ファイアウォールの構成

センサーは、ファイアウォールで保護されたネットワークのバックエンドにいくつかの方法で接続できます。

URL は次の目的で使用されます。

コンソール/API — コンソールアクセスおよび API 要求
センサー — センサーとコンソール/バックエンド間の通信
UBS ダウンロード — Unified Binary Store (UBS) バイナリおよびメタデータのダウンロード
コンテンツ管理 — Carbon Black センサーがさまざまな Carbon Black Cloud 機能とその基盤となるルールを構成する指示 (マニフェスト) を受け取れるようにします。最初のマニフェスト更新がないと、次のような一部の機能が使用できない場合があります。
- Carbon Black Cloud Enterprise EDR イベントの収集
- VMware Carbon Black XDR イベントの収集
- デバイス制御
- ホストベースのファイアウォール
- 統合バイナリストア (UBS)
- Carbon Black Cloud Endpoint Standard ブロック機能の大部分
最初のマニフェストのダウンロードが完了したら、Carbon Black Cloud コンソール（[適用] > [ポリシー] 画面）を使用して行われた構成変更と最新のルールセットを受け取るため、content.carbonblack.io にアクセスする必要があります。
署名 - 署名パックの更新
サードパーティ証明書の検証 — センサー COMM 証明書の検証
Live Response のアップロード - Live Response から「get」コマンドを実行するときに使用されます

ファイアウォールを構成して、次の環境固有の URL への TCP/443 (デフォルト) および TCP/54443 (バックアップ) 接続を許可します。

表 1. 環境固有の URL
環境/AWS リージョン	コンソール/API	センサー	UBS ダウンロード	Live Response アップロード
Prod01 (US-East-1)	https://dashboard.confer.net	https://devices.confer.net	https://cdc-file-storage-production-us-east-1.s3.amazonaws.com	https://defense-cblr-file-uploads-us-east-1.s3.amazonaws.com
Prod02 (US-East-1)	https://defense.conferdeploy.net	https://dev5.conferdeploy.net	https://cdc-file-storage-production-us-east-1.s3.amazonaws.com	https://defense-cblr-file-uploads-us-east-1.s3.amazonaws.com
Prod05 (US-East-1)	https://defense-prod05.conferdeploy.net	https://dev-prod05.conferdeploy.net	https://cdc-file-storage-production-us-east-1.s3.amazonaws.com	https://defense-cblr-file-uploads-us-east-1.s3.amazonaws.com
Prod06 (EU-Central-1)	https://defense-eu.conferdeploy.net	https://dev-prod06.conferdeploy.net	https://cdc-file-storage-production-eu-central-1.s3.amazonaws.com	https://defense-cblr-file-uploads-eu-central-1.s3.eu-central-1.amazonaws.com
ProdNRT (AP-Northeast-1)	https://defense-prodnrt.conferdeploy.net	https://dev-prodnrt.conferdeploy.net	https://cdc-file-storage-production-ap-northeast-1.s3.amazonaws.com>	https://defense-cblr-file-uploads-ap-northeast-1.s3.ap-northeast-1.amazonaws.com
ProdSYD (AP-Southwest-2)	https://defense-prodsyd.conferdeploy.net/	https://dev-prodsyd.conferdeploy.net/	https://cdc-file-storage-production-ap-southeast-2.s3.amazonaws.com	https://defense-cblr-file-uploads-ap-southeast-2.s3.ap-southeast-2.amazonaws.com

また、すべての環境で次の URL が使用されます。

表 2. すべての環境
カテゴリ	URL	プロトコル/ポート	メモ
コンテンツ管理 URL	https://content.carbonblack.io	TCP/443
署名 URL	http://updates2.cdc.carbonblack.io/update2	TCP/80	3.3 より前のバージョンの Windows センサー
署名 URL	https://updates2.cdc.carbonblack.io/update2	TCP/443	Windows センサーバージョン 3.3 以降
サードパーティ証明書検証 URL	http://ocsp.godaddy.com	TCP/80	Online Certificate Status Protocol (OCSP)。センサーバージョン 3.3+ : `CURL_CRL_CHECK`を無効にしない限り必要です。
サードパーティ証明書検証 URL	http://crl.godaddy.com http://crl3.digicert.com http://crl4.digicert.com	TCP/80	Certificate Revocation List (CRL)。センサーバージョン 3.3+ : `CURL_CRL_CHECK`を無効にしない限り必要です。

Carbon Black Cloud バックエンドアプリケーションにアクセスするために特定のネットワークファイアウォールの変更を行わなかった場合、センサーは既存のプロキシを介して接続しようとします。「プロキシの構成」を参照してください。

注：

中間者プロキシを実装する動作環境では、プロキシが使用するサーバ証明書によっては、追加のサードパーティ証明書検証 URL が必要になる場合があることに注意してください。追加の URL には、プロキシサーバ SSL 証明書の「CRL 配布ポイント」および「機関情報アクセス」拡張機能で指定されるものが含まれます。TCP ポート 80 でサードパーティの証明書検証 URL への通信を許可しないと、センサーとバックエンド間の通信に失敗する可能性があります。

Windows 3.3 以降のセンサーは、Windows を使用して CRL チェックを実行します。このセンサー通信証明書の検証は推奨されますが、必須ではありません。センサーが独自の通信証明書を検証できない場合、 CURL_CRL_CHECK=0を設定しない限りインストールに失敗します ( CURL CRL チェックの無効化を参照)。

または、センサーが SSL 証明書の検証に最善を尽くすが、ファイアウォールまたはその他のネットワーク制限のために失効情報を取得できない場合は接続を拒否しない、CURL_CRL_REVOKE_BEST_EFFORT=1 を設定できます。

この理由でインストールに失敗し、CRL チェックを無効にしない場合は、次のいずれかのオプションを実装できます。

Windows CRL チェックにプロキシを使用するように WinHTTP サービスを設定する
CRL トラフィックを許可するようにプロキシまたはファイアウォールを設定する
プロキシまたはファイアウォールを介して crl.godaddy.com and ocsp.godaddy.com へのポート80トラフィックを許可する

Carbon Black Cloud Workload アプライアンス


Carbon Black サービス URL/ホスト名	IP アドレス	プロトコル/ポート	説明
prod.cwp.carbonblack.io	動的	TCP/443	アプライアンスのログ作成と更新。
vCenter Server ホスト	ユーザー定義	TCP/443	vCenter Server との通信。
Carbon Black Cloudコンソール URL (コンソール/API URL を参照) たとえば、Prod05 のユーザーならば、https://defense-prod05.conferdeploy.net に、次の情報を入力します。	動的	TCP/443	Carbon Black Cloud との通信。