更新时间:2024-09-11
组件对接分布式XDR需要放通以下IP端口通信流量,完成数据上报以及设备联动。(组件使用账号密码方式接入XDR)
管理员->分布式XDR |
分布式XDR集群管理口 |
TCP443 |
日常设备管理 |
管理员->分布式XDR |
分布式XDR集群管理口 |
TCP8443 |
日常设备管理 |
管理员->分布式XDR |
分布式XDR集群业务口 |
TCP4488 |
单点登录端口 |
组件->分布式XDR |
分布式XDR集群业务口 |
TCP443 |
数据上报端口 |
组件->分布式XDR |
分布式XDR集群业务口 |
TCP19666 |
长连接端口 |
组件对接分布式XDR需要放通以下IP端口通信流量,完成数据上报以及设备联动。(组件使用接入码方式接入XDR)
方向 |
需要放通IP/域名 |
需要放通端口 |
用途 |
管理员->分布式XDR |
分布式XDR集群管理口 |
TCP443 |
日常设备管理 |
管理员->分布式XDR |
分布式XDR集群管理口 |
TCP8443 |
日常设备管理 |
组件->分布式XDR |
分布式XDR集群业务口 |
TCP443 |
数据上报端口 |
组件->分布式XDR |
分布式XDR集群业务口 |
TCP8333 |
长连接端口 |
如果是第三方设备对接分布式XDR上报数据使用Syslog协议,需要放通以下域名端口通信流量。如果使用Kafka等协议请参考具体对端配置进行端口放通。
协议 |
方向 |
需要放通IP/域名 |
需要放通的端口 |
用途 |
Syslog |
第三方设备->分布式XDR |
分布式XDR集群业务口 |
第三方设备日志UTF-8编码:TCP/UDP 514
第三方设备日志GBK编码:TCP/UDP 515
|
第三方设备Syslog数据上报,大部分设备日志基本为UTF-8编码,优先使用TCP |
Kafka |
第三方设备->分布式XDR |
分布式XDR集群业务口 |
TCP 32111 |
第三方设备主动转发给XDR Kafka(需要在XDR创建 Kafka topic) |
分布式XDR(所有业务口)-> 第三方设备 |
第三方设备Kafka集群ip |
TCP 9092(默认) |
XDR主动读取第三方设备Kafka获取数据,端口需要调研获取(优先使用该方式进行kafka对接) |
部分SAAS化的SOAR应用(如企业微信机器人、飞书机器人)对接,需要放通所有分布式XDR业务口以下通信流量
SOAR应用 |
方向 |
需要放通IP/域名 |
需要放通的端口 |
关联的SOAR应用动作 |
飞书推送 |
分布式XDR->云端域名 |
open.feishu.cn |
443(https协议) |
飞书群聊机器人消息推送 |
企业微信自建应用通知推送 |
分布式XDR->云端域名 |
qyapi.weixin.qq.com |
443(https协议) |
企业微信自建应用消息推送 |
企业微信机器人消息推送 |
分布式XDR->云端域名 |
qyapi.weixin.qq.com |
443(https协议) |
1、发送企业微信群消息 2、获取企业微信认证token |
钉钉消息推送 |
分布式XDR->云端域名 |
api.dingtalk.com oapi.dingtalk.com |
443(https协议) |
1、发送单聊消息 2、发送群聊消息 |
虾推啥服务号通知推送 |
分布式XDR->云端域名 |
wx.xtuis.cn |
443(https协议) |
发送虾推消息 |
腾讯云短信平台通知推送 |
分布式XDR->云端域名 |
sms.tencentcloudapi.com |
443(https协议) |
发送短信 |
阿里云短信 |
分布式XDR->云端域名 |
*.aliyuncs.com
|
建议全放通 |
发送短信 |
第三方设备资产数据以及认证信息数据上报,需要放通以下IP端口通信流量。
数据源类型 |
第三方设备名称 |
方向 |
需要放通IP/域名 |
需要放通的端口 |
用途 |
资产数据 |
联软终端安全管理系统 |
分布式XDR集群业务口->联软终端安全管理系统 |
联软终端安全管理系统IP |
TCP30098 |
XDR主动拉取联软终端安全管理系统上资产数据信息 |
青藤万相 |
分布式XDR集群业务口->青藤万相 |
青藤万相IP |
TCP80 |
XDR主动拉取青藤万相上资产数据信息 |
奇安信天擎 |
分布式XDR集群业务口->奇安信天擎 |
根据奇安信天擎具体配置文件而定(单机/集群) |
根据奇安信天擎具体配置文件而定(单机/集群) |
XDR主动拉取奇安信天擎上资产数据信息 |
画方网络准入管理系统 |
分布式XDR集群业务口->画方网络准入管理系统 |
画方网络准入管理系统IP |
TCP80 |
XDR主动拉取画方网络准入管理系统上资产数据信息 |
认证数据 |
微软AD域 |
分布式XDR集群业务口->AD域控制器 |
AD域控制器IP |
TCP389 |
XDR主动获取AD域控制器上用户登录认证信息 |
联软终端安全管理系统 |
联软终端安全管理系统->分布式XDR集群业务口 |
分布式XDR集群业务口 |
TCP61440 |
联软终端安全管理系统主动上报数据给分布式XDR |
如果是需要使用短信平台(工单模块通知)、威胁情报以及微信推送等功能,需要放通所有分布式XDR业务口以下通信流量。
如果是需要数据上云/对接互联网MSS需要放通所有分布式XDR业务口以下通信流量。
分布式XDR ->互联网
|
device.scloud.sangfor.com.cn
device.sangfor.com.cn
|
TCP443和TCP5000 |
分布式XDR ->互联网 |
dlauth.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
datalake.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
xlink.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
x.sangfor.com.cn |
TCP443 |
如果是需要更新规则库以及补丁需要放通所有分布式XDR业务口以下通信流量。
分布式XDR ->互联网
|
auth.sangfor.com.cn
|
TCP443 |
分布式XDR ->互联网 |
auth.sangfor.com |
TCP443 |
分布式XDR ->互联网 |
sp.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
dld.sangfor.com |
TCP443 |
分布式XDR ->互联网 |
sp1.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
sp2.sangfor.com.cn |
TCP443 |
分布式XDR ->互联网 |
sp3.sangfor.com.cn |
TCP443 |