ポート番号、URL、およびIPアドレス
Workload Security コンポーネントは、次の方法でネットワーク上で通信します:
インストール前に、ネットワーク管理者がファイアウォール、AWSセキュリティグループ、およびWebプロキシを設定して、これらのネットワークサービスを許可する必要がある場合があります。
初期設定が表示されます。多くのネットワーク設定は構成可能です。たとえば、ネットワークにWebプロキシがある場合、Agentは、ポート443でWorkload Securityに直接接続する代わりに、ポート1443で接続するように設定できます。初期設定を変更する場合は、ファイアウォールで_新しい_設定による通信を許可する必要があります。
次のネットワーク図に概要を示します。
必要なWorkload SecurityのIPアドレスとポート番号
次の表は、送信元アドレス (TCP接続またはUDPセッションを開始する配信コンポーネント) 別にまとめたものです。通常、応答 (宛先アドレスからの同じ接続で逆方向のパケット) も許可する必要があります。
Workload Security サーバには通常、動的IPアドレスがあります (つまり、必要に応じて、配置内の他のコンピュータがDNSクエリを使用して Workload Security FQDNの現在のIPアドレスを検索します)。Workload Security ドメイン名のリストについては、必要なWorkload Security URLを参照してください。
一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。一部のサービスには静的IPアドレスが割り当てられている場合があります。これらの例外およびオプション機能が示されています。
表内のすべてのポートは宛先ポート (待機ポートとも呼ばれます) です。多くのソフトウェアと同様に、Workload Securityでも、ソケットを開くときにさまざまな動的な一時的な送信元ポートが使用されます。まれに、一時的な送信元ポートがブロックされ、接続の問題が発生することがあります。その場合は、送信元ポートも開く必要があります。
| 送信元アドレス | 送信先アドレス | ポート(初期設定) | プロトコル |
|---|---|---|---|
| 管理者のコンピュータ | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
|
Workload Security 2020年11月23日より前に作成されたアカウント:--8<-- "2020-11-23以前のアカウント.md" --8<-- "mgr-console-ip-addresses.md" |
443 | HTTPS over TCP | |
|
Workload Security サブネット: 3.26.127.96/27 18.98.193.32/27 3.99.65.64/27 18.99.0.224/27 3.69.198.64/27 18.96.34.160/27 3.108.13.32/27 18.96.226.0/27 35.75.131.96/27 18.99.69.160/27 13.214.15.0/27 18.99.38.64/27 3.140.136.224/27 34.205.5.0/27 18.97.133.160/27 18.97.19.0/27 |
SIEMまたはSyslogサーバ (ある場合) |
514 | UDP経由のSyslog |
|
SIEMまたはSyslogサーバ (ある場合) |
6514 | Syslog over TLS | |
|
Agent、 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。 |
4118 | HTTPS over TCP | |
| Agent | DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| SIEMまたはSyslogサーバ (ある場合) |
514 | UDP経由のSyslog | |
|
Workload Security 2020年11月23日より前に作成されたアカウント:--8<-- "account-before-2020-11-23.md" --8<-- "mgr-console-ip-addresses.md" --8<-- "mgr-heartbeat-activation-ip-addresses.md" --8<-- "mgr-fast-heartbeat-ip-addresses.md" |
443 | HTTPS over TCP | |
| Relay (ある場合) |
4122 | HTTPS over TCP | |
| Smart Protection Network | 80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Service Gateway (ファイルレピュテーション機能の場合、Smart Protection Networkの代わりに) |
8080 | HTTP over TCP | |
| Smart Protection Server (該当する場合、ファイルレピュテーション機能のためにSmart Protection Networkの代わりに) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
| Smart Protection Server (該当する場合、Webレピュテーション機能のためのSmart Protection Networkの代わりに) |
5274 | HTTP over TCP | |
| 5275 | HTTPS over TCP | ||
|
Relay (ある場合) |
エージェント (各Relayにはエージェントが含まれています) によって必要とされるすべての宛先アドレス、ポート、およびプロトコル | ||
| その他のリレー (ある場合) |
4122 | HTTPS over TCP | |
|
ローカルホスト サーバの他のソフトウェアが同じポートを使用している場合 (ポートの競合)、またはiptablesやWindowsファイアウォールなどのホストファイアウォールがlocalhost接続をブロックしている場合にのみ構成してください (サーバが内部的に自分自身に接続する場合)。ネットワークファイアウォールはlocalhost接続がネットワークに到達しないため、このポートを許可する必要はありません。 |
4123 | N/A | |
|
トレンドマイクロのアップデートサーバ/アクティブアップデート 2020年11月23日より前に作成されたアカウント:--8<-- "account-before-2020-11-23.md" --8<-- "iau-download-center-ip-addresses.md" |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
|
ダウンロードセンター、 2020年11月23日より前に作成されたアカウント:--8<-- "account-before-2020-11-23.md" --8<-- "iau-download-center-ip-addresses.md" |
443 | HTTPS over TCP | |
|
データセンターゲートウェイ (存在する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Workload Security | 443 | HTTPS over TCP | |
| VMware vCenter | 443 | HTTPS over TCP | |
| Microsoft Active Directory | 389 | STARTTLSとLDAP over TCP and UDP | |
| 636 | LDAPS over TCPおよびUDP | ||
|
Service Gateway (存在する場合) |
DNSサーバ | 53 | DNS over UDP |
| NTPサーバ | 123 | UDP経由のNTP | |
| Trend Micro Smart Protection Network (ファイルレピュテーション機能用) |
80 | HTTP over TCP | |
| 443 | HTTPS over TCP | ||
|
APIクライアント (ある場合) |
Workload Security | 443 | HTTPS over TCP |
必須の Workload Security URL
WebプロキシとURLフィルタは、有効な証明書、URL ( /indexなど) 、完全修飾ドメイン名 (FQDN) ( Host: store.example.com:8080など) など、接続のHTTPレイヤを検査できます。次の表に示すすべてのFQDNのすべてのURLを許可します。
たとえば、AgentとRelayは、 files.trendmicro.com からポート80または443でソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続が許可されている場合。ただし、接続にHTTPまたはHTTPSプロトコルが含まれているため、ファイアウォールだけでなく、WebプロキシやWebフィルタによってもブロックされる可能性があります。したがって、 https://files.trendmicro.com/ または http://files.trendmicro.com/ とすべてのサブURLを許可するように設定する必要があります。
一部のFQDNは、示されている特定のコンポーネントおよび機能を使用する場合にのみ必要です。
| 送信元アドレス | 送信先アドレス | ホストの完全修飾ドメイン名 | プロトコル |
|---|---|---|---|
| Agent、 Relay (ある場合) |
Workload Security |
Agent 20.0ビルド1541以降:リージョンの完全修飾ドメイン名:
ファイアウォールがワイルドカードFQDN (
|
HTTPS HTTP |
|
ダウンロードセンター、 |
|
HTTPS HTTP |
|
|
HTTPS HTTP |
||
|
Trend Vision One |
|
HTTPS HTTP |
|
| Agent | Smart Protection Network |
|
HTTPS HTTP |
Agent 20.0以降:
Agent 12.0:
Agent 11.0:
Agent 10.0:
スマートフィードバックにのみ必要です。 |
HTTPS HTTP |
||
スマートスキャンにのみ必要です。 |
HTTPS HTTP |
||
予測機械学習でのみ必要です。 |
HTTPS HTTP |
||
ファイルレピュテーション機能の動作監視、予測機械学習、および プロセスメモリスキャンでのみ必要です。 |
HTTPS HTTP |
||
Webレピュテーションにのみ必要です。 |
HTTPS HTTP |
||
| Smart Protection Server (Smart Protection Networkがある場合はそちらを使用) |
ファイルレピュテーションとWebレピュテーションにのみ必要です。他の機能は引き続きSmart Protection Networkが必要であり、このローカルサーバを使用することはできません。 |
HTTPS HTTP |
|
| Workload Security |
Agent、 双方向通信またはManagerからの通信を有効にする場合にのみ必要です。 |
Agent 20.0ビルド1559以降:リージョンの完全修飾ドメイン名:
ファイアウォールがワイルドカードFQDN (
|
HTTPS |
| データセンターゲートウェイ (ある場合) |
Workload Security |
リージョンの完全修飾ドメイン名: オーストラリア:
カナダ:
ドイツ:
インド:
日本:
シンガポール:
英国:
米国:
|
HTTPS |
| APIクライアント (ある場合) |
Workload Security |
リージョンの完全修飾ドメイン名:
使用するAPIに応じて、次のいずれかの従来のドメイン名:
Webフィルタが
|
HTTPS |
| 通知サービス | Workload Security |
お客様のリージョンのFQDN:
ファイアウォールが |
HTTPS |