InsightIDR使用的端口
当准备将InsightIDR部署到您的环境时,请检查并遵循以下内容:
收集器的港口
Collector主机将使用常见和不常见端口轮询和侦听日志事件。您需要禁用任何本地防火墙、恶意软件检测和杀毒软件来阻止这些端口。具体的采集端口取决于采集日志的设备和采集日志的方式。添加事件源时配置端口。
使用syslog协议向InsightIDR发送日志时(该协议是通过网口监听方式配置的),Insight Collector要求每条日志流都通过唯一的TCP或UDP端口发送到Insight tidr。对于每个添加到采集器上的事件源,需要配置以syslog方式发送日志的设备使用该采集器唯一的TCP或UDP端口。通常使用端口10000开始发送日志,因为该端口范围通常不用于任何其他用途,尽管您可以使用任何开放的唯一端口。
如果您有许多相同类型的事件源,那么您可能希望通过为不同类型的事件源保留块来“分条”收集器端口。例如,端口20000 - 200009预留给防火墙,端口200010 - 20019预留给IDS。
采集器端口使用情况
在一台采集器上不能配置多个事件源,使用相同的UDP或TCP端口,使用监听网口的数据采集方法。
对多个事件源使用相同Insight Collector的示例:
如果您希望使用相同的Insight Collector从两个防火墙收集日志,则必须记住,每个syslog事件源必须配置为使用Collector上的不同端口。这意味着你可以:
- 为每个防火墙添加一个事件源,并将其配置为使用不同的端口或
- 添加一个事件源,收集两台防火墙的日志,并配置两台防火墙通过同一端口发送日志。
为每个设备选择使用独立的事件源有很多好处:
- 如果其中一个设备停止发送日志,就更容易发现。另外不活动警报可以为每个事件源创建。
- 每个事件源在日志搜索中显示为一个单独的日志。
- 由于事件源的时区需要和发送设备的时区相匹配,所以单独的事件源可以使每个设备处于不同的时区。
注意,最多有10个设备可以使用TCP作为传输协议将syslog发送到单个事件源。
使用WMI协议
对于使用WMI协议收集的日志,需要通过管理帐户进行访问,并通过端口135、139和445进行通信。当严格的网络规则不允许通过WMI使用的临时端口进行通信时,您可能需要设置一个固定端口。阅读微软文档了解更多信息:https://docs.microsoft.com/en-us/windows/win32/wmisdk/setting-up-a-fixed-port-for-wmi
其他港口
下表概述了InsightIDR的必要通信需求。评估您的环境,并确定需要更改防火墙或访问控制的地方。
源 |
目的地 |
港口 |
|---|---|---|
所有部署收藏家 |
data.insight.rapid7.com (US-1) |
443 |
所有部署收藏家 |
s3.amazonaws.com (US-1) |
443 |
如果没有必威体育app登录通过收集器连接,则所有Insight Agents都将进行连接 |
endpoint.ingress.rapid7.com (US-1) |
443 |
如果没有必威体育app登录通过收集器连接,则所有Insight Agents都将进行连接 |
US-1 |
443 |
使用端点监视器时的所有端点(仅限Windows) |
收集器 |
135或445 (WMI), 5508, 20000-30000 |
所有In必威体育app登录sight agent(通过Collector连接) |
收集器 |
5508、6608、8037 |
收集器 |
配置为LDAP事件源的域控制器 |
636年或389年 |
收集器 |
所有域控制器 |
135、139、445 |
活动目录 |
WMI收集方法 |
135年,445年 |
DNS/DHCP,有时是Active Directory |
Windows文件共享 |
139 |
非ms DHCP服务器 |
收集器 |
UDP/TCP端口大于1024 |
防火墙 |
收集器 |
UDP/TCP端口大于1024 |
检查点防火墙 |
收集器 |
18184或其他指定的 |
VPN |
收集器 |
UDP/TCP端口大于1024 |
AV服务器(syslog方式发送日志) |
收集器 |
UDP/TCP端口大于1024 |
Nexpose / InsightVM |
收集器 |
3780 |
Metasploit |
收集器 |
3790 |
box.com日志 |
443 |
*在收集日志的采集器上,指定的端口不能重复