网络流矩阵
要执行安全监控,Tenable Identity Exposure 必须与每个域的主域控制器仿真器 (PDCe) 通信。您必须在每个 PDCe 上打开网络端口和传输协议,以确保有效监控。
除了这些网络流之外,您还必须考虑其他网络流,例如:
-
访问最终用户服务。
-
Tenable Identity Exposure 服务之间传输的网络流。
-
Tenable Identity Exposure 使用支持服务产生的网络流,例如更新管理基础设施和网络时间协议。
以下网络矩阵图提供了所涉及的不同服务的更多详细信息。
在此图表的基础上,下表介绍了 Tenable Identity Exposure 需要使用的每个协议和端口。
网络流 |
从 | 至 |
Tenable Identity Exposure 的用法 |
流量类型 |
协议和端口 |
---|---|---|---|---|---|
1. | Tenable Identity Exposure 的安全中继 | 域控制器 |
目录、复制、用户和计算机身份验证、组策略、信任 |
LDAP/LDAPS |
TCP/389 和 TCP/636 ICMP/echo-request ICMP/echo-response |
复制、用户和计算机身份验证、组策略、信任 |
SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc |
TCP/445 |
|||
用户和计算机身份验证、林级信任 |
Kerberos |
TCP/88、TCP/464 和 UDP/464 |
|||
用户和计算机身份验证、名称解析、信任 |
DNS |
UDP/53 和 TCP/53 |
|||
复制、用户和计算机身份验证、组策略、信任 |
RPC、DCOM、EPM、DRSUAPI、NetLogonR、SamR、FRS |
TCP Dynamic (> 1024) |
|||
目录、复制、用户和计算机身份验证、组策略、信任 |
全局目录 |
TCP/3268 和 TCP/3269 |
|||
复制 |
RPC 端点映射程序 |
TCP/135 |
|||
2. | Tenable Identity Exposure 的安全中继 | Tenable Identity Exposure 的目录侦听器 |
Tenable Identity Exposure 的内部 API 流
|
HTTPS |
TCP/443 |
3. |
最终用户 | Tenable Identity Exposure 的安全引擎节点 |
Tenable Identity Exposure 的最终用户服务(Web 门户、REST API 等)
|
HTTPS |
TCP/443 |
4. | Tenable Identity Exposure | 支持服务 |
时间同步 |
NTP |
UDP/123 |
更新基础设施 (例如,WSUS 或 SCCM) |
HTTP/HTTPS |
TCP/80 或 TCP/443 |
|||
PKI 基础设施 |
HTTP/HTTPS |
TCP/80 或 TCP/443 |
|||
身份提供程序 SAML 服务器 |
HTTPS |
TCP/443 |
|||
身份提供程序 LDAP |
LDAP/LDAPS |
TCP/389 和 TCP/636 |
|||
身份提供程序 OAuth |
HTTPS |
TCP/443 |
除了 Active Directory 协议之外,某些 Tenable Identity Exposure 配置还需要使用其他流。您必须打开 Tenable Identity Exposure 与目标服务之间的这些协议和端口。
网络流 |
从 | 至 |
Tenable Identity Exposure 的用法(可选) |
流量类型 |
协议和端口 |
---|---|---|---|---|---|
5. | Tenable Identity Exposure 的安全中继 | 网络安全服务 |
电子邮件通知 |
SMTP |
TCP/25、TCP/587、TCP/465、TCP/2525、TCP/25025 |
Syslog 通知 |
Syslog |
TCP/601、TCP/6515、UDP/514 (取决于事件日志服务器的配置) |
|||
Tenable REST API | HTTP/TLS | TCP/443 | |||
域控制器 | 特权分析 | RPC 动态端口 | TCP/49152-65535、UDP/49152-65535 |
如果您将安全引擎节点和存储管理器拆分为两个不同的子网,Tenable Identity Exposure 需要拥有以下端口的访问权限。
网络流 |
从 | 至 |
Tenable Identity Exposure 的用法 |
流量类型 |
协议和端口 |
---|---|---|---|---|---|
6. | Tenable Identity Exposure 的安全引擎节点 | Tenable Identity Exposure 的存储管理器 |
MS SQL 服务器数据库访问 |
MS SQL 查询 |
TCP/1433 |
EventLogStorage 数据库访问 | EventLogStorage 查询 | TCP/4244 | |||
6. | Tenable Identity Exposure 的目录侦听器 | Tenable Identity Exposure 的安全引擎节点 |
Tenable Identity Exposure 的通信总线 |
高级消息队列协议 | TCP/5671 和 TCP/5672 |
Tenable Identity Exposure 的内部 API 流 | HTTP/HTTPS | TCP/80 或 TCP/443 | |||
7. | Tenable Identity Exposure 的安全引擎节点 | Tenable Identity Exposure 的存储管理器 |
MS SQL 服务器数据库访问 |
MS SQL 查询 |
TCP/1433 |
EventLogStorage 数据库访问 | EventLogStorage 查询 | TCP/4244 | |||
8. | Tenable Identity Exposure 的安全引擎节点 | Tenable Cloud (cloud.tenable.com) | Tenable Identity Exposure 云服务 | HTTPS | TCP 443 |
支持服务
支持服务通常因供应商而高度不同或视配置而定。例如,6.2 及更高版本的 WSUS 服务默认监听端口 TCP/8530,但其他版本的 WSUS 服务则监听 TCP/80。您可以将此端口重新配置为任何其他端口。
网络地址转换 (NAT) 支持
Tenable Identity Exposure 会启动所有网络连接,最终用户的网络连接除外。您可以通过网络互连,使用网络地址转换 (NAT) 连接到 Tenable Identity Exposure。