前提条件

最后更新于:

概述

本页面概述了先决条件和设置要求,包括端口、日志处理器、日志收集、代理协调、发现、工作流操作、分布式通信、防病毒例外和威胁分析。

在您的环境中启动 EventLog Analyzer 之前,请确保已满足以下要求。

Log360 先决条件

适用于Log360的先决条件

在您的环境中启动 Log360 之前,请确保已满足以下要求。

Log360所需端口

Log360需为Elasticsearch开放以下端口:

端口号 端口用途
9322 (TCP) 与 Elasticsearch 服务器的通信

ADAudit Plus所需端口

为事件收集需开放以下端口:

端口号 端口用途
389 与 LDAP 协议通信
135 RPC通信
445,135 与 NetBIOS 会话服务的通信

访问ADAudit Plus需开放以下端口:

端口号 端口使用情况
8081 HTTP
8444 HTTPS

事件日志分析器所需端口

EventLog Analyzer 要求在服务器上打开下列端口:

端口号 端口用途
8095 (TCP) Web 服务器端口
513、514(UDP) 系统日志监听端口
514 (TCP) Syslog 监听端口
33335(TCP) PostgreSQL/MS SQL 数据库端口

无代理日志收集:

为启用无代理日志收集,需在服务器和远程主机上打开下列端口:

事件日志分析器使用以下端口进行WMI、RPC和DCOM通信。

端口号 端口用途
135、445、139(TCP) WMI、DCOM、RPC
49152-65534 (TCP) WMI、DCOM、RPC

基于代理的日志收集:

事件日志分析器使用以下端口进行本地代理与服务器的UDP通信。

端口号 端口用途
5000、5001、5002(UDP) 用于事件日志分析器本地代理与服务器通信的UDP端口

EventLog Analyzer 通过以下端口实现远程代理与服务器的 TCP 通信:

端口号 端口用途
8095(TCP) 用于事件日志分析器远程代理与服务器通信的TCP端口

针对IBM AS/400系统

服务器和远程主机需开放下列端口:

端口号 端口用途
446-449, 8470-8476, 9470-9476 (TCP) 保持上述端口开放,以便访问 IBM AS/400 机器

M365 Manager Plus所需端口

事件收集需开放以下端口:

端口号 端口用途
80 (TCP) (HTTP) 与Exchange及Microsoft在线服务通信
443 (TCP) (HTTPS) 与 Exchange 和 Microsoft Online 的通信 (SSL)

访问 M365 Manager Plus 所需端口:

端口号 端口用途
8365(TCP)(HTTP) 默认产品端口
9365 (TCP) (HTTPS) 默认产品端口(SSL)

Exchange Reporter Plus所需端口

为使产品与Exchange服务器通信,需开放以下端口:

端口号 端口用途
135 (TCP) RPC
5985 (TCP) Windows PowerShell 默认 psSession
5986 (TCP) (HTTPS) Windows PowerShell 默认 psSession SSL
80 (TCP) PowerShell
443 (TCP) (HTTPS) PowerShell SSL

以下端口需开放以便产品与Active Directory通信:

端口号 端口使用情况
389 (TCP) LDAP
636 (TCP) (HTTPS) LDAP SSL
3268 (TCP) LDAP GC
3269 (TCP) (HTTPS) LDAP 全局树 SSL
53 (TCP) DNS
88 (TCP) Kerberos
139 (TCP) NetBIOS

Exchange Reporter Plus所需端口:

端口号 端口使用情况
8181 HTTPS
3309 ERP产品数据库

ADManager Plus所需端口

ADManager Plus 需要以下端口:

端口号 端口使用情况
33306 与数据库通信
31000 Java封装服务
22 安全外壳协议 (SSH)
8080/8443 Web服务器
2000 电子邮件
389/639 LDAP/LDAPS
80 Exchange 服务器
80,443 G Suite、Microsoft 365
3268 LDAP全局目录(GC)检索

Cloud Security Plus所需端口

访问Cloud Security Plus需要以下端口:

端口号 端口用途
8055 HTTP
8056 HTTPS
514 默认系统日志监听器
25 默认邮件服务器 SMTP
33355 PostgreSQL/MS SQL 数据库
80, 443 云及其数据源
9300-9400(任意一个TCP端口)
9200-9300(任意一个HTTP端口)
Elastic Search

在防病毒应用程序中使用Log360

为确保 Log360 正常运行,需将下列文件添加至防病毒应用程序的例外列表:

路径 是否需要加入白名单 未列入白名单的影响
<ME>/elasticsearch/ES/data Elasticsearch索引数据存储位置 若数据被删除,报表将受到影响。
<ME>/elasticsearch/ES/repo Elasticsearch索引快照在此位置生成。 若此目录下文件被删除,快照及Elasticsearch归档功能将失效。
<ME>/elasticsearch/ES/archive Elasticsearch归档文件存储于此。 若删除此处的文件,数据将不可用。
<Log360_Home>/bin 此处包含所有二进制文件。某些杀毒软件可能将其误判为病毒而拦截。 产品可能无法正常运行。
<Log360_Home>/pgsql/bin 此处包含Postgres二进制文件。可能被杀毒软件误报为病毒。 产品可能无法启动。
<Log360_Home>/lib/native 所有二进制文件均存放于此。部分杀毒软件可能误报并阻止其运行。 产品可能无法正常运行。
<Log360_Home>/tools 此处包含所有工具二进制文件。部分杀毒软件可能将其误判为病毒而拦截。 若文件被杀毒软件删除,部分工具可能无法正常运行。

Log360 UEBA所需端口

Web服务器端口

PORT INBOUND 出站 附加权限
HTTP/8096(可配置) UEBA 服务器
  • UEBA技术员机器。
端口使用情况:
  • 默认端口用于管理服务器与浏览器之间的通信。
  • 用户可自定义端口号,有效值范围为1024-65535。

Elasticsearch

端口 INBOUND 出站 附加权限与许可
TCP/9230(可配置) UEBA 搜索引擎管理节点 [ UEBA 节点 ]
  • UEBA服务器
端口使用情况:
  • UEBA中的Elasticsearch服务器使用此端口。
  • 用户可自定义端口号,有效值范围为9230-9290。

数据库

端口 附加权限与许可
TCP/33337 端口用途:
  • 使用 PostgresSQL/MSSQL 数据库端口连接 UEBA 中的 PostgreSQL 数据库。
  • 由于内部端口绑定至本地主机,无需在防火墙上开放该端口。

Redis缓存

端口 附加权限设置
TCP/8179 端口用途:
  • 用于连接 UEBA 中 Redis 数据库的端口。
  • 该值的有效范围为8179-8189。

SSL配置服务器

端口 附加权限设置
SSL/8446 端口用途:
  • 通过HTTPS利用SSL增强服务器与客户端之间的安全性。
  • 用户可自定义端口号,有效值范围为1024-65535。

ActiveMQ

端口 附加权限设置
TCP/61616 端口用途:
  • 从集成产品中获取实时事件。
  • 该值的有效范围为61616-61626。

PAM360使用的端口

下表列出了PAM360用于远程访问的所有端口:

端口名称 端口号 方向
PostgreSQL 端口 3456 出站
Web客户端端口 8282 入站
SSH 端口 22 出站
Telnet 端口 23 外发
无 SSL 的 LDAP 端口 389 出站
带 SSL 的 LDAP 端口 636 出站
SMTP 端口 25 外发
MS SQL 端口 1433 出站
Oracle 端口 1521 出站
Sybase ASE 端口 5000 出站
密码验证端口 135、139、445 出站
自动登录Spark View网关端口 8283 入站
RDP 3389 出站
SSH API 6622 入站
REST API 8282 入站
私有CA-OCSP响应服务器端口 8080 入站

事件日志分析器需要哪些端口?

1. 主端口

Web服务器端口

端口 入站 出站 附加权限与许可
HTTPS/8095(可配置) 事件日志分析器服务器
  • 事件日志分析器技术人员机器。
  • 事件日志分析器代理机。

端口使用情况

  • 这些端口默认用于管理服务器与受管服务器之间,以及代理与服务器之间的通信。
  • 用户可自定义端口。有效值范围为1024–65535。

日志处理器

当Log360在可扩展架构中配置多个日志处理器时,除主端口外还需以下端口:

端口 INBOUND 出站 使用情况
TCP/9092, 9093 事件日志分析器服务器和日志处理器 事件日志分析器服务器和日志处理器 日志队列引擎通信
TCP/7800 事件日志分析服务器和日志处理器 事件日志分析服务器与日志处理器 日志处理器与主服务器之间的集群通信

Elasticsearch

端口 入站 出站 附加权限与许可
TCP/9300-9400(可配置) 事件日志分析器搜索引擎管理节点 [ SEM节点] 事件日志分析器服务器

端口使用情况

  • 事件日志分析器中的Elasticsearch服务器使用此端口。事件日志分析器服务器与SEM可共存于同一服务器。
  • 用户可自定义端口。有效值范围为1024–65535。

Redis端口

端口 入站 出站 附加权限
TCP/8179-8189 事件日志分析器服务器和日志处理器 事件日志分析器服务器和日志处理器 端口使用情况:
  • 用于连接EventLog Analyzer中Redis的Redis端口。
  • 由于内部端口绑定至本地主机,无需在防火墙上开放该端口。

内部通信

端口 入站和出站 附加权限
UDP/5000(可配置) 事件日志分析器服务器

端口使用情况

  • 这些 UDP 端口由 EventLog Analyzer 内部用于代理与服务器之间的通信。
  • 用户可自定义端口值,有效范围为1024至65535。
  • 绑定到本地主机的内部端口,无需打开防火墙端口。

数据库

端口 附加权限和许可
TCP/33335

端口使用情况

  • 使用 PostgreSQL/MySQL 数据库端口连接 EventLog Analyzer 中的 PostgreSQL/MySQL 数据库。
  • 由于内部端口绑定到本地主机,因此无需打开防火墙端口。

2. 日志收集

Windows 日志收集

端口 入站 出站 服务 附加权限与许可
TCP/135 Windows 设备 事件日志分析器服务器 RPC

用户组

  • 事件日志读取器
  • 分布式 COM 用户

用户权限:

在WMI属性中为root\cimv2设置:

  • 启用帐户
  • 远程启用
  • 读取安全性。

防火墙权限:

  • 预定义规则:
    Windows管理工具(WMI)
TCP/139 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口的动态范围 - TCP/49152 至 65,535 Windows设备 事件日志分析器服务器 RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口
注意
  • 无需在事件日志分析器代理计算机上打开出站端口,也无需在事件日志分析器服务器上打开入站端口。
  • 对于 Windows 2000、Windows XP 和 Windows Server 2003,动态 RPC 端口范围为 1025 到 5000。
  • 为提升开放端口的安全性,建议将服务器IP地址纳入防火墙范围。此举可确保仅允许来自指定服务器的授权流量通过防火墙。 此外,通过预定义规则结合进程与服务过滤器(如WMI、RPC、HTTP/HTTPS、远程事件日志管理),仅允许特定进程或服务通过指定端口通信,可进一步强化安全性。若服务器IP发生变更,务必及时更新对应的防火墙规则。

Syslog 收集

端口 入站 出站 服务 附加权限和许可
UDP/514(可配置) 事件日志分析器服务器 目标设备 Syslog

用户权限:

  • 端口可由用户自定义。
UDP/513(可配置) 事件日志分析器服务器 目标设备 Syslog
TLS/513(可配置) 事件日志分析器服务器 目标设备 Syslog
TCP/514(可配置) 事件日志分析服务器 目标设备 Syslog

SSH通信

PERMISSION 使用情况

确保以下算法存在于 sshd_config 文件中。

文件位置:/etc/ssh/sshd_config

密钥交换(KEX):diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha256, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group15-sha512, diffie-hellman-group16-sha512, diffie-hellman-group17-sha512, diffie-hellman-group18-sha512 , ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp52

密码套件:aes128cbc, aes128ctr, aes192cbc, aes192ctr, aes256cbc, aes256ctr, arcfour128, arcfour256, blowfishcbc, tripledescbc

消息认证码:hmacmd5、hmacmd596、hmacsha1、hmacsha196、hmacsha256、hmacsha512

*此项为所有Linux通信的必备要求

  • Linux 代理安装
  • Linux 代理管理与通信
  • 配置自动系统日志转发
  • Linux MYSQL 伺服器偵測

配置自动Syslog转发

端口 入站 出站 服务 附加权限与许可
TCP/22 Linux 设备 事件日志分析器服务器 SSH

用户权限:

'rsyslog' 或 'syslog' 服务的重启权限。

用户权限:

  • 应为文件(/etc/rsyslog.conf 或 /etc/syslog.conf)启用 "rw" 权限。
  • SSH通信权限

AS400日志收集

端口 入站 出站
TCP/446-449 AS400服务器 事件日志分析器服务器
TCP/8470-8476 AS400 服务器 事件日志分析服务器
TCP/9470-9476 AS400 服务器 事件日志分析服务器

SNMP 陷阱收集

端口 入站 出站 服务 附加权限和许可
UDP/162(可配置) 事件日志分析器服务器 网络设备/应用程序 SNMP

用户权限:

  • 用户可自定义端口。

IIS 日志收集

端口 入站 出站 服务 附加权限与许可
TCP/135 IIS 服务器 事件日志分析器服务器 RPC

用户权限:

  • 应启用对 IIS 日志文件夹的读取权限。
  • 应启用系统 32/inetsrv 的权限
  • 需要管理员共享权限,例如:Admin$、c$
TCP/139 IIS服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 IIS服务器 事件日志分析器服务器 SMB RPC/NP

3. 代理协调

Windows 代理日志收集与通信

端口 入站 出站 附加权限
HTTPS/8094、8095(可配置) 事件日志分析器服务器和日志处理器 事件日志分析器代理机和日志处理器

环境权限:

  • 代理机和服务器机均需开放8094、8095端口。
注意

通信包括代理同步和检查代理状态等任务。

Windows 代理安装与管理

Windows 代理安装先决条件

硬件要求:本节提供有关 Log360 代理硬件要求的信息。

32 位机器

  • 1 GHz 32 位元 (x86) Pentium Dual Core 處理器或同等效能
  • 2 GB RAM

64 位机器

  • 2.80 GHz、64 位元 (x64) Xeon® LV 處理器或同等效能
  • 2 GB 内存

操作系统要求:Log360代理可在以下操作系统(32位和64位架构)及版本上安装运行:

  • Windows®
  • Windows 7 及更高版本
  • Windows Server 2008 及以上版本
端口 入站 出站 服务 附加权限
TCP/135 事件日志分析器代理计算机 事件日志分析器服务器 RPC

用户权限:

  • 应启用对 \\<ipaddress>\Admin$\TEMP\EventLogAgent 文件夹中文件的读取、写入和修改权限。
  • 访问"远程注册表"服务
  • 至少应授予 winreg 注册表项的读取控制权限(计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipe Servers\winreg)。
  • 读取/写入注册表键 - SOFTWARE\\ Wow6432Node \\ZOHO Corp\\EventLog Analyzer\\ (或) SOFTWARE \\ZOHO Corp \\EventLog Analyzer\\。
  • 需访问远程 services.msc
TCP/139 事件日志分析器代理计算机 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 事件日志分析器代理计算机 事件日志分析器服务器 SMB RPC/NP
RPC 端口的动态范围 - TCP/49152 至 65,535 事件日志分析器代理机 事件日志分析器服务器 RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口
注意

管理涉及启动、停止或卸载代理软件等操作。

Linux 代理安装

端口 入站 出站 服务 附加权限
TCP/22 事件日志分析器代理计算机 事件日志分析器服务器 SSH

Sudo用户权限:

  • 文件传输需为/opt/ManageEngine/目录授予"rwx"权限。
  • SSH 通信权限

Linux代理管理与通信

端口 入站 出站 附加权限和许可
TCP/22 事件日志分析器服务器 事件日志分析器服务器

用户权限:

  • SFTP 权限,用于将文件传输到 /opt/Manage Engine/EventL ogAnalyzer_ Agent 和 /etc /audisp/plugins.d
  • 审计服务启动/停止/重启权限。
  • SSH通信权限
HTTPS/8094、8095(可配置) 事件日志分析器服务器和日志处理器 事件日志分析器代理机与日志处理器

4. 日志导入

使用SMB导入日志

端口 入站 出站 服务 附加权限
TCP/137 目标设备 事件日志分析器服务器 NetBIOS 名称解析RPC/命名管道 (NP)

用户权限:

  • 网络访问:禁止匿名用户禁止对 SAM 账户和共享资源进行匿名枚举。
  • 有时,连接到不同的工作组甚至需要凭据才能查看共享资源。
TCP/138 目标设备 事件日志分析器服务器 NetBIOS 数据报
TCP/139 目标设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 目标设备 事件日志分析器服务器 SMB RPC/NP

使用FTP导入日志

端口 入站 出站 服务 附加权限与许可
TCP/20 目标设备 事件日志分析器服务器 FTP/SFTP

用户权限:

  • 应启用 FTP 服务器的 SAuthentication。
TCP/21 目标设备 事件日志分析器服务器 FTP/SFTP

5. 发现

Windows 域发现

端口 入站 出站 服务 附加权限与许可
TCP/389 域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应存在以 ADS_SECURE_AUTHENTICATION 模式运行 LDAP 查询的权限。

Windows 工作组发现

端口 入站 出站 服务 附加权限和许可
TCP/135 工作组服务器 事件日志分析器服务器 RPC

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应授予在 ADS_SECURE_AUTHENTICATION 模式下运行 WinNT 查询的权限。
TCP/139 工作组服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 工作组服务器 事件日志分析器服务器 SMB RPC/NP
TCP/1024-65535 工作组服务器 事件日志分析器服务器 RPC 随机分配的高 TCP 端口

事件源发现

端口 入站 出站 服务 附加权限与许可
TCP/135 目标 Windows 设备 事件日志分析器服务器 RPC

用户权限:

  • winreg 注册表键至少应被授予读取控制权限。
TCP/137 目标 Windows 设备 事件日志分析器服务器 NetBIOS 名称解析RPC/命名管道 (NP)
TCP/138 目标 Windows 设备 事件日志分析器服务器 NetBIOS 数据报
TCP/139 工作组服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 工作组服务器 事件日志分析器服务器 SMB RPC/NP

MSSQL服务器发现-Windows

端口 入站 出站 附加权限
UDP/1434 MSSql 服务器 事件日志分析器服务器

用户权限:

  • 可配置为使用动态TCP端口进行通信。
TCP/1433 MSSQL服务器 事件日志分析器服务器

网络设备发现

端口 入站 出站 附加权限
UDP/162 网络设备 事件日志分析器服务器

端口使用情况:

  • 获取响应SNMP ping的活动SNMP启用IP设备列表。

IIS 发现

端口 INBOUND 出站 服务 附加权限和许可
TCP/445 IIS 服务器 事件日志分析器服务器 SMB RPC/NP

端口使用情况:

  • 服务器消息块(SMB)协议使用此端口读取日志文件。

MYSQL 服务器发现 - Windows

端口 入站 出站 服务 附加权限与许可
TCP/135 MySql服务器 事件日志分析器服务器 RPC

用户权限:

  • 需要WMI权限才能通过SFTP查找MySQL服务器配置文件。
TCP/445 MySQL服务器 事件日志分析器服务器 SMB RPC/NP

MySQL服务器发现-Linux

端口 入站 出站 服务 附加权限与许可
TCP/22 MySql 服务器 事件日志分析器服务器 SMB RPC/NP

用户权限:

  • 使用 SFTP 读取 MySQL 服务器配置文件的权限。
  • SSH通信权限

6. 事件工作流管理

网络操作

BLOCK 端口 入站 出站
PING设备 ICMP/无端口 受审计的 Windows/Linux 设备 事件日志分析器服务器
Windows 追踪路由 ICMP/无端口 已审核的 Windows 设备 事件日志分析器服务器
追踪路由 Linux UDP/33434 -33534 已审核的 Linux 设备 事件日志分析器服务器

Windows 操作

BLOCK 端口 入站 出站 服务 附加权利和许可
注销 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于 root\cim v2 在 WMI 属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 计算机不应包含已安装事件日志分析器的服务器。
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
关机和重启 TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全

环境权限:

  • 计算机不应包含已安装事件日志分析器的服务器
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
执行 Windows 脚本 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全

环境权限:

  • 用户应在脚本中共享路径中拥有读取、写入和修改权限。
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
禁用USB TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性

环境权限:

  • 远程注册表服务应处于运行状态。
  • 对 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 的完全控制权限
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
所有服务阻塞 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户
  • 管理员

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
启动进程 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
停止进程 TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
测试进程 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口

Linux 操作

阻止 阻止 INBOUND 出站 服务 附加权限与许可
关机和重启 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:用户应为root用户。
执行 Windows 脚本 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:用户具备sudo权限。
所有服务阻止 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:Sudo权限。
启动进程 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:应为提供凭据的用户授予执行命令的权限。
停止进程 指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:应为提供凭据的用户授予执行命令的权限。
测试流程 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - -

通知

BLOCK 端口 入站 出港 服务 附加权利与许可
弹出窗口 TCP/135 审计的 Linux 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性

环境权限:

  • "AllowRemoteRPC" 值应为 1,路径为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server。
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
弹出 LINUX TCP/指定端口。 审计的 Linux 设备 事件日志分析器服务器 - 环境权限:用户具备sudo权限。
发送电子邮件(Windows & Linux) 配置SMTP服务器时提及的TCP/端口 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:SMTP服务器应配置在事件日志分析器服务器上
发送短信(Windows & Linux) - - - - 环境权限:产品中应配置短信服务器。
发送 SNMP 陷阱 WINDOWS & LINUX UDP/工作流块中指定的端口 受监控的Windows/Linux设备 事件日志分析器服务器 - 环境权限:工作流配置中提及的端口应保持开放状态。

Active Directory 操作

BLOCK 端口 入站 出站 服务 附加权限与许可
删除广告用户窗口 TCP/389 受稽核的網域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 用户应在AD中拥有"删除"权限才能删除其他账户。
  • 要删除的用户不应勾选"保护对象免遭意外删除"。
禁用 AD 用户 Windows TCP/389 已审核的域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 提供的用户账户应启用"读取"、"写入"、"修改所有者"和"修改权限"权限。
禁用用户计算机 Windows 和 Linux TCP/389 已审核的域控制器 事件日志分析器服务器 LDAP 用户权限:
  • 提供的用户账户应启用"读取"、"写入"、"修改所有者"和"修改权限"权限。

其他操作

BLOCK 端口 INBOUND 出站 附加权限和许可
写入文件窗口 TCP/135 受审计的 Windows 设备 事件日志分析器服务器

用户组:

  • 分布式 COM 用户

用户权限:

  • 作为操作系统的一部分运行
  • 以批处理作业身份登录
  • 以服务身份登录
  • 替换进程级令牌

用户权限:

对于 root\cim v2 在 属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全

环境权限:

  • 用户应具有对共享路径的读取、写入和修改权限。
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器
写入文件 Linux TCP/指定端口。 审计的 Linux 设备 事件日志分析器服务器 环境权限:
  • 用户需具备sudo权限
HTTP WebHook - - - 环境权限:
  • 对目标 URL 的主机/端口组合的“连接”套接字权限,或允许此请求的“URL 权限”。
转发日志 TCP/指定端口 受审计的 Windows/Linux 设备 事件日志分析器服务器 -
CSV 查询 TCP/指定端口 受审计的 Windows/Linux 设备 事件日志分析器服务器 用户权限
  • 对指定CSV文件的读取权限。

防火墙操作

BLOCK 端口 入站 出站 附加权限与许可
思科ASA拒绝入站/出站规则 https/443 防火墙设备 事件日志分析器服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#ciscoCredentials

Fortigate 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权利:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials

Palo Alto 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#paloAltoCredentials

Sophos XG 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#sophosXGCredentials

Barracuda 拒绝访问规则 https/8443 防火墙设备 事件日志分析器服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials

7. 分布式通信设置

分布式

端口 入站 出站 附加权限
HTTP/8095(可配置) 事件日志分析器管理服务器机器 事件日志分析器管理服务器

用户权限:

  • 管理服务器通过默认Web服务器端口与管理服务器通信。
  • 默认端口号为 8095。
  • 用户可自定义该端口。
HTTP/8095(可配置) 事件日志分析器管理服务器机器 事件日志分析器管理服务器机器

用户权限:

  • 管理服务器通过默认Web服务器端口与受管服务器通信
  • 用户可自定义端口,数值应在1024至65535之间。

集中式归档端口

端口 入站 出站 附加权限
SSH/8080(可配置) EventLog Analyzer 管理服务器计算机 EventLog Analyzer 受管伺服器機器

用户权限:

  • 受管伺服器透過SSH 8080將歸檔檔案傳輸至管理伺服器。
  • 用户可自定义端口,数值应在1024至65535之间。

在防病毒应用程序中使用事件日志分析器

为确保事件日志分析器正常运行,需将下列文件添加至防病毒软件的例外列表:

路径 是否需要加入白名单 未列入白名单的影响
<ELA_HOME>/ES/data Elasticsearch索引数据存储位置。 若数据被删除,所有收集的日志将不可用。
<ELA_HOME>/ES/repo Elasticsearch索引快照存储于此位置。 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。
<ELA_HOME>/ES/archive Elasticsearch归档文件存储于此。 若此处文件被删除,归档日志数据将不可用。
<ME>/elasticsearch/ES/data Elasticsearch索引数据存储于此。 若删除此数据,报表功能将受影响。
<ME>/elasticsearch/ES/repo Elasticsearch索引快照在此位置生成。 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。
<ME>/elasticsearch/ES/archive Elasticsearch归档文件存储于此。 若删除此处的文件,数据将不可用。
<ELA_HOME>/data/za/threatfeeds 此处存储捆绑文件,内含恶意IP、域名及URL列表,用于断网情况下的数据访问。这些文件将在首次默认威胁源同步时被删除。白名单设置仅需在首次同步前完成。 若文件被移除且网络断开,则数据集中将缺失恶意威胁源列表。
<ELA_HOME>/data/AlertDump 格式化日志在告警处理前存储于此。可能被防病毒软件误判为误报。 若文件被隔离或删除,相关告警将无法触发。
<ELA_HOME>/data/NotificationDump 格式化日志在处理通知前存储。可能被防病毒应用程序误判为误报。 若文件被隔离或删除,触发的告警通知将丢失。
<ELA_HOME>/bin 所有二进制文件均存放于此。部分防病毒应用可能将其误判为误报而拦截。 产品可能无法正常运行。
<ELA_HOME>/data/imworkflow 用户上传用于工作流执行的二进制文件存储于此。 脚本告警工作流可能无法正常运行。
<ELA_HOME>/pgsql/bin 此处包含 Postgres 二进制文件。可能被防病毒应用程序误报为误报。 产品可能无法启动。
<ELA_HOME>/lib/native 所有二进制文件均存放于此。部分杀毒软件可能误报并阻止其运行。 产品可能无法正常运行。
<ELA_HOME>/archive(若归档文件夹已移动至新位置,请添加新路径) 杀毒软件可能导致频繁写入操作变慢。 若杀毒软件导致写入操作变慢,产品可能出现性能问题。
<ELA_HOME>/troubleshooting 所有故障排除二进制文件均包含在此处。某些防病毒应用程序可能将其误判为误报而阻止。 部分故障排除批处理文件可能无法正常运行。
<ELA_HOME>/tools 此处包含所有工具二进制文件。部分防病毒软件可能将其误判为威胁而拦截。 若文件被杀毒软件删除,部分工具可能无法正常运行。
<ELA_HOME>/ES/CachedRecord 杀毒软件可能导致频繁写入操作变慢。 若杀毒软件导致写入操作变慢,产品可能出现性能问题。

适用于Windows代理机(64位):

路径 是否需要加入白名单 未列入白名单的影响
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin 代理程序二进制文件存储于此。 若文件被隔离,代理程序可能无法正常运行。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data 防病毒应用程序可能减慢频繁写入操作的速度。 若防毒應用程式減慢寫入操作,產品可能出現效能問題。
C:\TEMP\EventLogAgent 安装程序会移动代理安装文件以进行安装和升级。 若文件被隔离,代理程序可能无法升级/安装。

Windows 32 位代理机:

路径 是否需要加入白名单 未列入白名单的影响
C:\Program Files\EventLogAnalyzer_Agent\bin 代理程序二进制文件存储于此。 若文件被隔离,代理程序可能无法运行。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data 防病毒应用程序可能减慢频繁写入操作的速度。 若防毒應用程式減緩寫入操作,產品可能出現效能問題。
C:\TEMP\EventLogAgent 安装程序会移动代理安装文件以进行安装和升级。 若文件被隔离,代理可能无法升级/安装。

针对 Linux 代理:

路径 是否需要加入白名单 未列入白名单的影响
/opt/ManageEngine/EventLogAnalyzer_Agent/bin 代理程序二进制文件存储于此。 若文件被隔离,代理程序可能无法运行。
/opt/ManageEngine/EventLogAnalyzer_Agent/bin/data 防病毒应用程序可能导致频繁写入操作变慢。 若防毒應用程式導致寫入操作變慢,產品可能出現效能問題。

8. 高级威胁分析

PORT 附加权限
HTTPS/443

为获取"Log360云威胁分析"数据源,将使用以下URL

另请参阅

本页面详细说明了设置前提条件。您也可参考以下指南了解系统要求、安装与卸载、启动与关闭以及连接服务器等更多信息: