ポート番号

以下を経由してDeep Security Manager、Relay、またはAgentを接続する場合があります。

  • ファイアウォールまたはAWS/Azure/NSXセキュリティグループ
  • ルータ
  • プロキシ
  • その他のネットワークアドレス変換 (NAT) デバイス

この場合は、必要なドメイン名またはIPアドレス、ポート、およびプロトコルを調べておく必要があります。

ファイアウォールポリシー、プロキシ、およびポート転送には、多くの場合この情報が必要となります。特に、DNS、タイムサーバ、Trend Microのアップデートサーバ、Trend Micro Smart Protection Network、およびDeep Security as a Serviceなどのインターネット上のサービスに接続する場合は必要です。コンピュータにインストールされている他のソフトウェアが同じポートを使用する場合は、ポートの競合を解決する必要があります。

初期設定のポート番号を以下の表に示します。初期設定のポート番号がお使いのネットワークやインストール環境で使用できない場合、プロキシを使用している場合、またはトラフィックをSSLまたはTLSで保護する必要がある場合に、設定可能かどうかも記載します。

Deep Security Relayのポート

Relayには、すべてのAgentのポートと下記のポート番号が必要です

Deep Security as a ServiceはRelayを提供します。いずれかのAgentがプロキシ経由で接続する必要がある場合や、AgentのWAN帯域幅使用を減らす必要がある場合を除き、独自のローカルRelayを追加する必要はありません。

受信 (待機)

トランスポートプロトコル 送信先ポート番号 サービス 送信元 目的 設定の可否 プロキシ設定の可否
TCP 4122 HTTPS Manager、Agent、Appliance、またはRelay
  • Deep Security Agentソフトウェアのインストーラおよびセキュリティパッケージのアップデート (不正プログラム対策エンジンや署名など) を同期するためのRelay間通信およびAgentからRelayへの通信。
  • RelayからManager、Agent、またはApplianceへのセキュリティパッケージアップデート (不正プログラム対策エンジンや署名など) のダウンロード。
○*

「注意」を参照してください。

TCP 4123   ローカルホストのRelay

AgentからそのAgent上のRelayへの通信。

このポートは他のコンピュータからの接続を待機する必要はなく、そのためネットワークファイアウォールポリシーに設定する必要はありません。ただし、Deep Security Managerサーバ上にホストファイアウォールがある場合は、このポートからサーバ自体への接続がブロックされないことを確認してください。また、他のアプリケーションが同じポートを使用していない (ポートが競合していない) ことを確認してください。

× ×

送信

トランスポートプロトコル 送信先ポート番号 サービス 送信先 目的 設定の可否 プロキシ設定の可否
TCP 80または443 HTTPまたはHTTPS

Trend Micro のアップデート

  • https://iaus.activeupdate.trendmicro.com/
  • https://ipv6-iaus.trendmicro.com

セキュリティパッケージのアップデート (不正プログラム対策エンジンや署名など)。

または別のRelayを使用します。

SOCKSのサポート

TCP 4122 HTTPS Relay

Deep Security Agentのソフトウェアインストーラとセキュリティコンポーネント (不正プログラム対策エンジンや署名など) を同期するためのRelay間通信。

○*

「注意」を参照してください。


Deep Security Agentのポート

外部のSIEMサーバまたはSyslogサーバを使用して、Deep Security as a Service経由でAgentのログを間接的に受信している場合は、SIEMサーバまたはSyslogサーバが54.221.196.0/24からのUDP 514を受信できる必要があります。

受信 (待機ポート)

トランスポートプロトコル 送信先ポート番号 サービス 送信元 目的 設定の可否 プロキシ設定の可否
TCP 22 SSH RightScale、Chef、Puppet、Ansible、SSHなどの配信ツール

Agentのリモートインストール (Linuxのみ)。

(OSで設定)

(OSで設定)

TCP 4118 HTTPS Deep Security as a Service

54.221.196.0/24

ManagerからAgent/Applianceへのハートビート。イベントを送信し、Managerから設定のアップデートを取得します。

双方向のハートビートを使用しないかぎり不要です。

×

*
TCP 3389 RDP 配信ツール

Agentのリモートインストール (Windowsのみ)。

(OSで設定)

(OSで設定)

TCP 5985 WinRM HTTP RightScale、Chef、Puppet、Ansibleなどの配信ツール Agentのリモートインストール (Windowsのみ)。

(OSで設定)

(OSで設定)

送信

トランスポートプロトコル 送信先ポート番号 サービス 送信先 目的 設定の可否 プロキシ設定の可否
UDP 53 DNS DNSサーバ Deep Security as a Service、NTPサーバなどのドメイン名解決。

(OSで設定)

(OSで設定)

UDP 123 NTP

NTPサーバ

SSLまたはTLS接続、スケジュール、およびイベントログのための正確な時間。

(OSで設定)

×

TCP 80または443 HTTPまたはHTTPS Webサーバ ポリシーのコンテキスト (コンピュータがプライベートネットワーク上にあるかどうか) を確認するための接続テスト ×
TCP 80または443 HTTPまたはHTTPS トレンドマイクロのダウンロードセンターまたはWebサーバ

Deep Security Agentインストーラのダウンロード。

(URLにポート番号を付加)

×
TCP 80または443 HTTPまたはHTTPS Deep Security as a Service

各機能に関連付けられているIPアドレスについては、Deep Security as a ServiceのIPアドレスを参照してください。

  • Deep Security as a ServiceのGUIへの管理接続。
  • 検出およびAgent/Applianceの有効化。
  • Agent/ApplianceとそのManager (Deep Security as a Service) との通信 (検出、ハートビート、設定のアップデートを含む)。
  • Deep Security Agentソフトウェアのインストーラのダウンロード。
  • セキュリティパッケージのアップデート (不正プログラム対策エンジンや署名など)。Relayを使用することもできます。
  • Webレピュテーションサービス、ファイルレピュテーションサービス、およびSmart Protectionフィードバック。
双方向の接続を使用する場合は、ファイアウォールまたはルータがAgentとDeep Security as a Serviceの間の受信トラフィックと送信トラフィックの両方を許可する必要があります。

×

*

「注意」を参照してください。

UDP 514 Syslog SIEMまたはログサーバ

外部でのログとレポートの作成。

このポートは、Deep Security as a Serviceを介してイベントログをアップロードする代わりに、Agentから外部SIEMへ直接ログを送信する場合にのみ使用されます。

×
TCP 4122 HTTPS Relay

Deep Security Agentソフトウェアのインストーラおよびセキュリティパッケージのアップデート (不正プログラム対策エンジンや署名など) に使用されるAgentからRelayへの通信。

初期設定では使用されず、独自のRelayグループを使用する場合を除いて必要ありません。共有ルールセットとグローバルルールセットを作成するためのAPIの使用 も参照してください。
○*

「注意」を参照してください。

注意: Deep Security Agent 10.0以前では、プロキシ経由でのRelayへの接続がサポートされていませんでした。