Les tableaux suivants répertorient les définitions de port et leur utilisation par les appliances SIEM McAfee :
Enterprise Security Manager
Application |
Direction |
Ports |
Protocole |
Destination/Description |
Active Directory |
Sortant(e) |
389, 3268 |
TCP |
Active Directory. Le port 3268 est utilisé pour LDAP. |
Enregistrer |
In/out |
445,111,2049 |
TCP |
Enregistrer et restauration : CIFS use 445 ; NFS utilise 111 et 2049 |
DNS |
Sortant(e) |
53 |
UDP |
serveur DNS principal et secondaire |
FIPS |
Entrant(e) |
4242 |
TCP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
HTTP |
In/out |
80 |
TCP/UDP |
Serveur de règles-www. nitroguard .com (sortie), redirection vers le serveur Web sur le port 443 (in) |
HTTPS |
In/out |
443 |
TCP/UDP |
Connexion et appel du client Domestique – OpenVPN client : l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. redondante, ESM distribué, ou les deux. |
Kafka 1 |
Sortant(e) |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
RADIUS |
In/out |
1812 |
TCP/UDP |
Cercles |
SMTP |
Sortant(e) |
25 |
TCP/UDP |
Alertes et rapports par e-mail |
SNMP |
In/out |
161,162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
Toutes les appliances McAfee et accès à la ligne de commande |
WHOIS |
Sortant(e) |
43 |
TCP/UDP |
Whois recherches |
Snowflex(server) gossip 1 |
In/out |
1210 |
TCP |
Snowflex(server) gossip Port utilisé pour un environnement en cluster derrière un pare-feu |
Snowclient/jdbc gossip - ESM redondants 1 |
In/out |
8103 |
TCP |
Snowflex/jdbc gossip Port utilisé pour un environnement en cluster derrière un pare-feu |
Snowflex -ESM redondants 1 |
In/out |
1211 |
TCP |
Snowflex Port utilisé pour un environnement en cluster derrière un pare-feu |
Snowclient/jdbc response - ESM redondants 1 |
In/out |
8104 |
TCP |
Snowclient/JDBC response Port utilisé pour un environnement en cluster derrière un pare-feu |
Snowman -ESM redondants 1 |
In/out |
1212 |
TCP |
Snowman Port utilisé pour un environnement en cluster derrière un pare-feu |
Port sécurisé 1 edb |
In/out |
1119 |
TCP |
Port sécurisé EDB |
Port de gestion bus1 |
In/out |
2181 |
TCP |
Port de gestion bus (communication interne uniquement) utilisé pour un environnement en cluster derrière un pare-feu |
1 SIEM 11.0 et versions ultérieures.
Event Receiver
Application |
Direction |
Ports |
Protocole |
Destination/Description |
DNS |
Sortant(e) |
53 |
UDP |
serveur DNS principal et secondaire |
FIPS |
Sortant(e) |
4242 |
TCP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
HTTPS |
Sortant(e) |
443 |
TCP/UDP |
Call Home : client OpenVPN – l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. |
Kafka 1 |
In/out |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
SNMP |
In/out |
161 162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
Vers/depuis ESM, ELM et accéder à la ligne de commande |
1 Siem 11.0 et versions ultérieures.
Enterprise Log Manager
Application |
Direction |
Ports |
Protocole |
Destination/Description |
Archivage des données
|
In/out |
445, 111, 2049 |
TCP/UDP |
Destination du stockage des données : CIFS use 445 ; NFS utilise 111 et 2049 |
DNS |
Sortant(e) |
53 |
UDP |
serveur DNS principal et secondaire |
FIPS |
Sortant(e) |
4242 |
TCP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
iSCSI |
Sortant(e) |
860, 3260 |
TCP |
Pour communiquer avec le stockage iSCSI. |
HTTPS |
Sortant(e) |
443 |
TCP/UDP |
Call Home : OpenVPN le client : l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. |
Kafka 1 |
Sortant(e) |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
SNMP |
In/out |
161 162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
Vers/depuis ESM, récepteur et accès à la ligne de commande |
sFTP |
In/out |
23 |
TCP/UDP |
Autoriser le client sFTP à accéder aux fichiers journaux bruts |
1 Siem 11.0 et versions ultérieures.
Application Data Monitor
Application |
Direction |
Ports |
Protocole |
Destination/Description |
HTTPS |
Sortant(e) |
443 |
TCP/UDP |
Call Home : OpenVPN le client : l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. |
FIPS |
Sortant(e) |
4242 |
TCP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
Kafka 1 |
Sortant(e) |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
SNMP |
In/out |
161 162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
À partir de l’ESM et accéder à la ligne de commande. |
1 Siem 11.0 et versions ultérieures.
Advanced Correlation Engine
Application |
Direction |
Ports |
Protocole |
Destination/Description |
DNS |
Sortant(e) |
53 |
UDP |
serveur DNS principal et secondaire |
FIPS |
Sortant(e) |
4242 |
TCP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
HTTPS |
Sortant(e) |
443 |
TCP/UDP |
Call Home : OpenVPN le client : l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. |
Kafka 1 |
In/out |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
SNMP |
In/out |
161 162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
Vers/depuis ESM et accès à la ligne de commande |
1 Siem 11.0 et versions ultérieures.
Database Event Monitor
Application |
Direction |
Ports |
Protocole |
Destination/Description |
Agent |
In/out |
11098, 11099 |
TCP/UDP |
Pour McAfee DBM |
FIPS |
Sortant(e) |
4242 |
UDP |
Port utilisé pour communiquer afin de garantir la conformité à la norme FIPS. |
HTTPS |
Sortant(e) |
443 |
TCP/UDP |
Call Home- OpenVPN client : l’adresse IP varie. L’adresse IP actuelle utilisée est 161.69.23.25. |
Kafka 1 |
Sortant(e) |
9092 |
TCP |
Port utilisé par bus pour la diffusion et l’utilisation des données. |
NTP |
Sortant(e) |
123 |
UDP |
Serveur NTP |
SNMP |
In/out |
161 162 |
TCP/UDP |
Interruptions reçues des appliances McAfee ou envoyées au collecteur SNMP d’interruptions |
SSH |
In/out |
22 |
TCP/UDP |
Vers/depuis ESM, tâches administratives |
1 Siem 11.0 et versions ultérieures.
La liste ci-dessous répertorie les ports généralement utilisés par les sources de données définies pour un McAfee Event Receiver.
Sources de données
Description du problème |
Port |
Protocole |
Cisco Mars |
993 |
TCP |
eStreamer |
8302 |
TCP |
Flat File |
21, 22, 80, 445, 111, 2049 CIFS utilise 445 ; NFS utilise 111 et 2049 ;
SCP et SFTP utilisent 22 ; HTTP utilise 80 ; FTP utilise 21 |
TCP |
iTron |
21 |
TCP |
McAfee d’événement Agent/SIEM Collector |
8081 (pre- 9.4.2 )
8082 ( 9.4.2 dans les versions ultérieures), configurable par l’utilisateur. |
TCP/UDP |
McAfee NSM |
3306 |
TCP |
Microsoft hub d’événement Azure |
5671, 5672 |
TCP |
mssql |
1433. Configurable par l’utilisateur. Plusieurs sources de données utilisent ce port. |
TCP/UDP |
mysql |
3306 |
TCP/UDP |
netflow |
2055, 9993 |
UDP |
OPSEC |
18184. Configurable par l’utilisateur |
TCP |
Oracle |
1521 |
TCP |
Postgres DB |
5432 |
TCP |
SDEE |
443 |
TCP, UDP |
SilverSpring |
21 |
TCP |
Sophos |
1127 |
TCP |
Syslog |
514 |
TCP/UDP |
INFRASTRUCTURE |
135,139, 445
49152–65535 |
TCP/UDP, ICMP |
Évaluation des vulnérabilités
Description du problème |
Port |
Protocole |
SNMP |
161 162 |
UDP |
SQL |
205,1433 |
TCP/UDP |
HTTPS |
443 |
TCP/UDP |
SCP |
22 |
TCP/UDP |
FTP |
20, 21 |
TCP/UDP |
NFS |
2049, 3780 |
TCP/UDP |
Actions sortantes
Description du problème |
Port |
Protocole |
ePO |
8443 |
TCP |
MVM |
3800 |
TCP |
NSM |
443 |
TCP |
Remarque : Certains ports peuvent être configurés.
Remarque : Cette liste peut être incomplète en raison de nouvelles sources de données. Si vous n’êtes pas sûr d’obtenir une source de données particulière, contactez Support technique.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.