidos cuando está habilitado iptables en el sistema. A menos que se indique lo contrario, la información sobre el número de puerto asignado se aplica a todos los productos de QRadar .| Puerto | Descripción | Protocolo | Dirección | Requisito |
|---|---|---|---|---|
| 22 | SSH | TCP | Bidireccional desde el QRadar Console a todos los demás componentes. | Acceso de gestión remota. Adición de un sistema remoto como host gestionado. Protocolos de origen de registro para recuperar archivos de los dispositivos externos; por ejemplo, el protocolo de archivo de registro. Usuarios que utilizan la interfaz de línea de mandatos para comunicarse desde los escritorios con la consola. Alta disponibilidad (HA). |
| 25 | SMTP | TCP | Desde todos los hosts gestionados a la pasarela SMTP. | Correos electrónicos de QRadar a una pasarela SMTP. Envío de mensajes de correo electrónico de error y de aviso a un contacto de correo electrónico administrativo. |
111 y puerto generado aleatorio |
Correlacionador de puertos |
TCP/UDP |
Hosts gestionados (MH) que se comunican con QRadar
Console. Usuarios que se conectan a QRadar Console. |
Llamadas a procedimiento remoto (RPC) para los servicios necesarios, como Network File System (NFS). |
| 123 | Protocolo de hora en red (NTP) | UDP | Salida de QRadar Console al servidor NTP Salida desde el MH al QRadar Console |
Sincronización horaria a través de Chrony entre:
|
| 135 y los puertos asignados de forma dinámica por encima de 1024 para las llamadas RPC | DCOM | TCP | Tráfico bidireccional entre agentes de WinCollect y sistemas operativos Windows que se sondean de forma remota en busca de sucesos. Tráfico bidireccional entre componentes de QRadar Console o recopiladores de sucesos de IBM QRadar que utilizan agentes de Microsoft Security Event Log Protocol o Adaptive Log Exporter y sistemas operativos Windows que se sondean de forma remota para ver si hay sucesos. |
Este tráfico lo genera WinCollect, Microsoft Security
Event Log Protocol o Adaptive Log Exporter. Nota: DCOM normalmente asigna un rango de puertos aleatorios para la comunicación. Puede configurar los productos de Microsoft Windows para que utilicen un puerto determinado. Para obtener
más información, consulte la documentación de Microsoft Windows.
|
| 137 | Servicio de nombres de NetBIOS de Windows | UDP | Tráfico bidireccional entre agentes de WinCollect y sistemas operativos Windows que se sondean de forma remota en busca de sucesos. Tráfico bidireccional entre componentes de QRadar Console o QRadar Event Collectors que utilizan Microsoft Security Event Log Protocol o agentes Adaptive Log Exporter y sistemas operativos Windows que se sondean de forma remota para ver si hay sucesos. |
Este tráfico lo genera WinCollect, Microsoft Security Event Log Protocol o Adaptive Log Exporter. |
| 138 | Servicio de datagramas de NetBIOS de Windows | UDP | Tráfico bidireccional entre agentes de WinCollect y sistemas operativos Windows que se sondean de forma remota en busca de sucesos. Tráfico bidireccional entre componentes de QRadar Console o QRadar Event Collectors que utilizan Microsoft Security Event Log Protocol o agentes Adaptive Log Exporter y sistemas operativos Windows que se sondean de forma remota para ver si hay sucesos. |
Este tráfico lo genera WinCollect, Microsoft Security Event Log Protocol o Adaptive Log Exporter. |
| 139 | Servicio de sesión de NetBIOS de Windows | TCP | Tráfico bidireccional entre agentes de WinCollect y sistemas operativos Windows que se sondean de forma remota en busca de sucesos. Tráfico bidireccional entre componentes de QRadar Console o QRadar Event Collectors que utilizan Microsoft Security Event Log Protocol o agentes Adaptive Log Exporter y sistemas operativos Windows que se sondean de forma remota para ver si hay sucesos. |
Este tráfico lo genera WinCollect, Microsoft Security Event Log Protocol o Adaptive Log Exporter. |
| 162 | NetSNMP | UDP | Hosts gestionados por QRadar que se conectan a QRadar
Console. Orígenes de registro externos a QRadar Event Collectors. |
Puerto UDP para el daemon NetSNMP que está a la escucha de las comunicaciones (v1, v2c y v3) desde orígenes de registro externos. El puerto sólo está abierto si el agente SNMP está habilitado. |
| 199 | NetSNMP | TCP | Hosts gestionados por QRadar que se conectan a QRadar
Console. Orígenes de registro externos a QRadar Event Collectors. |
Puerto TCP para el daemon NetSNMP que está a la escucha de las comunicaciones (v1, v2c y v3) desde orígenes de registro externos. El puerto sólo está abierto si el agente SNMP está habilitado. |
| 427 | Protocolo de ubicación de servicios (SLP) | UDP/TCP | El módulo de gestión integrada utiliza el puerto para localizar servicios en una LAN. | |
| 443 | Apache/HTTPS | TCP | Tráfico bidireccional para comunicaciones seguras desde todos los productos a QRadar
Console. Tráfico unidireccional desde el host de aplicación al QRadar Console. |
Descargas de configuración en hosts gestionados desde QRadar
Console. Hosts gestionados por QRadar que se conectan a QRadar Console. Usuarios que tienen acceso de inicio de sesión a QRadar. QRadar Console que gestionan y proporcionan actualizaciones de configuración para agentes de WinCollect . Aplicaciones que requieren acceso a la API de QRadar . |
| 445 | Servicio de directorio de Microsoft | TCP | Tráfico bidireccional entre agentes de WinCollect y sistemas operativos Windows que se sondean de forma remota en busca de sucesos. Tráfico bidireccional entre los componentes de QRadar Console o QRadar Event Collectors que utilizan el protocolo de registro de sucesos de seguridad de Microsoft y los sistemas operativos Windows que se sondean de forma remota para ver si hay sucesos. Tráfico bidireccional entre los agentes de Adaptive Log Exporter y los sistemas operativos Windows que se sondean de forma remota para comprobar si hay sucesos |
Este tráfico lo genera WinCollect, Microsoft Security Event Log Protocol o Adaptive Log Exporter. |
| 514 | Syslog | UDP/TCP | Los dispositivos de red externos que proporcionan sucesos de syslog de TCP utilizan tráfico bidireccional. Los dispositivos de red externos que proporcionan sucesos de syslog de UDP utilizan tráfico unidireccional. Tráfico de syslog interno de los hosts de QRadar a QRadar Console. |
Orígenes de registro externos para enviar datos de sucesos a los componentes de QRadar . El tráfico de Syslog incluye agentes de WinCollect , recopiladores de sucesos y agentes de Adaptive Log Exporter capaces de enviar sucesos UDP o TCP a QRadar. |
| 762 | Daemon de montaje de NFS (Network File System) (mountd) | TCP/UDP | Conexiones entre QRadar Console y el servidor NFS . | Daemon de montaje de NFS (Network File System), que procesa las solicitudes de montaje de un sistema de archivos en una ubicación especificada. |
| 1514 | Syslog-ng | TCP/UDP | Conexión entre el componente Recopilador de sucesos local y el componente Procesador de eventos local con el daemon syslog-ng para el registro. | Puerto de registro interno para syslog-ng. |
| 2049 | NFS | TCP | Conexiones entre QRadar Console y el servidor NFS . | Protocolo NFS (Network File System) para compartir archivos o datos entre componentes. |
| 2055 | NetFlow datos | UDP | Desde la interfaz de gestión en el origen de flujo (normalmente un direccionador) al IBM QRadar Flow Collector. | Datagrama de NetFlow de componentes, tales como los direccionadores. |
| 2376 | Puerto de mandatos de Docker | TCP | Comunicaciones internas. Este puerto no está disponible externamente. | Se utiliza para gestionar recursos de infraestructura de aplicaciones de QRadar . |
| 3389 | El protocolo de escritorio remoto (RDP) y Ethernet sobre USB están habilitados. | TCP/UDP | Si el sistema operativo Microsoft Windows está configurado para dar soporte a RDP y Ethernet a través de USB, un usuario puede iniciar una sesión en el servidor a través de la red de gestión. Esto significa que el puerto predeterminado para RDP, que es 3389, debe estar abierto. | |
| 3900 | Puerto de presencia remota de Integrated Management Module | TCP/UDP | Utilice este puerto para interactuar con la consola de QRadar a través de Integrated Management Module. | |
| 4333 | Puerto de redirección | TCP | Este puerto se asigna como un puerto de redirección para las solicitudes de protocolo de resolución de direcciones (ARP) en la resolución de delitos de QRadar . | |
| 5.000 | Se utiliza para permitir la comunicación con el registro-si de docker si se ejecuta en la consola. Esto permite a todos los hosts gestionados extraer imágenes de la consola que se utilizarán para crear contenedores locales. | TCP | Unidireccional de QRadar Console a un host de aplicaciones de QRadar . | Utilizado con un host de aplicaciones. Permite que la consola despliegue aplicaciones en un host de aplicaciones y las gestione. |
| 5432 | Postgres | TCP | Comunicación para el host gestionado que se utiliza para acceder a la instancia de base de datos local. | Necesario para el suministro de hosts gestionados desde la pestaña Admin. |
| 6514 | Syslog | TCP | Los dispositivos de red externos que proporcionan sucesos de syslog de TCP cifrados utilizan tráfico bidireccional. | Orígenes de registro externos para enviar datos de sucesos cifrados a los componentes de QRadar . |
| 7676, 7677 y cuatro puertos enlazados aleatoriamente por encima de 32000 | Conexiones de mensajería (IMQ) | TCP | Comunicaciones de cola de mensajes entre los componentes de un host gestionado | Intermediario de cola de mensajes para las comunicaciones entre los componentes de un host gestionado. Nota: Debe permitir el acceso a estos puertos desde la consola de QRadar a hosts no cifrados.
Los puertos 7676 y 7677 son puertos TCP estáticos, y se crean cuatro conexiones adicionales en puertos aleatorios. |
| 5791, 7700, 7777, 7778, 7779, 7780, 7781, 7782, 7783, 7787, 7788, 7790, 7791, 7792, 7793, 7794, 7795, 7799, 8989 y 8990. Instalación FIPS sólo 7777, 7778, 7779, 7780, 7781, 7782, 7783, 7788, 7790, 7791, 7792, 7793, 7795, 7799 y 8989. |
Puertos de servidor JMX | TCP | Comunicaciones internas. Estos puertos no están disponibles externamente. | Supervisión del servidor JMX (Java™ Management Beans) para todos los procesos internos de QRadar para exponer las métricas de soporte. Estos puertos los utiliza el soporte de QRadar . |
| 7789 | Dispositivo de bloqueo replicado distribuido | TCP/UDP | Bidireccional entre el host secundario y el host primario en un clúster de alta disponibilidad. | El Dispositivo de bloqueo replicado distribuido se utiliza para mantener las unidades sincronizadas entre los hosts primario y secundario en las configuraciones de alta disponibilidad. |
| 7800 | Apache Tomcat | TCP | Desde el Procesador de sucesos al QRadar Console. | En tiempo real (modalidad continua) para sucesos. |
| 7801 | Apache Tomcat | TCP | Desde el Procesador de sucesos al QRadar Console. | En tiempo real (modalidad continua) para flujos. |
| 7803 | Motor de detección de anomalías | TCP | Desde el Procesador de sucesos al QRadar Console. | Puerto de motor de detección de anomalías. |
| 7804 | Constructor Arc de QRM | TCP | Comunicaciones de control interno entre los procesos de QRadar y el constructor ARC. | Este puerto sólo se utiliza para QRadar Risk Manager . No está disponible externamente. |
| 7805 | Comunicación del túnel Syslog | TCP | Bidireccional entre el QRadar Console y los hosts gestionados | Se utiliza para la comunicación cifrada entre la consola y los hosts gestionados. |
| 8000 | ECS (servicio de recopilación de sucesos) | TCP | Desde el Recopilador de sucesos al QRadar Console. | Puerto de escucha para el servicio de recopilación de sucesos (ECS) específico. |
| 8001 | Puerto del daemon SNMP | TCP | Sistemas SNMP externos que solicitan información de condición de excepción SNMP de QRadar Console. | Puerto de escucha para solicitudes de datos SNMP externas. |
| 8005 | Apache Tomcat | TCP | Comunicaciones internas. No está disponible externamente. | Abierto para control de Tomcat. Este puerto está enlazado y sólo acepta conexiones desde el host local. |
| 8009 | Apache Tomcat | TCP | Desde el proceso del daemon HTTP (HTTPd) hacia Tomcat. | Conector Tomcat, donde la solicitud se utiliza y se pasa a través de un proxy para el servicio web. |
| 8080 | Apache Tomcat | TCP | Desde el proceso del daemon HTTP (HTTPd) hacia Tomcat. | Conector Tomcat, donde la solicitud se utiliza y se pasa a través de un proxy para el servicio web. |
| 8082 | Túnel seguro para QRadar Risk Manager | TCP | Tráfico bidireccional entre QRadar Console y QRadar Risk Manager | Necesario cuando se utiliza el cifrado entre QRadar Risk Manager y QRadar Console. |
| 8413 | Agentes de WinCollect | TCP | Tráfico bidireccional entre el agente de WinCollect y QRadar Console. | Este tráfico lo genera el agente de WinCollect para reenviar sucesos de WinCollect y la comunicación está cifrada. Es necesario para proporcionar actualizaciones de configuración al agente de WinCollect y para utilizar WinCollect en modalidad conectada. |
| 8844 | Apache Tomcat | TCP | Unidireccional del QRadar Console al dispositivo que ejecuta el procesador QRadar Vulnerability Manager . | Lo utiliza Apache Tomcat para leer información del host que ejecuta el procesador QRadar Vulnerability Manager. Importante: El explorador IBM
QRadar Vulnerability Manager está al final del ciclo de vida (EOL) en 7.5.0 Update Package 6 y ya no está soportado en ninguna versión de IBM
QRadar. Para obtener más información, consulte QRadar Vulnerability Manager: Notificación de fin de servicio del producto ( https://www.ibm.com/support/pages/node/6853425 ).
|
| 9000 | Conman | TCP | Unidireccional de QRadar Console a un host de aplicaciones de QRadar . | Utilizado con un host de aplicaciones. Permite que la consola despliegue aplicaciones en un host de aplicaciones y las gestione. |
| 9090 | Base de datos y servidor de reputación de IP XForce | TCP | Comunicaciones internas. No está disponible externamente. | Comunicaciones entre los procesos de QRadar y la base de datos de IP de XForce Reputation. |
| 9381 | Descarga de archivos de certificado | TCP | Unidireccional desde el host gestionado o la red externa de QRadar a QRadar Console | Descarga de archivos de certificado de CA y CRL de QRadar , que se pueden utilizar para validar los certificados generados por QRadar . |
| 9381 | localca-server | TCP | Bidireccional entre componentes de QRadar . | Se utiliza para contener los certificados raíz e intermedios locales de QRadar , así como las CRL asociadas. |
| 9393, 9394 | vault-qrd | TCP | Comunicaciones internas. No está disponible externamente. | Se utiliza para contener secretos y permitir que los servicios accedan de forma segura a dichos secretos. |
| 9913 más un puerto asignado dinámicamente | Contenedor de aplicación web | TCP | Comunicación de Invocación a método remoto (RMI) Java bidireccional entre máquinas virtuales Java | Una vez registrada la aplicación web, se asigna dinámicamente un puerto adicional. |
| 9995 | NetFlow datos | UDP | Desde la interfaz de gestión en el origen de flujo (normalmente un direccionador) al QRadar Flow Collector. | Datagrama de NetFlow de componentes, tales como los direccionadores. |
| 9999 | IBM QRadar Vulnerability Manager procesador | TCP | Unidireccional desde el explorador al dispositivo que ejecuta el procesador QRadar Vulnerability Manager | Se utiliza para la información del mandato QRadar Vulnerability Manager (QVM). El QRadar
Console se conecta a este puerto en el host que ejecuta el procesador QRadar Vulnerability Manager . Este puerto solo se utiliza cuando QVM está habilitado. Importante: El explorador IBM
QRadar Vulnerability Manager está al final del ciclo de vida (EOL) en 7.5.0 Update Package 6 y ya no está soportado en ninguna versión de IBM
QRadar. Para obtener más información, consulte QRadar Vulnerability Manager: Notificación de fin de servicio del producto ( https://www.ibm.com/support/pages/node/6853425 ).
|
| 10000 | Interfaz de administración del sistema basada en web de QRadar | TCP/UDP | Sistemas de escritorio de usuario para todos los hosts de QRadar . | En QRadar V7.2.5 y anteriores, este puerto se utiliza para los cambios de servidor, como la contraseña raíz de host y el acceso de cortafuegos. El puerto 10000 está inhabilitado en V7.2.6. |
| 10101, 10102 | Mandato de latido | TCP | Tráfico bidireccional entre los nodos de alta disponibilidad primario y secundario. | Necesario para garantizar que los nodos HA siguen activos. |
| 12500 | Socat binario | TCP | Salida de MH a QRadar Console | Puerto utilizado para solicitudes de udp de crionía de túnel a través de tcp cuando QRadar Console o MH está cifrado |
| 14433 | traefik | TCP | Unidireccional de QRadar Console a un host de aplicaciones de QRadar . | Utilizado con un host de aplicaciones. Permite que la consola despliegue aplicaciones en un host de aplicaciones y las gestione. |
| 15432 | Es necesario que esté abierto para la comunicación interna entre QRM y QRadar. | |||
| 15433 | Postgres | TCP | Comunicación para el host gestionado que se utiliza para acceder a la instancia de base de datos local. | Se utiliza para la configuración y el almacenamiento de QRadar Vulnerability Manager (QVM). Este puerto solo se utiliza cuando QVM está habilitado. Importante: El explorador IBM
QRadar Vulnerability Manager está al final del ciclo de vida (EOL) en 7.5.0 Update Package 6 y ya no está soportado en ninguna versión de IBM
QRadar. Para obtener más información, consulte QRadar Vulnerability Manager: Notificación de fin de servicio del producto ( https://www.ibm.com/support/pages/node/6853425 ).
|
| 15434 | Es necesario que esté abierto para la comunicación interna entre Forensics y QRadar. |
|||
| 20000-23000 | Túnel SSH | TCP | Bidireccional desde la consola de QRadar a todos los demás hosts gestionados cifrados. | Punto de escucha local para los túneles SSH utilizados para la comunicación de Java Message Service (JMS) con hosts gestionados cifrados. Se utiliza para realizar tareas asíncronas de larga ejecución, tales como la actualización de la configuración de red mediante el sistema y la gestión de licencias. |
| 23111 | Servidor web SOAP | TCP | Puerto del servidor web SOAP para el servicio de recopilación de sucesos (ECS). | |
| 23333 | Canal de fibra Emulex | TCP | Sistemas de escritorio de usuario que se conectan a dispositivos QRadar con una tarjeta de canal de fibra. | Servicio de gestión remota de HBAnywhere de canal de fibra Emulex (elxmgmt). |
| 26000 | traefik | TCP | Bidireccional entre componentes de QRadar . | Se utiliza con un host de aplicación cifrado. Se necesita para el descubrimiento de servicios de aplicaciones. |
| 26001 | Conman | TCP | Unidireccional de QRadar Console a un host de aplicaciones de QRadar . | Se utiliza con un host de aplicación cifrado. Permite que la consola despliegue aplicaciones en un host de aplicaciones y las gestione. |
| 32000 | Reenvío de flujos normalizados | TCP | Bidireccional entre componentes de QRadar . | Datos de flujo normalizados que se comunican desde un origen externo o entre QRadar Flow Collectors. |
| 32004 | Reenvío de sucesos normalizados | TCP | Bidireccional entre componentes de QRadar . | Datos de sucesos normalizados que se comunican desde un origen externo o entre QRadar Event Collectors. |
| 32005 | Flujo de datos | TCP | Bidireccional entre componentes de QRadar . | Puerto de comunicación de flujo de datos entre QRadar Event Collectors cuando se encuentra en hosts gestionados independientes. |
| 32006 | Ariel Consultas | TCP | Bidireccional entre componentes de QRadar . | Puerto de comunicación entre el servidor proxy Ariel y el servidor de consulta Ariel . |
| 32007 | Datos de la infracción | TCP | Bidireccional entre componentes de QRadar . | Sucesos y flujos que hacen aportaciones a una infracción o están implicados en una correlación global. |
| 32009 | Datos de identidad | TCP | Bidireccional entre componentes de QRadar . | Datos de identidad que se comunican entre el servicio de información de vulnerabilidades (VIS) y el servicio de recopilación de sucesos (ECS). |
| 32010 | Puerto de origen de escucha de flujo | TCP | Bidireccional entre componentes de QRadar . | Puerto de escucha de flujo para recopilar datos de QRadar Flow Collectors. |
| 32011 | Ariel puerto de escucha | TCP | Bidireccional entre componentes de QRadar . | Puerto de escucha de Ariel para búsquedas de base de datos, información de progreso y otros mandatos asociados. |
| 32000-33999 | Flujo de datos (flujos, sucesos, contexto de flujo) | TCP | Bidireccional entre componentes de QRadar . | Flujos de datos, como sucesos, flujos, contexto de flujo, consultas de búsqueda de sucesos y proxy Docker. |
| 40799 | datos de PCAP | UDP | De dispositivos Juniper Networks SRX Series a QRadar. | Recopilación de datos de captura de paquete (PCAP) entrantes procedentes de dispositivos Juniper Networks SRX Series Nota: La captura de paquetes en el dispositivo puede utilizar un puerto distinto. Para obtener más información sobre la configuración de la captura de paquete, consulte la documentación de su dispositivo Juniper Networks SRX Series.
|
| ICMP | ICMP | Tráfico bidireccional entre el host secundario y el host primario en un clúster de alta disponibilidad. | Prueba de la conexión de red entre el host secundario y el host primario en un clúster de alta disponibilidad mediante ICMP (protocolo de mensajes de control de Internet). |