GovCloud用のポート番号、URL、およびIPアドレス

GovCloud に Workload Security をデプロイする前に、ネットワーク管理者がファイアウォール、AWS セキュリティグループ、および Web プロキシを構成して、これらのネットワークサービスを許可する必要があります。これらのパラメータは、安全な接続を確保するために GovCloud で制限されています

必要なWorkload SecurityのIPアドレスとポート番号
必要なWorkload SecurityのURL

デフォルト設定が表示されます。多くのネットワーク設定は構成可能です。例えば、ネットワークにWebプロキシがある場合、エージェントをポート1443で接続するように構成することができます。デフォルトのポート443で直接Workload Securityに接続する代わりに、プロキシを介して接続することができます。デフォルト設定を変更した場合、ファイアウォールは新しい設定を介した通信を許可する必要があります。

必須のWorkload Security IPアドレスとポート番号

次の表は、送信元アドレス（TCP接続またはUDPセッションを開始するデプロイメントコンポーネント）によって整理されています。返信（同じ接続内で反対方向のパケット、宛先アドレスからのパケット）も通常許可する必要があります。

Workload Security サーバには通常、動的IPアドレスがあります (つまり、必要に応じて、配置内の他のコンピュータがDNSクエリを使用して Workload Security FQDNの現在のIPアドレスを検索します)。Workload Security ドメイン名のリストについては、必要なWorkload Security URLを参照してください。

一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。一部のサービスには静的IPアドレスが割り当てられている場合があります。これらの例外およびオプション機能が示されています。

表内のすべてのポートは宛先ポート (リスニングポートとも呼ばれます) です。多くのソフトウェアと同様に、Workload Securityもソケットを開く際に動的で一時的なソースポートの範囲を使用します。まれに、一時的なソースポートがブロックされることがあり、それが原因で接続の問題が発生することがあります。その場合は、ソースポートも開く必要があります。

送信元アドレス	宛先アドレス	ポート (初期設定)	プロトコル
管理者のコンピュータ	DNSサーバ	53	DNS over UDP
	NTPサーバ	123	UDP経由のNTP
	Workload Security	443	HTTPS over TCP
Workload Security Subnet: 3.30.186.224/27	SIEMまたはSyslogサーバ (該当する場合)	514	UDP経由のSyslog
	SIEMまたはSyslogサーバ (該当する場合)	6514	Syslog over TLS
	エージェント, Relay (該当する場合) 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。	4118	HTTPS over TCP
Agents	DNSサーバ	53	DNS over UDP
	NTPサーバ	123	UDP経由のNTP
	SIEMまたはSyslogサーバ (該当する場合)	514	UDP経由のSyslog
	Workload Security	443	HTTPS over TCP
	Relay (該当する場合)	4122	HTTPS over TCP
	Smart Protection Network	80	HTTP over TCP
	Smart Protection Network	443	HTTPS over TCP
	Service Gateway (ファイルレピュテーション機能の場合、Smart Protection Networkの代わりに)	8080	HTTP over TCP
	Smart Protection Server (該当する場合、Smart Protection Networkの代わりに、ファイルレピュテーション機能用)	80	HTTP over TCP
		443	HTTPS over TCP
	Webレピュテーション機能のためのSmart Protection Server (該当する場合、Smart Protection Networkの代わりに)	5274	HTTP over TCP
		5275	HTTPS over TCP
Relay (該当する場合)	全てAgentが必要とする宛先アドレス、ポート、およびプロトコル(各RelayにはAgentが含まれます)
	その他のRelay (該当する場合)	4122	HTTPS over TCP
	ローカルホスト (Relayでは、AgentはリモートRelayではなくローカルに接続します) サーバの他のソフトウェアが同じポートを使用している場合 (ポートの競合) や、iptablesやWindowsファイアウォールなどのホストファイアウォールでlocalhost接続がブロックされている場合 (サーバ自体に内部的に接続する場合) にのみ設定します。localhost接続はネットワークに到達しないため、ネットワークファイアウォールでこのポートを許可する必要はありません。	4123	なし
	トレンドマイクロアップデートサーバ / アクティブアップデート	80	HTTP over TCP
	トレンドマイクロアップデートサーバ / アクティブアップデート	443	HTTP over TCP
	ダウンロードセンター、またはローカルウェブサーバー上のミラー (該当する場合)	443	HTTPS over TCP
データセンターゲートウェイ (該当する場合)	DNSサーバ	53	DNS over UDP
	NTPサーバ	123	UDP経由のNTP
	Workload Security	443	HTTPS over TCP
	VMware vCenter	443	HTTPS over TCP
	Microsoft Active Directory	389	STARTTLSとLDAP over TCP and UDP
	Microsoft Active Directory	636	LDAPS over TCPおよびUDP
Service Gateway (存在する場合)	DNSサーバ	53	DNS over UDP
	NTPサーバ	123	UDP経由のNTP
	Trend Micro Smart Protection Network (ファイルレピュテーション機能用)	80	HTTP over TCP
	Trend Micro Smart Protection Network (ファイルレピュテーション機能用)	443	HTTPS over TCP
APIクライアント (該当する場合)	Workload Security	443	HTTPS over TCP

必要なWorkload SecurityのURL

WebプロキシとURLフィルタは、有効な証明書、URL (/indexなど) 、完全修飾ドメイン名 (FQDN) (Host: store.example.com:8080など) など、接続のHTTPレイヤを検査できます。次の表に示すすべてのFQDNのすべてのURLを許可します。

たとえば、AgentとRelayは、files.trendmicro.com からポート80または443でソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続が許可されている場合。ただし、接続にHTTPまたはHTTPSプロトコルが含まれているため、ファイアウォールだけでなく、WebプロキシやWebフィルタによってもブロックされる可能性があります。したがって、https://files.trendmicro.com/ または http://files.trendmicro.com/ とすべてのサブURLを許可するように設定する必要があります。

特定のコンポーネントおよび機能を使用する場合にのみ、いくつかのFQDNが必要です。

送信元アドレス

送信先アドレス

ホストの完全修飾ドメイン名

プロトコル

エージェント、Relay (該当する場合)

Workload Security

Agent 20.0以降:

GovCloud の FQDN:

workload.gov-us-1.cloudonegov.trendmicro.com
agents-001.workload.gov-us-1.cloudonegov.trendmicro.com
agents.workload.gov-us-1.cloudonegov.trendmicro.com
dsmim.workload.gov-us-1.cloudonegov.trendmicro.com
relay.workload.gov-us-1.cloudonegov.trendmicro.com
xdr-resp-gw.workload.gov-us-1.cloudonegov.trendmicro.com
agents.workload.gov-us-1.cloudonegov.trendmicro.com

HTTPS

HTTP

ダウンロードセンター、

またはローカルウェブサーバー上のミラー (該当する場合)

files.trendmicro.com

またはローカルウェブサーバのFQDN

HTTPS

HTTP

トレンドマイクロアップデートサーバ / アクティブアップデート

iaus.activeupdate.trendmicro.com
iaus.trendmicro.com
ipv6-iaus.trendmicro.com
ipv6-iaus.activeupdate.trendmicro.com

HTTPS

HTTP

Trend Micro Vision One

xdr-resp-gw.workload.gov-us-1.cloudonegov.trendmicro.com

HTTPS

HTTP

Agents

Smart Protection Network

dsaas1100-en-census.trendmicro.com

グローバルセンサス機能の挙動監視および機械学習型検索にのみ必要です。

HTTPS

HTTP

Agent 20.0以降:

ds200-en.fbs25.trendmicro.com

Agent 12.0:

ds120-en.fbs25.trendmicro.com

Agent 11.0:

deepsecurity1100-en.fbs25.trendmicro.com

Agent 10.0:

deepsecurity1000-en.fbs20.trendmicro.com

スマートフィードバックにのみ必要です。

HTTPS

HTTP

dsaas.icrc.trendmicro.com

スマートスキャン機能にのみ必要です。

HTTPS

HTTP

dsaas-en-f.trx.trendmicro.com
dsaas-en-b.trx.trendmicro.com

機械学習型検索にのみ必要です。

HTTPS

HTTP

deepsecaas11-en.gfrbridge.trendmicro.com

ファイルレピュテーション機能の挙動監視、機械学習型検索、およびプロセスメモリスキャンにのみ必要です。

HTTPS

HTTP

dsaas.url.trendmicro.com

Webレピュテーション機能にのみ必要です。

HTTPS

HTTP

Smart Protection Server (該当する場合、Smart Protection Networkの代わりに)

Smart Protection ServerのFQDN

ファイルレピュテーションおよびWebレピュテーション機能でのみ必要です。他の機能では引き続き Smart Protection Networkが必要であるため、このローカルサーバを使用することはできません。

HTTPS

HTTP

Workload Security

エージェント,

Relay (該当する場合)

有効にする場合のみ必要です双方向またはマネージャによる通信。

GovCloud の FQDN:

agents-001.workload.gov-us-1.cloudonegov.trendmicro.com

注意

Cloud One for GovCloudは001と002のみを使用します。

HTTPS

データセンターゲートウェイ (該当する場合)

Workload Security

GovCloud の FQDN:

gateway.workload.us-1.cloudone.trendmicro.com
gateway-control.workload.us-1.cloudone.trendmicro.com

HTTPS

APIクライアント (該当する場合)

Workload Security

GovCloud の FQDN:

workload.gov-us-1.cloudonegov.trendmicro.com
agents-001.workload.gov-us-1.cloudonegov.trendmicro.com
agents.workload.gov-us-1.cloudonegov.trendmicro.com
dsmim.workload.gov-us-1.cloudonegov.trendmicro.com
relay.workload.gov-us-1.cloudonegov.trendmicro.com
xdr-resp-gw.workload.gov-us-1.cloudonegov.trendmicro.com
agents.workload.gov-us-1.cloudonegov.trendmicro.com

HTTPS