目次

ポート番号、URL、およびIPアドレス

Workload Security コンポーネントはネットワークを介して通信します。次のものを使用します。

インストール前に、ネットワーク管理者がファイアウォール、AWSセキュリティグループ、およびWebプロキシを設定して、これらのネットワークサービスを許可する必要がある場合があります。

初期設定が表示されます。多くのネットワーク設定は構成可能です。たとえば、 ネットワークにWebプロキシがある場合、エージェントがポート443の Workload Security に直接接続する代わりに、ポート1443を介して接続するように設定できます。初期設定を変更する場合は、ファイアウォールで_新しい_設定を使用した通信を許可する必要があります。

基本的な概要については、次のネットワーク図を参照してください。詳細については、図の後のポート番号およびIPアドレスの表を参照してください。 初期設定の送信元アドレス、宛先アドレス、および宛先ポートのネットワーク図 (次の表も参照)

必須の Workload Security ポート番号

一部のポートは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。これらのオプションのコンポーネントまたは機能が示されています。

次の表は、送信元アドレス (接続またはセッションを開始する配信コンポーネント) 別にまとめられています。通常、応答 (宛先アドレスからの同じ接続で逆方向のパケット) も許可する必要があります。

以下のすべてのポートは、送信先ポート(待機ポートとも呼ばれます) です。多くのソフトウェアと同様に、 Workload Security もソケットを開くときに エフェメラル 送信元ポート の範囲を使用します。まれに、一時的な送信元ポートがブロックされ、 接続の問題が発生することがあります。その場合は、送信元ポートも開く必要があります。

送信元
アドレス
送信先
アドレス
ポート
(初期設定)
プロトコル
管理者のコンピュータ DNSサーバ 53 DNS over UDP
NTPサーバ 123 UDP経由のNTP
Workload Security 443 HTTPS over TCP
Workload Security SIEMまたはSyslogサーバ
(ある場合)
514 UDP経由のSyslog
SIEMまたはSyslogサーバ
(ある場合)
6514 Syslog over TLS

エージェント,
Relay
(ある場合)

双方向通信またはManagerからの通信を有効にする場合にのみ必要です。

4118 HTTPS over TCP
Agent DNSサーバ 53 DNS over UDP
NTPサーバ 123 UDP経由のNTP
SIEMまたはSyslogサーバ
(ある場合)
514 UDP経由のSyslog
Workload Security 443 HTTPS over TCP
Relay
(ある場合)
4122 HTTPS over TCP
Smart Protection Network 80 HTTP over TCP
443 HTTPS over TCP
Smart Protection Server
(ファイルレピュテーション機能の場合、 Smart Protection Networkの代わりに)
80 HTTP over TCP
443 HTTPS over TCP
Smart Protection Server
(Webレピュテーション機能の場合、 Smart Protection Networkの代わりに)
5274 HTTP over TCP
5275 HTTPS over TCP
Relay
(ある場合)
全てエージェントが必要とする宛先アドレス、ポート、およびプロトコル(各リレーにはエージェントが含まれます)
Workload Security 443 HTTPS over TCP
その他のリレー
(ある場合)
4122 HTTPS over TCP

ローカルホスト
(Relayでは、 エージェントはリモートRelayではなくローカルに接続します)

サーバの他のソフトウェアが同じポートを使用している場合 (ポートの競合) や、iptablesやWindowsファイアウォールなどのホストファイアウォールでlocalhost接続がブロックされている場合 (サーバ自体に内部的に接続する場合) にのみ設定します。localhost接続はネットワークに到達しないため、ネットワークファイアウォールでこのポートを許可する必要はありません。

4123 N/A
トレンドマイクロのアップデートサーバ/アクティブアップデート 80 HTTP over TCP
443 HTTP over TCP
ダウンロードセンター、
またはローカルWebサーバ上のミラー
(ある場合)
443 HTTPS over TCP
データセンターゲートウェイ
(ある場合)
DNSサーバ 53 DNS over UDP
NTPサーバ 123 UDP経由のNTP
Workload Security 443 HTTPS over TCP
VMware vCenter 443 HTTPS over TCP
Microsoft Active Directory 389 STARTTLSとLDAP over TCP and UDP
636 LDAPS over TCPおよびUDP
APIクライアント
(ある場合)
Workload Security 443 HTTPS over TCP

必須の Workload Security URL

WebプロキシとURLフィルタは、有効な証明書、URL ( /indexなど) 、完全修飾ドメイン名 (FQDN) ( store.example.comなど) など、接続のHTTPレイヤを検査できます。以下の各FQDNですべてのURLを許可します。

たとえば、AgentとRelayは、ポート80または443で files.trendmicro.com からソフトウェアアップデートをダウンロードできる必要があります。ファイアウォールでそのTCP/IP接続が許可されています。ただし、接続にHTTPまたはHTTPSプロトコルが含まれているため、ファイアウォールだけでなく、WebプロキシやWebフィルタもブロックできます。したがって、 https://files.trendmicro.com/ または http://files.trendmicro.com/ とすべてのサブURLを許可するように、それらも設定する必要があります。

一部のFQDNは、特定のコンポーネントおよび機能を使用する場合にのみ必要です。これらのオプションのコンポーネントおよび機能が示されています。

送信元アドレス 送信先アドレス ホストの完全修飾ドメイン名 プロトコル
エージェント,
Relay
(ある場合)

ダウンロードセンター、
またはローカルWebサーバ上のミラー
(ある場合)

  • files.trendmicro.com
    またはローカルWebサーバのFQDN

HTTPS

HTTP

トレンドマイクロのアップデートサーバ/アクティブアップデート

  • iaus.activeupdate.trendmicro.com
  • iaus.trendmicro.com
  • ipv6-iaus.trendmicro.com
  • ipv6-iaus.activeupdate.trendmicro.com

HTTPS

HTTP

Agent Smart Protection Network
  • dsaas1100-en-census.trendmicro.com

国勢調査機能の動作監視および予測型機械学習でのみ必要です。

HTTPS

HTTP

エージェント 20.0以降の場合:

  • ds200-en.fbs25.trendmicro.com
  • ds200-jp.fbs25.trendmicro.com

エージェント12.0の場合:

  • ds120-en.fbs25.trendmicro.com
  • ds120-jp.fbs25.trendmicro.com

エージェント11.0の場合:

  • deepsecurity1100-en.fbs25.trendmicro.com
  • deepsecurity1100-jp.fbs25.trendmicro.com

エージェント10.0の場合:

  • deepsecurity1000-en.fbs20.trendmicro.com
  • deepsecurity1000-jp.fbs20.trendmicro.com
  • deepsecurity1000-sc.fbs20.trendmicro.com

スマートフィードバックでのみ必要です。

HTTPS

HTTP

  • dsaas.icrc.trendmicro.com

スマートスキャン機能でのみ必要です。

HTTPS

HTTP

  • dsaas-en-f.trx.trendmicro.com
  • dsaas-en-b.trx.trendmicro.com

予測機械学習でのみ必要です。

HTTPS

HTTP

  • deepsecaas11-en.gfrbridge.trendmicro.com

ファイルレピュテーション機能の動作監視予測機械学習、および プロセスメモリスキャンでのみ必要です。

HTTPS

HTTP

  • dsaas.url.trendmicro.com

Webレピュテーション機能でのみ必要です。

HTTPS

HTTP

Smart Protection Server
(存在する場合は、 Smart Protection Networkの代わりに)
  • Smart Protection ServerのFQDN

ファイルレピュテーションおよびWebレピュテーション機能でのみ必要です。他の機能では引き続き Smart Protection Networkが必要であるため、このローカルサーバを使用することはできません。

HTTPS

HTTP

データセンターゲートウェイ
(ある場合)
Workload Security

リージョンの完全修飾ドメイン名:

  • 米国:
    • gateway.workload.us-1.cloudone.trendmicro.com
    • gateway-control.workload.us-1.cloudone.trendmicro.com
  • インド:
    • gateway.workload.in-1.cloudone.trendmicro.com
    • gateway-control.workload.in-1.cloudone.trendmicro.com
  • 英国:
    • gateway.workload.gb-1.cloudone.trendmicro.com
    • gateway-control.workload.gb-1.cloudone.trendmicro.com
  • 日本:
    • gateway.workload.jp-1.cloudone.trendmicro.com
    • gateway-control.workload.jp-1.cloudone.trendmicro.com
  • ドイツ:
    • gateway.workload.de-1.cloudone.trendmicro.com
    • gateway-control.workload.de-1.cloudone.trendmicro.com
  • オーストラリア:
    • gateway.workload.au-1.cloudone.trendmicro.com
    • gateway-control.workload.au-1.cloudone.trendmicro.com
  • カナダ:
    • gateway.workload.ca-1.cloudone.trendmicro.com
    • gateway-control.workload.ca-1.cloudone.trendmicro.com
  • シンガポール:
    • gateway.workload.sg-1.cloudone.trendmicro.com
    • gateway-control.workload.sg-1.cloudone.trendmicro.com

HTTPS

APIクライアント
(ある場合)
Workload Security

使用するAPIに応じて、次のいずれかを選択します。

  • app.deepsecurity.trendmicro.com/api
  • app.deepsecurity.trendmicro.com/webservice/Manager?WSDL (非推奨)
  • app.deepsecurity.trendmicro.com/rest (非推奨)

および地域の完全修飾ドメイン名:

  • 米国: *.workload.us-1.cloudone.trendmicro.com
  • インド: *.workload.in-1.cloudone.trendmicro.com
  • 英国: *.workload.gb-1.cloudone.trendmicro.com
  • 日本: *.workload.jp-1.cloudone.trendmicro.com
  • ドイツ: *.workload.de-1.cloudone.trendmicro.com
  • オーストラリア: *.workload.au-1.cloudone.trendmicro.com
  • カナダ: *.workload.ca-1.cloudone.trendmicro.com
  • シンガポール: *.workload.sg-1.cloudone.trendmicro.com

Web フィルターが次のようなワイルド カード FQDN をサポートしていない場合*.workload、代わりにあなたがしなければなりません一致するすべての FQDN を個別に許可する.

HTTPS

古いAgentとRelayがある場合は、次のFQDNSも許可する必要があります。
送信元アドレス 送信先アドレス ホストの完全修飾ドメイン名 プロトコル
Workload Security Agent 20.0.0~1558以前
  • agents.deepsecurity.trendmicro.com

および地域の完全修飾ドメイン名:

  • 米国:agents*.workload.us-1.cloudone.trendmicro.com
  • インド: agents*.workload.in-1.cloudone.trendmicro.com
  • 英国: agents*.workload.gb-1.cloudone.trendmicro.com
  • 日本: agents*.workload.jp-1.cloudone.trendmicro.com
  • ドイツ: agents*.workload.de-1.cloudone.trendmicro.com
  • オーストラリア: agents*.workload.au-1.cloudone.trendmicro.com
  • カナダ: agents*.workload.ca-1.cloudone.trendmicro.com
  • シンガポール: agents*.workload.sg-1.cloudone.trendmicro.com

ファイアウォールがワイルド カード FQDN をサポートしていない場合 (agents*.workload)、代わりにあなたがしなければなりません一致するすべての FQDN を個別に許可する.

HTTPS
Agent 20.0.0~1540以前、
Relay
(ある場合)
Workload Security
  • app.deepsecurity.trendmicro.com
  • agents.deepsecurity.trendmicro.com
  • dsmim.deepsecurity.trendmicro.com
  • relay.deepsecurity.trendmicro.com

および地域の完全修飾ドメイン名:

  • 米国: *.workload.us-1.cloudone.trendmicro.com
  • インド: *.workload.in-1.cloudone.trendmicro.com
  • 英国: *.workload.gb-1.cloudone.trendmicro.com
  • 日本: *.workload.jp-1.cloudone.trendmicro.com
  • ドイツ: *.workload.de-1.cloudone.trendmicro.com
  • オーストラリア: *.workload.au-1.cloudone.trendmicro.com
  • カナダ: *.workload.ca-1.cloudone.trendmicro.com
  • シンガポール: *.workload.sg-1.cloudone.trendmicro.com

ファイアウォールがワイルド カード FQDN をサポートしていない場合 (*.workload)、代わりにあなたがしなければなりません一致するすべての FQDN を個別に許可する

HTTPS

Web フィルターが次のようなワイルド カード FQDN をサポートしていない場合*.workload.<region>.cloudone.trendmicro.comの代わりに、一致するすべての FQDN を個別に許可する必要があります。あなたの地域:
  • 米国:
    • workload.us-1.cloudone.trendmicro.com
    • agents.workload.us-1.cloudone.trendmicro.com
    • agents-001 through agents-099.workload.us-1.cloudone.trendmicro.com
    • agent-comm.workload.us-1.cloudone.trendmicro.com
    • dsmim.workload.us-1.cloudone.trendmicro.com
    • gateway.workload.us-1.cloudone.trendmicro.com
    • gateway-control.workload.us-1.cloudone.trendmicro.com
    • relay.workload.us-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.us-1.cloudone.trendmicro.com
  • インド:
    • workload.in-1.cloudone.trendmicro.com
    • agents.workload.in-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.in-1.cloudone.trendmicro.com
    • agent-comm.workload.in-1.cloudone.trendmicro.com
    • dsmim.workload.in-1.cloudone.trendmicro.com
    • gateway.workload.in-1.cloudone.trendmicro.com
    • gateway-control.workload.in-1.cloudone.trendmicro.com
    • relay.workload.in-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.in-1.cloudone.trendmicro.com
  • 英国:
    • workload.gb-1.cloudone.trendmicro.com
    • agents.workload.gb-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.gb-1.cloudone.trendmicro.com
    • agent-comm.workload.gb-1.cloudone.trendmicro.com
    • dsmim.workload.gb-1.cloudone.trendmicro.com
    • gateway.workload.gb-1.cloudone.trendmicro.com
    • gateway-control.workload.gb-1.cloudone.trendmicro.com
    • relay.workload.gb-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.gb-1.cloudone.trendmicro.com
  • 日本:
    • workload.jp-1.cloudone.trendmicro.com
    • agents.workload.jp-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.jp-1.cloudone.trendmicro.com
    • agent-comm.workload.jp-1.cloudone.trendmicro.com
    • dsmim.workload.jp-1.cloudone.trendmicro.com
    • gateway.workload.jp-1.cloudone.trendmicro.com
    • gateway-control.workload.jp-1.cloudone.trendmicro.com
    • relay.workload.jp-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.jp-1.cloudone.trendmicro.com
  • ドイツ:
    • workload.de-1.cloudone.trendmicro.com
    • agents.workload.de-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.de-1.cloudone.trendmicro.com
    • agent-comm.workload.de-1.cloudone.trendmicro.com
    • dsmim.workload.de-1.cloudone.trendmicro.com
    • gateway.workload.de-1.cloudone.trendmicro.com
    • gateway-control.workload.de-1.cloudone.trendmicro.com
    • relay.workload.de-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.de-1.cloudone.trendmicro.com
  • オーストラリア:
    • workload.au-1.cloudone.trendmicro.com
    • agents.workload.au-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.au-1.cloudone.trendmicro.com
    • agent-comm.workload.au-1.cloudone.trendmicro.com
    • dsmim.workload.au-1.cloudone.trendmicro.com
    • gateway.workload.au-1.cloudone.trendmicro.com
    • gateway-control.workload.au-1.cloudone.trendmicro.com
    • relay.workload.au-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.au-1.cloudone.trendmicro.com
  • カナダ:
    • workload.ca-1.cloudone.trendmicro.com
    • agents.workload.ca-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.ca-1.cloudone.trendmicro.com
    • agent-comm.workload.ca-1.cloudone.trendmicro.com
    • dsmim.workload.ca-1.cloudone.trendmicro.com
    • gateway.workload.ca-1.cloudone.trendmicro.com
    • gateway-control.workload.ca-1.cloudone.trendmicro.com
    • relay.workload.ca-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.ca-1.cloudone.trendmicro.com
  • シンガポール:
    • workload.sg-1.cloudone.trendmicro.com
    • agents.workload.sg-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.sg-1.cloudone.trendmicro.com
    • agent-comm.workload.sg-1.cloudone.trendmicro.com
    • dsmim.workload.sg-1.cloudone.trendmicro.com
    • gateway.workload.sg-1.cloudone.trendmicro.com
    • gateway-control.workload.sg-1.cloudone.trendmicro.com
    • relay.workload.sg-1.cloudone.trendmicro.com
    • xdr-resp-ioc.workload.sg-1.cloudone.trendmicro.com

Webフィルタがagents*.workload.<region>.cloudone.trendmicro.comなどのワイルドカードFQDNSをサポートしていない場合は、代わりに、地域で一致するすべてのFQDNを個別に許可する必要があります。
  • 米国:
    • agents.workload.us-1.cloudone.trendmicro.com
    • agents-001 through agents-099.workload.us-1.cloudone.trendmicro.com
  • インド:
    • agents.workload.in-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.in-1.cloudone.trendmicro.com
  • 英国:
    • agents.workload.gb-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.gb-1.cloudone.trendmicro.com
  • 日本:
    • agents.workload.jp-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.jp-1.cloudone.trendmicro.com
  • ドイツ:
    • agents.workload.de-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.de-1.cloudone.trendmicro.com
  • オーストラリア:
    • agents.workload.au-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.au-1.cloudone.trendmicro.com
  • カナダ:
    • agents.workload.ca-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.ca-1.cloudone.trendmicro.com
  • シンガポール:
    • agents.workload.sg-1.cloudone.trendmicro.com
    • agents-001 through agents-010.workload.sg-1.cloudone.trendmicro.com

必須 Workload Security IPアドレス

インバウンド接続

送信元アドレス 送信先アドレス ポート プロトコル

Workload Security

サブネット:

  • us-1:
    34.205.5.0/27
  • in-1:
    3.108.13.32/27
  • gb-1:
    18.169.230.160/27
  • jp-1:
    35.75.131.96/27
  • de-1:
    3.69.198.64/27
  • au-1:
    3.26.127.96/27
  • ca-1:
    3.99.65.64/27
  • sg-1:
    13.214.15.0/27
SIEMまたはSyslogサーバ
(ある場合)
514 UDP経由のSyslog
SIEMまたはSyslogサーバ
(ある場合)
6514 Syslog over TLS

Agent

双方向通信またはManagerからの通信を有効にする場合にのみ必要です。

4118 HTTPS over TCP
Relay
(ある場合)
4122 HTTPS over TCP
2020年11月23日より前に作成された Workload Security アカウントの場合:

静的 IP アドレスは、Workload SecurityまたはDeep Security as a Service2020-11-23 より前に作成されたアカウント.アカウントがいつ作成されたかを確認するには、コンソールの上部にあるテナント名をクリックし、アカウントの詳細の順に選択します。作成日時の横に日付が表示されます。

送信接続

送信元アドレス 送信先アドレス ポート プロトコル
エージェント,
管理者のコンピュータ

Workload Security GUI

34.196.38.94

34.198.27.224

34.198.6.142

34.205.210.199

34.205.219.175

34.205.239.162

34.226.116.82

34.233.153.57

35.153.222.175

35.169.254.68

35.169.43.208

35.172.176.62

50.17.162.194

52.0.124.201

52.0.33.128

52.202.124.22

52.207.138.122

52.22.162.229

52.3.171.31

52.72.111.249

52.72.211.36

52.87.46.150

54.175.211.84

54.80.120.113

443 HTTPS over TCP
エージェント,
Relay
(ある場合)

Trend Micro Update Server/Active Update,
ダウンロードセンター

3.210.17.243

3.222.238.73

18.205.30.1

18.210.96.90

34.193.172.66

34.194.74.60

34.196.197.189

34.204.219.38

34.204.220.78

34.205.83.195

34.227.254.106

34.232.200.81

52.2.63.133

52.3.39.108

52.4.197.109

52.20.8.32

52.21.149.243

52.44.144.238

52.55.188.35

52.201.199.128

52.204.10.77

52.206.54.30

52.206.193.178

52.207.18.27

54.86.152.157

54.87.173.241

54.144.77.16

54.156.82.102

54.160.187.232

54.165.40.223

54.165.117.76

54.174.156.3

54.175.39.189

54.210.11.136

54.211.23.144

54.221.238.214

174.129.163.104

443 HTTPS over TCP
Agent

Workload Security ハートビートおよびアクティベーションサーバ

34.192.67.219

34.196.25.105

34.199.44.254

34.204.244.61

34.206.23.113

34.206.95.140

34.206.146.6

34.206.215.233

52.23.102.52

52.54.141.100

52.54.240.176

54.86.2.200

443 HTTPS over TCP
Agent

Workload Security 高速ハートビート

34.192.145.157

34.199.111.255

34.204.221.63

34.206.179.241

52.44.129.132

52.45.95.227

52.55.183.116

52.73.88.81

52.202.143.169

52.206.208.21

54.208.106.230

54.152.108.196

54.85.86.247

18.204.77.2

54.84.198.181

52.0.58.66

52.6.19.160

18.233.125.165

34.227.134.223

52.73.122.26

34.233.252.54

34.236.163.142

52.44.40.85

3.209.15.127

52.70.113.18

3.210.118.160

54.175.77.19

3.225.117.164

54.224.63.108

52.72.213.26

18.235.177.174

34.203.45.194

54.165.185.17

443 HTTPS over TCP
Agent

Smart Protection Network

動的IPアドレスを使用します。したがって、送信接続を送信先IPアドレスで制限する必要がある場合は、 によってローカルの Smart Protection Server れます。

80および443 HTTPおよびHTTPS over TCP