QRadar でのポートの使用状況
IBM® QRadar® のサービスおよびコンポーネントがネットワークでの通信に使用する共通のポートのリストを示します。 このポートのリストを使用すると、ネットワークで開く必要があるポートを判別できます。 例えば、QRadar コンソールがリモートのイベント・プロセッサーと通信するために開く必要があるポートを判別できます。
WinCollect リモート・ポーリング
WinCollect エージェントがリモート側から他の Microsoft Windows オペレーティング・システムをポーリングする場合は、追加のポート割り当てが必要になることがあります。
詳しくは、IBM QRadar WinCollect の「ユーザー・ガイド」を参照してください。
QRadar の listen ポート
LISTEN 状態で開かれる QRadar ポートを以下の表に示します。 LISTEN ポートが有効になるのは、ご使用のシステムで iptables が有効になっている場合のみです。 特記しない限り、割り当て済みポート番号に関する情報はすべての QRadar 製品に該当します。
| ポート | 説明 | Protocol | 方向 | 要件 |
|---|---|---|---|---|
| 22 | SSH | TCP | QRadar コンソールから他のすべてのコンポーネントへの双方向通信。 | リモート管理アクセス。 リモート・システムを管理対象ホストとして追加。 ログ・ファイル・プロトコルなど、外部デバイスからファイルを取得するためのログ・ソース・プロトコル。 コマンド・ライン・インターフェースを使用してデスクトップからコンソールへの通信を行うユーザー。 高可用性 (HA)。 |
| 25 | SMTP | TCP | すべての管理対象ホストから SMTP ゲートウェイへの通信。 | QRadar から SMTP ゲートウェイへの E メール。 管理用 E メール連絡先に対するエラー E メール・メッセージと警告 E メール・メッセージの配信。 |
| 111 およびランダム生成ポート | ポートマッパー | TCP/UDP | QRadar コンソール と通信する管理対象ホスト (MH)。 QRadar コンソールに接続するユーザー。 |
ネットワーク・ファイル・システム (NFS) などの必須サービス用のリモート・プロシージャー・コール (RPC)。 |
| 123 | Network Time Protocol (NTP) | UDP |
QRadar コンソールから NTP サーバーへのアウトバウンド通信 MH から QRadar コンソールへのアウトバウンド通信 |
Chrony 経由での次の間の時刻の同期:
|
| 135 と、RPC 呼び出しの場合に動的に割り当てられる 1024 よりも上のポート番号。 | DCOM | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QQRadar コンソール・コンポーネントまたは IBM QRadar イベント・コレクターと、リモートでイベントがポーリングされる Windows オペレーティング・システムの間での双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 注: DCOM は通常、ランダムなポート範囲を通信用に割り振ります。 特定のポートを使用するように Microsoft
Windows 製品を構成することができます。 詳しくは、Microsoft
Windows の資料を参照してください。
|
| 137 | Windows NetBIOS ネーム・サービス | UDP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QRadar コンソール・コンポーネントまたは QRadar イベント・コレクター と、リモートでイベントがポーリングされる Windows オペレーティング・システムの間での双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 138 | Windows NetBIOS データグラム・サービス | UDP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QRadar コンソール・コンポーネントまたは QRadar イベント・コレクター と、リモートでイベントがポーリングされる Windows オペレーティング・システムの間での双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 139 | Windows NetBIOS セッション・サービス | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QRadar コンソール・コンポーネントまたは QRadar イベント・コレクター と、リモートでイベントがポーリングされる Windows オペレーティング・システムの間での双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 162 | NetSNMP | UDP | QRadar コンソールに接続する QRadar の管理対象ホスト。 外部ログ・ソースからQRadar イベント・コレクター。 |
外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の UDP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。 |
| 199 | NetSNMP | TCP | QRadar コンソールに接続する QRadar の管理対象ホスト。 外部ログ・ソースからQRadar イベント・コレクター。 |
外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の TCP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。 |
| 427 | Service Location Protocol (SLP) | UDP/TCP | 統合管理モジュールは、このポートを使用して LAN 上のサービスを検出します。 | |
| 443 | Apache/HTTPS | TCP | すべての製品から QRadar コンソール へのセキュア通信用の双方向トラフィック。 App Host から QRadar コンソールへの単一方向のトラフィック。 |
QRadar コンソールから管理対象ホストへの構成のダウンロード。 QRadar コンソールに接続する QRadar の管理対象ホスト。 QRadar へのログイン・アクセス権限を持つユーザー。 WinCollect エージェントに対する構成の更新の管理と提供を行う QRadar コンソール。 QRadar API へのアクセスを必要とするアプリケーション。 |
| 445 | Microsoft ディレクトリー・サービス | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルを使用する QRadar コンソール コンポーネントまたは QRadar イベント・コレクター と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Adaptive Log Exporter エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 514 | Syslog | UDP/TCP | 双方向トラフィックを使用する TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。 単一方向トラフィックを使用する UDP Syslog イベントを提供する外部のネットワーク・アプライアンス。 QRadar ホストから QRadar コンソール への内部 Syslog トラフィック。 |
QRadar コンポーネントにイベント・データを送信するための外部のログ・ソース。 Syslog トラフィックには、UDP イベントまたは TCP イベントを QRadar に送信できる WinCollect エージェント、イベント・コレクター、および Adaptive Log Exporter エージェントが含まれています。 |
| 762 | ネットワーク・ファイル・システム (NFS) マウント・デーモン (mountd) | TCP/UDP | QRadar コンソールと NFS サーバーとの接続。 | 指定された場所にファイル・システムをマウントするための要求を処理するネットワーク・ファイル・システム (NFS) マウント・デーモン。 |
| 1514 | Syslog-ng | TCP/UDP | ロギング用の syslog-ng デーモンに対するローカルのイベント・コレクター・コンポーネントとローカルのイベント・プロセッサー (Event Processor)・コンポーネントとの間の接続。 | syslog-ng 用の内部ロギング・ポート。 |
| 2049 | NFS | TCP | QRadar コンソールと NFS サーバーとの接続。 | コンポーネント間でファイルやデータを共有するためのネットワーク・ファイル・システム (NFS) プロトコル。 |
| 2055 | NetFlow データ | UDP | フロー・ソース (通常はルーター) 上の管理インターフェースから IBM QRadar QFlow コレクター への通信。 | ルーターなどのコンポーネントからの NetFlow データグラム。 |
| 2376 | Docker コマンド・ポート | TCP | 内部通信。 このポートを外部から使用することはできません。 | QRadar アプリケーション・フレームワーク・リソースを管理するために使用されます。 |
| 3389 | リモート・デスクトップ・プロトコル (RDP) および Ethernet over USB が有効 | TCP/UDP | Microsoft Windows オペレーティング・システムが RDP および Ethernet over USB をサポートするように構成されている場合は、ユーザーが管理ネットワークを介してサーバーとのセッションを開始できます。 これは、RDP のデフォルト・ポート 3389 が開いている必要があることを意味します。 | |
| 3900 | 統合管理モジュールのリモート・プレゼンス・ポート | TCP/UDP | このポートを使用して、統合管理モジュールを介して QRadar コンソールと対話します。 | |
| 4333 | リダイレクト・ポート | TCP | このポートは、QRadar のオフェンスの解決におけるアドレス解決プロトコル (ARP) 要求のリダイレクト・ポートとして割り当てられています。 | |
| 5000 | コンソールで実行されている Docker SI Registry に通信できるようにするために使用されます。 これにより、すべての管理対象ホストが、コンソールからローカル・コンテナーの作成に使用されるイメージをプルできます。 | TCP | QRadar 管理対象ホストから QRadar コンソールまでの単一方向の通信。 ポートは、コンソールでのみ開かれます。 管理対象ホストは、コンソールからプルする必要があります。 | アプリケーション・ホストで実行されるアプリケーションに必須です。 |
| 5432 | Postgres | TCP | ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 | 「管理」タブから管理対象ホストをプロビジョニングする場合に必要です。 |
| 6514 | Syslog | TCP | 双方向トラフィックを使用する暗号化された TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。 | QRadar コンポーネントに暗号化されたイベント・データを送信するための外部のログ・ソース。 |
| 7676、7677、および 32000 よりも大きな 4 つのランダムなバインド済みポート。 | メッセージング接続 (IMQ) | TCP | 管理対象ホスト上のコンポーネント間におけるメッセージ・キューの通信。 | 管理対象ホスト上のコンポーネント間における通信用のメッセージ・キュー・ブローカー。 注: QRadar コンソールから暗号化されていないホストへのこれらのポートへのアクセスを許可する必要があります。
ポート 7676 と 7677 は静的 TCP ポートで、4 つの追加の接続がランダムなポート上で作成されます。 ランダム・バインド・ポートの確認方法については、IMQ ポートの関連付けの表示を参照してください。 |
| 5791、7700、7777、7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989、および 8990。 | JMX サーバーのポート | TCP | 内部通信。 これらのポートを外部から使用することはできません。 | サポート性能メトリックを公開するための、すべての内部 QRadar プロセスをモニターする JMX サーバー (Java™ Management Beans)。 これらのポートは、QRadar のサポートで使用されます。 |
| 7789 | HA 分散複製ブロック・デバイス | TCP/UDP | HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向通信。 | 分散複製ブロック・デバイスは、HA 構成におけるプライマリー・ホストとセカンダリー・ホスト間のドライブの同期を保つために使用されます。 |
| 7800 | Apache Tomcat | TCP | イベント・プロセッサー (Event Processor)から QRadar コンソール。 | イベント用のリアルタイム処理 (ストリーミング)。 |
| 7801 | Apache Tomcat | TCP | イベント・プロセッサー (Event Processor)から QRadar コンソール。 | フロー用のリアルタイム処理 (ストリーミング)。 |
| 7803 | アノマリ検出エンジン | TCP | イベント・プロセッサー (Event Processor)から QRadar コンソール。 | アノマリ検出エンジンのポート。 |
| 7804 | QRM Arc ビルダー | TCP | QRadar プロセスと ARC ビルダーの間の内部制御通信。 | このポートは QRadar Risk Manager のためにのみ使用されます。 外部から使用することはできません。 |
| 7805 | Syslog トンネル通信 | TCP | QRadar コンソールと管理対象ホストとの間の双方向通信 | コンソールと管理対象ホストとの間の暗号化された通信に使用されます。 |
| 8000 | イベント収集サービス (ECS) | TCP | イベント・コレクターから QRadar コンソール。 | 特定のイベント・コレクション・サービス (ECS) 用の listen ポート。 |
| 8001 | SNMP デーモンのポート | TCP | QRadar コンソールからの SNMP トラップ情報を要求する外部の SNMP システム。 | 外部の SNMP データ要求用の listen ポート。 |
| 8005 | Apache Tomcat | TCP | 内部通信。 外部から使用することはできません。 | tomcat を制御するために開かれます。 このポートはバインドされており、ローカル・ホストからの接続しか受け入れません。 |
| 8009 | Apache Tomcat | TCP | HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 | Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。 |
| 8080 | Apache Tomcat | TCP | HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 | Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。 |
| 8082 | QRadar Risk Manager のセキュア・トンネル | TCP | QRadar コンソールと QRadar Risk Manager の間の双方向トラフィック。 | 暗号化を QRadar Risk Manager と QRadar コンソールの間で使用する場合、必須です。 |
| 8413 | WinCollect エージェント | TCP | WinCollect エージェントと QRadar コンソールの間の双方向トラフィック。 | このトラフィックは WinCollect エージェントによって生成され、通信は暗号化されます。 構成の更新を WinCollect エージェントに提供し、WinCollect を接続モードで使用する必要があります。 |
| 8844 | Apache Tomcat | TCP | QRadar コンソールから、QRadar Vulnerability Manager プロセッサーを実行するアプライアンスへの単一方向。 | QRadar Vulnerability Manager プロセッサーを実行しているホストから情報を読み取るために Apache Tomcat によって使用されます。 |
| 9000 | Conman | TCP | QRadar コンソールから QRadar アプリケーション・ホストまでの単一方向の通信。 | アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 9090 | XForce IP Reputation データベースおよびサーバー | TCP | 内部通信。 外部から使用することはできません。 | QRadar プロセスと XForce Reputation IP データベースの間の通信。 |
| 9381 | 証明書ファイルのダウンロード | TCP | QRadar 管理対象ホストまたは外部ネットワークから QRadar コンソールまでの単一方向の通信。 | QRadar が生成した証明書の検証に使用できる QRadar CA 証明書および CRL ファイルのダウンロード。 |
| 9381 | localca-server | TCP | QRadar コンポーネント間の双方向通信。 | QRadar ローカル・ルート証明書と中間証明書、および関連する CRL の保持に使用されます。 |
| 9393, 9394 | vault-qrd | TCP | 内部通信。 外部から使用することはできません。 | 機密鍵を保持し、機密鍵への安全なアクセスをサービスに許可するために使用されます。 |
| 9913、および 1 つの動的割り当てポート | Web アプリケーション・コンテナー | TCP | Java 仮想マシン間の双方向の Java リモート・メソッド呼び出し (RMI) 通信。 | Web アプリケーションが登録されているときは、1 つの追加ポートが動的に割り当てられること。 |
| 9995 | NetFlow データ | UDP | フロー・ソース (通常はルーター) 上の管理インターフェースから QRadar QFlow Collector への通信。 | ルーターなどのコンポーネントからの NetFlow データグラム。 |
| 9999 | IBM QRadar Vulnerability Manager プロセッサー | TCP | スキャナーから QRadar Vulnerability Manager プロセッサーを実行するアプライアンスまでの単一方向の通信。 | QRadar Vulnerability Manager (QVM) コマンド情報のために使用されます。 QRadar コンソールは、QRadar Vulnerability Manager プロセッサーを実行するホスト上のこのポートに接続します。 このポートは、QVM が有効なときにのみ使用されます。 |
| 10000 | QRadar Web ベースのシステム管理・インターフェース。 | TCP/UDP | ユーザー・デスクトップ・システムからすべての QRadar ホスト。 | QRadar V7.2.5 までは、このポートをサーバーの変更 (ホストのルート・パスワードやファイアウォール・アクセスなど) に使用します。 V7.2.6 ではポート 10000 が無効になっています。 |
| 10101、10102 | ハートビート・コマンド | TCP | プライマリーおよびセカンダリー HA ノードの間の双方向トラフィック。 | HA ノードがアクティブであることを確認するために必要です。 |
| 12500 | Socat バイナリー | TCP | MH から QRadar コンソールへのアウトバウンド通信 | QRadar コンソールまたは MH が暗号化されているときに TCP 上で chrony UDP 要求をトンネリングするために使用されるポート |
| 14433 | traefik | TCP | QRadar コンポーネント間の双方向通信。 | アプリケーション・サービス・ディスカバリーに必要です。 |
| 15432 | QRM と QRadar の間の内部通信のために開けておく必要があります。 | |||
| 15433 | Postgres | TCP | ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 | QRadar Vulnerability Manager (QVM) の構成およびストレージに使用されます。 このポートは、QVM が有効なときにのみ使用されます。 |
| 15434 |
Forensics と QRadar の間の内部通信のために開けておく必要があります。 |
|||
| 20000-23000 | SSH トンネル | TCP | QRadar コンソールと他の暗号化された管理対象ホストすべてと間の双方向通信。 | 暗号化された管理対象ホストとの Java Message Service (JMS) 通信に使用される SSH トンネル用のローカル listen ポイント。 長時間実行される非同期タスク (「システムおよびライセンス管理」を通じたネットワーキング構成の更新など) を実行するために使用されます。 |
| 23111 | SOAP Web サーバー | TCP | イベント・コレクション・サービス (ECS) 用の SOAP Web サーバーのポート。 | |
| 23333 | Emulex ファイバー・チャネル | TCP | ファイバー・チャネル・カードを持つ QRadar アプライアンスに接続するユーザー・デスクトップ・システム。 | Emulex Fibre Channel HBAnywhere Remote Management サービス (elxmgmt)。 |
| 26000 | traefik | TCP | QRadar コンポーネント間の双方向通信。 | 暗号化されたアプリケーション・ホストで使用されます。 アプリケーション・サービス・ディスカバリーに必要です。 |
| 26001 | Conman | TCP | QRadar コンソールから QRadar アプリケーション・ホストまでの単一方向の通信。 | 暗号化されたアプリケーション・ホストで使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 32000 | 正規化フローの転送 | TCP | QRadar コンポーネント間の双方向通信。 | オフサイト・ソースから、または QRadar QFlow コレクター間で転送される正規化フロー・データ。 |
| 32004 | 正規化イベントの転送 | TCP | QRadar コンポーネント間の双方向通信。 | オフサイト・ソースから、またはQRadar イベント・コレクター間で転送される正規化イベント・データ。 |
| 32005 | データ・フロー | TCP | QRadar コンポーネント間の双方向通信。 | 各イベント・コレクターが個別の管理対象ホスト上に存在する場合の、QRadar イベント・コレクター間のデータ・フローの通信ポート。 |
| 32006 | Ariel の照会 | TCP | QRadar コンポーネント間の双方向通信。 | Ariel プロキシー・サーバーと Ariel 照会サーバー間の通信ポート。 |
| 32007 | オフェンス・データ | TCP | QRadar コンポーネント間の双方向通信。 | オフェンスの一因となっているかグローバル相関に関係するイベントおよびフロー。 |
| 32009 | アイデンティティー・データ | TCP | QRadar コンポーネント間の双方向通信。 | パッシブな脆弱性情報サービス (VIS) とイベント・コレクション・サービス (ECS) との間でやり取りされるアイデンティティー・データ。 |
| 32010 | フローの listen ソース・ポート | TCP | QRadar コンポーネント間の双方向通信。 | QRadar QFlow コレクターからデータを収集するためのフローの listen ポート。 |
| 32011 | Ariel の listen ポート | TCP | QRadar コンポーネント間の双方向通信。 | データベース検索、進行状況情報、およびその他の関連コマンド用の Ariel の listen ポート。 |
| 32000-33999 | データ・フロー (フロー、イベント、フロー・コンテキスト) | TCP | QRadar コンポーネント間の双方向通信。 | 各種のデータ・フロー (イベント、フロー、フロー・コンテキスト、イベント検索照会、Docker プロキシーなど)。 |
| 40799 | PCAP データ | UDP | Juniper Networks SRX シリーズのアプライアンスから QRadar への通信。 |
Juniper Networks SRX シリーズのアプライアンスから着信パケット・キャプチャー (PCAP) データを取得。 注: デバイス上のパケット・キャプチャーでは、別のポートを使用することができます。 パケット・キャプチャーの構成について詳しくは、Juniper Networks SRX シリーズのアプライアンスの資料を参照してください。
|
| ICMP | ICMP | HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向トラフィック。 | Internet Control Message Protocol (ICMP) を使用して、HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間のネットワーク接続をテストする。 |