QRadar ポートの使用
IBM QRadar サービスおよびコンポーネントがネットワークを介して通信するために使用する共通ポートのリストを確認します。 このポートのリストを使用すると、ネットワークで開く必要があるポートを判別できます。 例えば、 QRadar Console がリモート・イベント・プロセッサーと通信するために開く必要があるポートを判別できます。
WinCollect リモート・ポーリング
他の Microsoft Windows オペレーティング・システムをリモートでポーリングする WinCollect エージェントでは、追加のポート割り当てが必要になる場合があります。
詳しくは、「 IBM QRadar WinCollect ユーザー・ガイド」を参照してください。
QRadar listen ポート
LISTEN 状態で開かれる QRadar ポートを以下の表に示します。 LISTEN ポートが有効になるのは、ご使用のシステムで iptables が有効になっている場合のみです。 特に明記されていない限り、割り当てられたポート番号に関する情報は、すべての QRadar 製品に適用されます。| ポート | 説明 | プロトコル | 方向 | 要件 |
|---|---|---|---|---|
| 22 | SSH | TCP | QRadar Console から他のすべてのコンポーネントへの双方向通信。 | リモート管理アクセス。 リモート・システムを管理対象ホストとして追加。 ログ・ファイル・プロトコルなど、外部デバイスからファイルを取得するためのログ・ソース・プロトコル。 コマンド・ライン・インターフェースを使用してデスクトップからコンソールへの通信を行うユーザー。 高可用性 (HA)。 |
| 25 GB | SMTP | TCP | すべての管理対象ホストから SMTP ゲートウェイへの通信。 | QRadar から SMTP ゲートウェイへの E メール。 管理用 E メール連絡先に対するエラー E メール・メッセージと警告 E メール・メッセージの配信。 |
111 およびランダム生成ポート |
ポートマッパー |
TCP/UDP |
QRadar
Consoleと通信する管理対象ホスト (MH)。 QRadar Consoleに接続するユーザー。 |
ネットワーク・ファイル・システム (NFS) などの必須サービス用のリモート・プロシージャー・コール (RPC)。 |
| 123 | Network Time Protocol (NTP) | UDP | QRadar Console から NTP サーバーへのアウトバウンド MH から QRadar Console へのアウトバウンド |
Chrony 経由での次の間の時刻の同期:
|
| 135 と、RPC 呼び出しの場合に動的に割り当てられる 1024 よりも上のポート番号。 | DCOM | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft Security Event Log プロトコルまたは Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは IBM QRadar イベント・コレクターと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 注: DCOM は通常、通信用にランダムなポート範囲を割り振ります。 特定のポートを使用するように Microsoft Windows 製品を構成することができます。 詳しくは、Microsoft Windows の資料を参照してください。
|
| 137 | Windows NetBIOS ネーム・サービス | UDP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 138 | Windows NetBIOS データグラム・サービス | UDP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 139 | Windows NetBIOS セッション・サービス | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft Security Event Log Protocol または Adaptive Log Exporter エージェントのいずれかを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 162 | NetSNMP | UDP | QRadar
Consoleに接続する QRadar の管理対象ホスト。 QRadar Event Collectorsへの外部ログ・ソース。 |
外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の UDP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。 |
| 199 | NetSNMP | TCP | QRadar
Consoleに接続する QRadar の管理対象ホスト。 QRadar Event Collectorsへの外部ログ・ソース。 |
外部のログ・ソースからの通信 (v1、v2c、および v3) を listen する NetSNMP デーモン用の TCP ポート。 このポートは、SNMP エージェントが有効な場合にのみ開かれます。 |
| 427 | Service Location Protocol (SLP) | UDP/TCP | 統合管理モジュールは、このポートを使用して LAN 上のサービスを検出します。 | |
| 443 | Apache/HTTPS | TCP | すべての製品から QRadar
Consoleへのセキュア通信のための双方向トラフィック。 アプリケーション・ホストから QRadar Consoleへの単一方向トラフィック。 |
QRadar
Consoleから管理対象ホストに構成をダウンロードします。 QRadar Consoleに接続する QRadar の管理対象ホスト。 QRadarへのログイン・アクセス権限を持つユーザー。 WinCollect エージェントの構成更新を管理および提供する QRadar Console 。 QRadar API へのアクセスを必要とするアプリケーション。 |
| 445 | Microsoft ディレクトリー・サービス | TCP | WinCollect エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Microsoft セキュリティー・イベント・ログ・プロトコルを使用する QRadar Console コンポーネントまたは QRadar Event Collectors と、リモートでイベントをポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 Adaptive Log Exporter エージェントと、リモートでイベントがポーリングされる Windows オペレーティング・システムとの間の双方向トラフィック。 |
このトラフィックは、WinCollect、Microsoft セキュリティー・イベント・ログ・プロトコルまたは Adaptive Log Exporter によって生成されます。 |
| 514 | syslog | UDP/TCP | 双方向トラフィックを使用する TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。 単一方向トラフィックを使用する UDP Syslog イベントを提供する外部のネットワーク・アプライアンス。 QRadar ホストから QRadar Consoleへの内部 syslog トラフィック。 |
QRadar コンポーネントにイベント・データを送信するための外部ログ・ソース。 Syslogトラフィックには、 WinCollect エージェント、イベントコレクター、およびAdaptive Log Exporterエージェントが含まれ、これらは UDP または TCPQRadarイベントを送信できます。 |
| 762 | ネットワーク・ファイル・システム (NFS) マウント・デーモン (mountd) | TCP/UDP | QRadar Console と NFS サーバーの間の接続。 | 指定された場所にファイル・システムをマウントするための要求を処理するネットワーク・ファイル・システム (NFS) マウント・デーモン。 |
| 1514 | Syslog-ng | TCP/UDP | ロギングのための、ローカル イベント・コレクター コンポーネントとローカル イベント・プロセッサー コンポーネント間の syslog-ng デーモンへの接続。 | syslog-ng 用の内部ロギング・ポート。 |
| 2049 | NFS | TCP | QRadar Console と NFS サーバーの間の接続。 | コンポーネント間でファイルやデータを共有するためのネットワーク・ファイル・システム (NFS) プロトコル。 |
| 2055 | NetFlow データ | UDP | フロー・ソース (通常はルーター) 上の管理インターフェースから IBM QRadar Flow Collectorへ。 | ルーターなどのコンポーネントからの NetFlow データグラム。 |
| 2376 | Docker コマンド・ポート | TCP | 内部通信。 このポートを外部から使用することはできません。 | QRadar Application Framework リソースを管理するために使用されます。 |
| 3389 | リモート・デスクトップ・プロトコル (RDP) および Ethernet over USB が有効 | TCP/UDP | Microsoft Windows オペレーティング・システムが RDP および Ethernet over USB をサポートするように構成されている場合、ユーザーは管理ネットワークを介してサーバーとのセッションを開始できます。 これは、RDP のデフォルト・ポート 3389 が開いている必要があることを意味します。 | |
| 3900 | Integrated Management Module リモート・プレゼンス・ポート | TCP/UDP | このポートを使用して、Integrated Management Moduleを介して QRadar コンソールと対話します。 | |
| 4333 | リダイレクト・ポート | TCP | このポートは、 QRadar オフェンス解決のアドレス解決プロトコル (ARP) 要求のリダイレクト・ポートとして割り当てられます。 | |
| 5000 | コンソールで実行されている Docker SI Registry に通信できるようにするために使用されます。 これにより、すべての管理対象ホストが、コンソールからローカル・コンテナーの作成に使用されるイメージをプルできます。 | TCP | QRadar Console から QRadar アプリケーション・ホストへの単一方向。 | アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 5432 | Postgres | TCP | ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 | 「管理」タブから管理対象ホストをプロビジョニングする場合に必要です。 |
| 6514 | syslog | TCP | 双方向トラフィックを使用する暗号化された TCP Syslog イベントを提供する外部のネットワーク・アプライアンス。 | 暗号化されたイベント・データを QRadar コンポーネントに送信するための外部ログ・ソース。 |
| 7676、7677、および 32000 よりも大きな 4 つのランダムなバインド済みポート。 | メッセージング接続 (IMQ) | TCP | 管理対象ホスト上のコンポーネント間におけるメッセージ・キューの通信。 | 管理対象ホスト上のコンポーネント間における通信用のメッセージ・キュー・ブローカー。 注: QRadar コンソールから暗号化されていないホストへのこれらのポートへのアクセスを許可する必要があります。
ポート 7676 と 7677 は静的 TCP ポートで、4 つの追加の接続がランダムなポート上で作成されます。 |
| 5791、7700、7777、7778、7779、7780、7781、7782、7783、7787、7788、7790、7791、7792、7793、7794、7795、7799、8989、および 8990。 FIPS インストールのみ 7777、7778、7779、7780、7781、7782、7783、7788、7790、7791、7792、7793、7795、7799、および 8989。 |
JMX サーバーのポート | TCP | 内部通信。 これらのポートを外部から使用することはできません。 | JMX サーバー(Java™ Management Beans)監視をすべての内部 QRadar プロセスに対して実施し、サポート可能性メトリクスを公開する。 これらのポートは、 QRadar サポートによって使用されます。 |
| 7789 | HA 分散複製ブロック・デバイス | TCP/UDP | HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向通信。 | 分散複製ブロック・デバイスは、HA 構成におけるプライマリー・ホストとセカンダリー・ホスト間のドライブの同期を保つために使用されます。 |
| 7800 | Apache Tomcat | TCP | イベント・プロセッサー から QRadar Consoleへ。 | イベント用のリアルタイム処理 (ストリーミング)。 |
| 7801 | Apache Tomcat | TCP | イベント・プロセッサー から QRadar Consoleへ。 | フロー用のリアルタイム処理 (ストリーミング)。 |
| 7803 | アノマリ検出エンジン | TCP | イベント・プロセッサー から QRadar Consoleへ。 | アノマリ検出エンジンのポート。 |
| 7804 | QRM Arc ビルダー | TCP | QRadar プロセスと ARC ビルダーの間の内部制御通信。 | このポートは、 QRadar Risk Manager にのみ使用されます。 外部から使用することはできません。 |
| 7805 | Syslog トンネル通信 | TCP | QRadar Console と管理対象ホストの間の双方向通信 | コンソールと管理対象ホストとの間の暗号化された通信に使用されます。 |
| 8000 | イベント収集サービス (ECS) | TCP | イベント・コレクター から QRadar Consoleへ。 | 特定のイベント・コレクション・サービス (ECS) 用の listen ポート。 |
| 8001 | SNMP デーモンのポート | TCP | 外部 SNMP システムが SNMP トラップ情報を要求する QRadar Console。 | 外部の SNMP データ要求用の listen ポート。 |
| 8005 | Apache Tomcat | TCP | 内部通信。 外部から使用することはできません。 | tomcat を制御するために開かれます。 このポートはバインドされており、ローカル・ホストからの接続しか受け入れません。 |
| 8009 | Apache Tomcat | TCP | HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 | Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。 |
| 8080 | Apache Tomcat | TCP | HTTP デーモン (HTTPd) プロセスから Tomcat への通信。 | Web サービスに対して要求が使用されてプロキシーされる Tomcat コネクター。 |
| 8082 | QRadar Risk Manager のセキュア・トンネル | TCP | QRadar Console と QRadar Risk Manager の間の双方向トラフィック | QRadar Risk Manager と QRadar Consoleの間で暗号化を使用する場合は必須です。 |
| 8413 | WinCollect エージェント | TCP | WinCollect エージェントと QRadar Consoleの間の双方向トラフィック。 | このトラフィックは WinCollect エージェントによって生成され、通信は暗号化されます。 構成の更新を WinCollect エージェントに提供し、WinCollect を接続モードで使用する必要があります。 |
| 8844 | Apache Tomcat | TCP | QRadar Console から、 QRadar Vulnerability Manager プロセッサーを実行しているアプライアンスへの単一方向。 | QRadar Vulnerability Manager プロセッサーを実行しているホストから情報を読み取るために Apache Tomcat によって使用されます。 重要: IBM
QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM
QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
|
| 9000 | Conman | TCP | QRadar Console から QRadar アプリケーション・ホストへの単一方向。 | アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 9090 | XForce IP Reputation データベースおよびサーバー | TCP | 内部通信。 外部から使用することはできません。 | QRadar プロセスと XForce レピュテーション IP データベースの間の通信。 |
| 9381 | 証明書ファイルのダウンロード | TCP | QRadar 管理対象ホストまたは外部ネットワークから QRadar Console への単一方向 | QRadar CA 証明書および CRL ファイルのダウンロード。これらを使用して、 QRadar が生成した証明書を検証できます。 |
| 9381 | localca-server | TCP | QRadar コンポーネント間の双方向通信。 | QRadar のローカル・ルート証明書と中間証明書、および関連する CRL を保持するために使用されます。 |
| 9393, 9394 | vault-qrd | TCP | 内部通信。 外部から使用することはできません。 | 機密鍵を保持し、機密鍵への安全なアクセスをサービスに許可するために使用されます。 |
| 9913、および 1 つの動的割り当てポート | Web アプリケーション・コンテナー | TCP | Java 仮想マシン間の双方向の Java リモート・メソッド呼び出し (RMI) 通信。 | Web アプリケーションが登録されているときは、1 つの追加ポートが動的に割り当てられること。 |
| 9995 | NetFlow データ | UDP | フロー・ソース (通常はルーター) 上の管理インターフェースから QRadar Flow Collectorへ。 | ルーターなどのコンポーネントからの NetFlow データグラム。 |
| 9999 | IBM QRadar Vulnerability Manager プロセッサー | TCP | スキャナーから QRadar Vulnerability Manager プロセッサーを実行するアプライアンスへの単一方向 | QRadar Vulnerability Manager (QVM) コマンド情報に使用されます。 QRadar
Console は、 QRadar Vulnerability Manager プロセッサーを実行しているホスト上のこのポートに接続します。 このポートは、QVM が有効なときにのみ使用されます。 重要: IBM
QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM
QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
|
| 10000 | QRadar Web ベースのシステム管理インターフェース | TCP/UDP | すべての QRadar ホストに対するユーザー・デスクトップ・システム。 | QRadar V7.2.5 以前では、このポートは、ホストのルート・パスワードやファイアウォール・アクセスなど、サーバーの変更に使用されます。 V7.2.6でポート 10000 が無効になっています。 |
| 10101、10102 | ハートビート・コマンド | TCP | プライマリーおよびセカンダリー HA ノードの間の双方向トラフィック。 | HA ノードがアクティブであることを確認するために必要です。 |
| 12500 | Socat バイナリー | TCP | MH から QRadar Console へのアウトバウンド | QRadar Console または MH が暗号化されている場合に TCP 経由で同期 UDP 要求をトンネリングするために使用されるポート |
| 14433 | traefik | TCP | QRadar Console から QRadar アプリケーション・ホストへの単一方向。 | アプリケーション・ホストと共に使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 15432 | QRM と QRadarの間の内部通信のために開く必要があります。 | |||
| 15433 | Postgres | TCP | ローカルのデータベース・インスタンスへのアクセスに使用される管理対象ホスト用の通信。 | QRadar Vulnerability Manager (QVM) 構成およびストレージに使用されます。 このポートは、QVM が有効なときにのみ使用されます。 重要: IBM
QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM
QRadarでもサポートされなくなりました。 詳細については、 QRadar Vulnerability Manager: 製品サービス終了通知 ( https://www.ibm.com/support/pages/node/6853425 ) を参照してください。
|
| 15434 | Forensics と QRadarの間の内部通信のために開く必要があります。 |
|||
| 20000-23000 | SSH トンネル | TCP | QRadar コンソールと他のすべての暗号化された管理対象ホスト間の双方向。 | 暗号化された管理対象ホストとの Java Message Service (JMS) 通信に使用される SSH トンネル用のローカル listen ポイント。 長時間実行される非同期タスク (「システムおよびライセンス管理」を通じたネットワーキング構成の更新など) を実行するために使用されます。 |
| 23111 | SOAP Web サーバー | TCP | イベント・コレクション・サービス (ECS) 用の SOAP Web サーバーのポート。 | |
| 23333 | Emulex ファイバー・チャネル | TCP | ファイバー・チャネル・カードを使用して QRadar アプライアンスに接続するユーザー・デスクトップ・システム。 | Emulex Fibre Channel HBAnywhere Remote Management サービス (elxmgmt)。 |
| 26000 | traefik | TCP | QRadar コンポーネント間の双方向通信。 | 暗号化されたアプリケーション・ホストで使用されます。 アプリケーション・サービス・ディスカバリーに必要です。 |
| 26001 | Conman | TCP | QRadar Console から QRadar アプリケーション・ホストへの単一方向。 | 暗号化されたアプリケーション・ホストで使用されます。 これにより、コンソールからアプリケーションをアプリケーション・ホストにデプロイし、それらのアプリケーションを管理できるようになります。 |
| 32000 | 正規化フローの転送 | TCP | QRadar コンポーネント間の双方向通信。 | オフサイト・ソースから、または QRadar Flow Collectors間で伝達される正規化されたフロー・データ。 |
| 32004 | 正規化イベントの転送 | TCP | QRadar コンポーネント間の双方向通信。 | オフサイト・ソースから、または QRadar Event Collectors間で伝達される正規化イベント・データ。 |
| 32005 | データ・フロー | TCP | QRadar コンポーネント間の双方向通信。 | 別個の管理対象ホスト上にある場合の QRadar Event Collectors 間のデータ・フロー通信ポート。 |
| 32006 | Ariel 照会 | TCP | QRadar コンポーネント間の双方向通信。 | Ariel プロキシー・サーバーと Ariel 照会サーバーの間の通信ポート。 |
| 32007 | オフェンス・データ | TCP | QRadar コンポーネント間の双方向通信。 | オフェンスの一因となっているかグローバル相関に関係するイベントおよびフロー。 |
| 32009 | アイデンティティー・データ | TCP | QRadar コンポーネント間の双方向通信。 | パッシブな脆弱性情報サービス (VIS) とイベント・コレクション・サービス (ECS) との間でやり取りされるアイデンティティー・データ。 |
| 32010 | フローの listen ソース・ポート | TCP | QRadar コンポーネント間の双方向通信。 | QRadar Flow Collectorsからデータを収集するためのフロー listen ポート。 |
| 32011 | Ariel Listen ポート | TCP | QRadar コンポーネント間の双方向通信。 | データベース検索、進行状況情報、およびその他の関連コマンド用の Ariel リスニング・ポート。 |
| 32000-33999 | データ・フロー (フロー、イベント、フロー・コンテキスト) | TCP | QRadar コンポーネント間の双方向通信。 | 各種のデータ・フロー (イベント、フロー、フロー・コンテキスト、イベント検索照会、Docker プロキシーなど)。 |
| 40799 | PCAP データ | UDP | Juniper Networks SRX シリーズ・アプライアンスから QRadarへの通信。 | Juniper Networks SRX シリーズのアプライアンスから着信パケット・キャプチャー (PCAP) データを取得。 注: デバイス上のパケット・キャプチャーは、別のポートを使用できます。 パケット・キャプチャーの構成について詳しくは、Juniper Networks SRX シリーズのアプライアンスの資料を参照してください。
|
| ICMP | ICMP | HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間の双方向トラフィック。 | Internet Control Message Protocol (ICMP) を使用して、HA クラスター内のセカンダリー・ホストとプライマリー・ホスト間のネットワーク接続をテストする。 |