QRadar ポートの使用

IBM QRadar サービスおよびコンポーネントがネットワークを介して通信するために使用する共通ポートのリストを確認します。 このポートのリストを使用すると、ネットワークで開く必要があるポートを判別できます。 例えば、 QRadar Console がリモート・イベント・プロセッサーと通信するために開く必要があるポートを判別できます。

警告: 共通ポートを変更すると、 QRadar デプロイメントが中断する可能性があります。

WinCollect リモート・ポーリング

他の Microsoft Windows オペレーティング・システムをリモートでポーリングする WinCollect エージェントでは、追加のポート割り当てが必要になる場合があります。

詳しくは、「 IBM QRadar WinCollect ユーザー・ガイド」を参照してください。

QRadar listen ポート

LISTEN 状態で開かれる QRadar ポートを以下の表に示します。 LISTEN ポートが有効になるのは、ご使用のシステムで iptables が有効になっている場合のみです。 特に明記されていない限り、割り当てられたポート番号に関する情報は、すべての QRadar 製品に適用されます。
表 1. QRadar サービスおよびコンポーネントによって使用されるリスニング・ポート
ポート 説明 プロトコル 方向 要件
22 SSH TCP QRadar Console から他のすべてのコンポーネントへの双方向通信。 リモート管理アクセス。

リモート・システムを管理対象ホストとして追加。

ログ・ファイル・プロトコルなど、外部デバイスからファイルを取得するためのログ・ソース・プロトコル。

コマンド・ライン・インターフェースを使用してデスクトップからコンソールへの通信を行うユーザー。

高可用性 (HA)。

25 GB SMTP TCP すべての管理対象ホストから SMTP ゲートウェイへの通信。 QRadar から SMTP ゲートウェイへの E メール。

管理用 E メール連絡先に対するエラー E メール・メッセージと警告 E メール・メッセージの配信。

111 およびランダム生成ポート

ポートマッパー

TCP/UDP

QRadar Consoleと通信する管理対象ホスト (MH)。

QRadar Consoleに接続するユーザー。

ネットワーク・ファイル・システム (NFS) などの必須サービス用のリモート・プロシージャー・コール (RPC)。

123 Network Time Protocol (NTP) UDP

QRadar Console から NTP サーバーへのアウトバウンド

MH から QRadar Console へのアウトバウンド

Chrony 経由での次の間の時刻の同期:

  • QRadar® コンソールとNTPサーバー
  • QRadar 管理対象ホストおよび QRadar コンソール
135 と、RPC 呼び出しの場合に動的に割り当てられる 1024 よりも上のポート番号。 DCOM TCP WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Microsoft Security Event Log プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは IBM QRadar イベント・コレクターと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。
注: DCOM は通常、通信用にランダムなポート範囲を割り振ります。 特定のポートを使用するように Microsoft Windows 製品を構成することができます。 詳しくは、Microsoft Windows の資料を参照してください。
137 Windows NetBIOS ネーム・サービス UDP WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。
138 Windows NetBIOS データグラム・サービス UDP WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。
139 Windows NetBIOS セッション・サービス TCP WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。
162 NetSNMP UDP QRadar Consoleに接続する QRadar の管理対象ホスト。

QRadar Event Collectorsへの外部ログ・ソース。

外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の UDP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。
199 NetSNMP TCP QRadar Consoleに接続する QRadar の管理対象ホスト。

QRadar Event Collectorsへの外部ログ・ソース。

外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の TCP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。
427 Service Location Protocol (SLP) UDP/TCP   統合管理モジュールは、このポートを使用して LAN 上のサービスを検出します。
443 Apache/HTTPS TCP すべての製品から QRadar Consoleへのセキュア通信のための双方向トラフィック。

アプリケーション・ホストから QRadar Consoleへの単一方向トラフィック。

QRadar Consoleから管理対象ホストに構成をダウンロードします。

QRadar Consoleに接続する QRadar の管理対象ホスト。

QRadarへのログイン・アクセス権限を持つユーザー。

WinCollect エージェントの構成更新を管理および提供する QRadar Console

QRadar API へのアクセスを必要とするアプリケーション。

445 Microsoft ディレクトリー・サービス TCP WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Microsoft セキュリティー・イベント・ログ・プロトコルを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントをポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

Adaptive Log Exporter エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。

このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。
514 syslog UDP/TCP 双方向トラフィックを使用する TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。

単一方向トラフィックを使用する UDP Syslog イベントを提供する外部のネットワーク・アプライアンス。

QRadar ホストから QRadar Consoleへの内部 syslog トラフィック。

QRadar コンポーネントにイベント・データを送信するための外部ログ・ソース。

Syslogトラフィックには、 WinCollect エージェント、イベントコレクター、およびAdaptive Log Exporterエージェントが含まれ、これらは UDP または TCPQRadarイベントを送信できます。

762 ネットワーク・ファイル・システム (NFS) マウント・デーモン (mountd) TCP/UDP QRadar Console と NFS サーバーの間の接続。 指定された場所にファイル・システムをマウントするための要求を処理するネットワーク・ファイル・システム (NFS) マウント・デーモン。
1514 Syslog-ng TCP/UDP ロギングのための、ローカル イベント・コレクター コンポーネントとローカル イベント・プロセッサー コンポーネント間の syslog-ng デーモンへの接続。 syslog-ng 用の内部ロギング・ポート。
2049 NFS TCP QRadar Console と NFS サーバーの間の接続。 コンポーネント間でファイルやデータを共有するためのネットワーク・ファイル・システム (NFS) プロトコル。
2055 NetFlow データ UDP フロー・ソース (通常はルーター) 上の管理インターフェースから IBM QRadar Flow Collectorへ。 ルーターなどのコンポーネントからの NetFlow データグラム。
2376 Docker コマンド・ポート TCP 内部通信。 このポートを外部から使用することはできません。 QRadar Application Framework リソースを管理するために使用されます。
3389 リモート・デスクトップ・プロトコル (RDP) および Ethernet over USB が有効 TCP/UDP   Microsoft Windows オペレーティング・システムが RDP および Ethernet over USB をサポートするように構成されている場合、ユーザーは管理ネットワークを介してサーバーとのセッションを開始できます。 これは、RDP のデフォルト・ポート 3389 が開いている必要があることを意味します。
3900 Integrated Management Module リモート・プレゼンス・ポート TCP/UDP   このポートを使用して、Integrated Management Moduleを介して QRadar コンソールと対話します。
4333 リダイレクト・ポート TCP   このポートは、 QRadar オフェンス解決のアドレス解決プロトコル (ARP) 要求のリダイレクト・ポートとして割り当てられます。
5000 コンソールで実行されている Docker SI Registry に通信できるようにするために使用されます。 これにより、すべての管理対象ホストが、コンソールからローカル・コンテナーの作成に使用されるイメージをプルできます。 TCP QRadar Console から QRadar アプリケーション・ホストへの単一方向。 アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。
5432 Postgres TCP ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 「管理」タブから管理対象ホストをプロビジョニングする場合に必要です。
6514 syslog TCP 双方向トラフィックを使用する暗号化された TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。 暗号化されたイベント・データを QRadar コンポーネントに送信するための外部ログ・ソース。
7676、7677、および 32000 よりも大きな 4 つのランダムなバインド済みポート。 メッセージング接続 (IMQ) TCP 管理対象ホスト上のコンポーネント間におけるメッセージ・キューの通信。 管理対象ホスト上のコンポーネント間における通信用のメッセージ・キュー・ブローカー。
注: QRadar コンソールから暗号化されていないホストへのこれらのポートへのアクセスを許可する必要があります。

ポート 7676 と 7677 は静的 TCP ポートで、4 つの追加の接続がランダムなポート上で作成されます。

5791、7700、7777、7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989、および 8990。

FIPS インストールのみ 7777、7778、7779、7780、7781、7782、7783、7788、7790、7791、7792、7793、7795、7799、および 8989。

JMX サーバーのポート TCP 内部通信。 これらのポートを外部から使用することはできません。 JMX サーバー(Java™ Management Beans)監視をすべての内部 QRadar プロセスに対して実施し、サポート可能性メトリクスを公開する。

これらのポートは、 QRadar サポートによって使用されます。

7789 HA 分散複製ブロック・デバイス TCP/UDP HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向通信。 分散複製ブロック・デバイスは、HA 構成におけるプライマリー・ホストとセカンダリー・ホスト間のドライブの同期を保つために使用されます。
7800 Apache Tomcat TCP イベント・プロセッサー から QRadar Consoleへ。 イベント用のリアルタイム処理 (ストリーミング)。
7801 Apache Tomcat TCP イベント・プロセッサー から QRadar Consoleへ。 フロー用のリアルタイム処理 (ストリーミング)。
7803 アノマリ検出エンジン TCP イベント・プロセッサー から QRadar Consoleへ。 アノマリ検出エンジンのポート。
7804 QRM Arc ビルダー TCP QRadar プロセスと ARC ビルダーの間の内部制御通信。 このポートは、 QRadar Risk Manager にのみ使用されます。 外部から使用することはできません。
7805 Syslog トンネル通信 TCP QRadar Console と管理対象ホストの間の双方向通信 コンソールと管理対象ホストとの間の暗号化された通信に使用されます。
8000 イベント収集サービス (ECS) TCP イベント・コレクター から QRadar Consoleへ。 特定のイベント・コレクション・サービス (ECS) 用の listen ポート。
8001 SNMP デーモンのポート TCP 外部 SNMP システムが SNMP トラップ情報を要求する QRadar Console 外部の SNMP データ要求用の listen ポート。
8005 Apache Tomcat TCP 内部通信。 外部から使用することはできません。 tomcat を制御するために開かれます。

このポートはバインドされており、ローカル・ホストからの接続しか受け入れません。

8009 Apache Tomcat TCP HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。
8080 Apache Tomcat TCP HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。
8082 QRadar Risk Manager のセキュア・トンネル TCP QRadar ConsoleQRadar Risk Manager の間の双方向トラフィック QRadar Risk ManagerQRadar Consoleの間で暗号化を使用する場合は必須です。
8413 WinCollect エージェント TCP WinCollect エージェントと QRadar Consoleの間の双方向トラフィック。 このトラフィックは WinCollect エージェントによって生成され、通信は暗号化されます。 構成の更新を WinCollect エージェントに提供し、WinCollect を接続モードで使用する必要があります。
8844 Apache Tomcat TCP QRadar Console から、 QRadar Vulnerability Manager プロセッサーを実行しているアプライアンスへの単一方向。 QRadar Vulnerability Manager プロセッサーを実行しているホストから情報を読み取るために Apache Tomcat によって使用されます。
重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
9000 Conman TCP QRadar Console から QRadar アプリケーション・ホストへの単一方向。 アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。
9090 XForce IP Reputation データベースおよびサーバー TCP 内部通信。 外部から使用することはできません。 QRadar プロセスと XForce レピュテーション IP データベースの間の通信。
9381 証明書ファイルのダウンロード TCP QRadar 管理対象ホストまたは外部ネットワークから QRadar Console への単一方向 QRadar CA 証明書および CRL ファイルのダウンロード。これらを使用して、 QRadar が生成した証明書を検証できます。
9381 localca-server TCP QRadar コンポーネント間の双方向通信。 QRadar のローカル・ルート証明書と中間証明書、および関連する CRL を保持するために使用されます。
9393, 9394 vault-qrd TCP 内部通信。 外部から使用することはできません。 機密鍵を保持し、機密鍵への安全なアクセスをサービスに許可するために使用されます。
9913、および 1 つの動的割り当てポート Web アプリケーション・コンテナー TCP Java 仮想マシン間の双方向の Java リモート・メソッド呼び出し (RMI) 通信。 Web アプリケーションが登録されているときは、1 つの追加ポートが動的に割り当てられること。
9995 NetFlow データ UDP フロー・ソース (通常はルーター) 上の管理インターフェースから QRadar Flow Collectorへ。 ルーターなどのコンポーネントからの NetFlow データグラム。
9999 IBM QRadar Vulnerability Manager プロセッサー TCP スキャナーから QRadar Vulnerability Manager プロセッサーを実行するアプライアンスへの単一方向 QRadar Vulnerability Manager (QVM) コマンド情報に使用されます。 QRadar Console は、 QRadar Vulnerability Manager プロセッサーを実行しているホスト上のこのポートに接続します。 このポートは、QVM が有効なときにのみ使用されます。
重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
10000 QRadar Web ベースのシステム管理インターフェース TCP/UDP すべての QRadar ホストに対するユーザー・デスクトップ・システム。 QRadar V7.2.5 以前では、このポートは、ホストのルート・パスワードやファイアウォール・アクセスなど、サーバーの変更に使用されます。

V7.2.6でポート 10000 が無効になっています。

10101、10102 ハートビート・コマンド TCP プライマリーおよびセカンダリー HA ノードの間の双方向トラフィック。 HA ノードがアクティブであることを確認するために必要です。
12500 Socat バイナリー TCP MH から QRadar Console へのアウトバウンド QRadar Console または MH が暗号化されている場合に TCP 経由で同期 UDP 要求をトンネリングするために使用されるポート
14433 traefik TCP QRadar Console から QRadar アプリケーション・ホストへの単一方向。 アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。
15432       QRM と QRadarの間の内部通信のために開く必要があります。
15433 Postgres TCP ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 QRadar Vulnerability Manager (QVM) 構成およびストレージに使用されます。 このポートは、QVM が有効なときにのみ使用されます。
重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
15434      

Forensics と QRadarの間の内部通信のために開く必要があります。

20000-23000 SSH トンネル TCP QRadar コンソールと他のすべての暗号化された管理対象ホスト間の双方向。 暗号化された管理対象ホストとの Java Message Service (JMS) 通信に使用される SSH トンネル用のローカル listen ポイント。 長時間実行される非同期タスク (「システムおよびライセンス管理」を通じたネットワーキング構成の更新など) を実行するために使用されます。
23111 SOAP Web サーバー TCP   イベント・コレクション・サービス (ECS) 用の SOAP Web サーバーのポート。
23333 Emulex ファイバー・チャネル TCP ファイバー・チャネル・カードを使用して QRadar アプライアンスに接続するユーザー・デスクトップ・システム。 Emulex Fibre Channel HBAnywhere Remote Management サービス (elxmgmt)。
26000 traefik TCP QRadar コンポーネント間の双方向通信。 暗号化されたアプリケーション・ホストで使用されます。 アプリケーション・サービス・ディスカバリーに必要です。
26001 Conman TCP QRadar Console から QRadar アプリケーション・ホストへの単一方向。 暗号化されたアプリケーション・ホストで使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。
32000 正規化フローの転送 TCP QRadar コンポーネント間の双方向通信。 オフサイト・ソースから、または QRadar Flow Collectors間で伝達される正規化されたフロー・データ。
32004 正規化イベントの転送 TCP QRadar コンポーネント間の双方向通信。 オフサイト・ソースから、または QRadar Event Collectors間で伝達される正規化イベント・データ。
32005 データ・フロー TCP QRadar コンポーネント間の双方向通信。 別個の管理対象ホスト上にある場合の QRadar Event Collectors 間のデータ・フロー通信ポート。
32006 Ariel 照会 TCP QRadar コンポーネント間の双方向通信。 Ariel プロキシー・サーバーと Ariel 照会サーバーの間の通信ポート。
32007 オフェンス・データ TCP QRadar コンポーネント間の双方向通信。 オフェンスの一因となっているかグローバル相関に関係するイベントおよびフロー。
32009 アイデンティティー・データ TCP QRadar コンポーネント間の双方向通信。 パッシブな脆弱性情報サービス (VIS) とイベント・コレクション・サービス (ECS) との間でやり取りされるアイデンティティー・データ。
32010 フローの listen ソース・ポート TCP QRadar コンポーネント間の双方向通信。 QRadar Flow Collectorsからデータを収集するためのフロー listen ポート。
32011 Ariel Listen ポート TCP QRadar コンポーネント間の双方向通信。 データベース検索、進行状況情報、およびその他の関連コマンド用の Ariel リスニング・ポート。
32000-33999 データ・フロー (フロー、イベント、フロー・コンテキスト) TCP QRadar コンポーネント間の双方向通信。 各種のデータ・フロー (イベント、フロー、フロー・コンテキスト、イベント検索照会、Docker プロキシーなど)。
40799 PCAP データ UDP Juniper Networks SRX シリーズ・アプライアンスから QRadarへの通信。

Juniper Networks SRX シリーズのアプライアンスから着信パケット・キャプチャー (PCAP) データを取得。

注: デバイス上のパケット・キャプチャーは、別のポートを使用できます。 パケット・キャプチャーの構成について詳しくは、Juniper Networks SRX シリーズのアプライアンスの資料を参照してください。
ICMP ICMP   HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向トラフィック。 Internet Control Message Protocol (ICMP) を使用して、HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間のネットワーク接続をテストする。