InsightIDR使用的端口

当准备将InsightIDR部署到您的环境时,请检查并遵循以下内容:

收集器的港口

Collector主机将使用常见和不常见端口轮询和侦听日志事件。您需要禁用任何本地防火墙、恶意软件检测和杀毒软件来阻止这些端口。具体的采集端口取决于采集日志的设备和采集日志的方式。添加事件源时配置端口。

使用syslog协议向InsightIDR发送日志时(该协议是通过网口监听方式配置的),Insight Collector要求每条日志流都通过唯一的TCP或UDP端口发送到Insight tidr。对于每个添加到采集器上的事件源,需要配置以syslog方式发送日志的设备使用该采集器唯一的TCP或UDP端口。通常使用端口10000开始发送日志,因为该端口范围通常不用于任何其他用途,尽管您可以使用任何开放的唯一端口。

如果您有许多相同类型的事件源,那么您可能希望通过为不同类型的事件源保留块来“分条”收集器端口。例如,端口20000 - 200009预留给防火墙,端口200010 - 20019预留给IDS。

采集器端口使用情况

在一台采集器上不能配置多个事件源,使用相同的UDP或TCP端口,使用监听网口的数据采集方法。

对多个事件源使用相同Insight Collector的示例:

如果您希望使用相同的Insight Collector从两个防火墙收集日志,则必须记住,每个syslog事件源必须配置为使用Collector上的不同端口。这意味着你可以:

  1. 为每个防火墙添加一个事件源,并将其配置为使用不同的端口或
  2. 添加一个事件源,收集两台防火墙的日志,并配置两台防火墙通过同一端口发送日志。

为每个设备选择使用独立的事件源有很多好处:

  • 如果其中一个设备停止发送日志,就更容易发现。另外不活动警报可以为每个事件源创建。
  • 每个事件源在日志搜索中显示为一个单独的日志。
  • 由于事件源的时区需要和发送设备的时区相匹配,所以单独的事件源可以使每个设备处于不同的时区。

注意,最多有10个设备可以使用TCP作为传输协议将syslog发送到单个事件源。

使用WMI协议

对于使用WMI协议收集的日志,需要通过管理帐户进行访问,并通过端口135、139和445进行通信。当严格的网络规则不允许通过WMI使用的临时端口进行通信时,您可能需要设置一个固定端口。阅读微软文档了解更多信息:https://docs.microsoft.com/en-us/windows/win32/wmisdk/setting-up-a-fixed-port-for-wmi

其他港口

下表概述了InsightIDR的必要通信需求。评估您的环境,并确定需要更改防火墙或访问控制的地方。

目的地

港口

所有部署收藏家

data.insight.rapid7.com (US-1)

us2.data.insight.rapid7.com (2)

us3.data.insight.rapid7.com(三)

eu.data.insight.rapid7.com (EMEA)

ca.data.insight.rapid7.com (CA)

au.data.insight.rapid7.com (AU)

ap.data.insight.rapid7.com(美联社)

443

所有部署收藏家

s3.amazonaws.com (US-1)

s3.us -东- 2. - amazonaws.com (2)

s3.us -西方- 2. amazonaws.com(三)

s3.eu中央- 1. amazonaws.com (EMEA)

s3.ca中央- 1. amazonaws.com (CA)

s3.ap东南- 2. amazonaws.com (AU)

s3.ap东北- 1. amazonaws.com(美联社)

443

如果没有必威体育app登录通过收集器连接,则所有Insight Agents都将进行连接

endpoint.ingress.rapid7.com (US-1)

us2.endpoint.ingress.rapid7.com (2)

us3.endpoint.ingress.rapid7.com(三)

eu.endpoint.ingress.rapid7.com (EMEA)

ca.endpoint.ingress.rapid7.com (CA)

au.endpoint.ingress.rapid7.com (AU)

ap.endpoint.ingress.rapid7.com(美联社)

443

如果没有必威体育app登录通过收集器连接,则所有Insight Agents都将进行连接

US-1

us.storage.endpoint.ingress.rapid7.com

us.bootstrap.endpoint.ingress.rapid7.com

2

us2.storage.endpoint.ingress.rapid7.com

us2.bootstrap.endpoint.ingress.rapid7.com

我们三个

us3.storage.endpoint.ingress.rapid7.com

us3.bootstrap.endpoint.ingress.rapid7.com

欧盟

eu.storage.endpoint.ingress.rapid7.com

eu.bootstrap.endpoint.ingress.rapid7.com

CA

ca.storage.endpoint.ingress.rapid7.com

ca.bootstrap.endpoint.ingress.rapid7.com

非盟

au.storage.endpoint.ingress.rapid7.com

au.bootstrap.endpoint.ingress.rapid7.com

美联社

ap.storage.endpoint.ingress.rapid7.com

ap.bootstrap.endpoint.ingress.rapid7.com

443

使用端点监视器时的所有端点(仅限Windows)

收集器

135或445 (WMI), 5508, 20000-30000

所有In必威体育app登录sight agent(通过Collector连接)

收集器

5508、6608、8037

收集器

配置为LDAP事件源的域控制器

636年或389年

收集器

所有域控制器

135、139、445

活动目录

WMI收集方法

135年,445年

DNS/DHCP,有时是Active Directory

Windows文件共享

139

非ms DHCP服务器

收集器

UDP/TCP端口大于1024

防火墙

收集器

UDP/TCP端口大于1024

检查点防火墙

收集器

18184或其他指定的

VPN

收集器

UDP/TCP端口大于1024

AV服务器(syslog方式发送日志)

收集器

UDP/TCP端口大于1024

Nexpose / InsightVM

收集器

3780

Metasploit

收集器

3790

box.com日志

https://api.box.com

443

*在收集日志的采集器上,指定的端口不能重复