Broadcom CA ACF2

Broadcom CA ACF2 ist früher als CA Technologies ACF2bekannt. Der Name bleibt CA ACF2 in QRadar.

Die Broadcom CA Access Control Facility ( ACF2 ) DSM sammelt Ereignisse aus einem Broadcom- CA ACF2 -Image auf einem IBM z/OS -Mainframe mithilfe von IBM® Security zSecure.

Wenn Sie einen zSecure -Prozess verwenden, können Ereignisse aus System Management Facilities (SMF) in LEEF-Ereignisse (Log Event Extended Format) umgewandelt werden. Diese Ereignisse können echtzeitnah mithilfe des UNIX-Syslog-Protokolls gesendet werden oder IBM QRadar kann die LEEF-Ereignisprotokolldateien mithilfe des Protokolldateiprotokolls abrufen und anschließend die Ereignisse verarbeiten. Wenn Sie das Protokolldateiprotokoll verwenden, können Sie QRadar so planen, dass Ereignisse in einem Abfrageintervall abgerufen werden. Dadurch kann QRadar die Ereignisse in dem von Ihnen definierten Zeitplan abrufen.

Führen Sie die folgenden Schritte aus, um CA ACF2 -Ereignisse zu erfassen:

  1. Stellen Sie sicher, dass Ihre Installation alle Installationsvoraussetzungen erfüllt. Weitere Informationen zu Voraussetzungen finden Sie unter IBM Security zSecure Suite 2.2.1 Voraussetzungen (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Konfigurieren Sie Ihr „ IBM z/OS “-Image so, dass Ereignisse im LEEF-Format geschrieben werden. Weitere Informationen finden Sie im Handbuch zur Installation und Bereitstellung von IBM - Security zSecure -Suite: CARLa -gesteuerten Komponenten ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html ).
  3. Erstellen Sie eine Protokollquelle in QRadar für CA ACF2.
  4. Wenn Sie eine benutzerdefinierte Ereigniseigenschaft für „ CA ACF2 “ erstellen möchten, finden QRadarSie weitere Informationen in der technischen Anmerkung „ IBM Security Custom Event Properties for IBM z/OS “ ( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf ).

Vorbereitende Schritte

Bevor Sie den Datenerfassungsprozess konfigurieren können, müssen Sie den Basisinstallationsprozess für zSecure und die Aktivitäten nach der Installation ausführen, um die Konfiguration zu erstellen und zu ändern.

Die folgenden Voraussetzungen sind erforderlich:

  • Sie müssen sicherstellen, dass das Parmlib-Member IFAPRDxx für IBM Security zSecure Audit in Ihrem z/OS® -Image aktiviert ist.
  • Die Bibliothek SCKRLOAD muss APF-berechtigt sein.
  • Wenn Sie die direkte SMF-INMEM-Echtzeitschnittstelle verwenden, muss die erforderliche Software installiert sein (APAR OA49263) und Sie müssen das Member SMFPRMxx so konfigurieren, dass es das Schlüsselwort und die Parameter INMEM enthält. Wenn Sie die CDP-Schnittstelle verwenden möchten, muss auch CDP installiert und aktiv sein. Weitere Informationen finden Sie in der Veröffentlichung IBM Security zSecure Suite 2.2.1: Procedure for near real-time (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html).
  • Sie müssen einen Prozess konfigurieren, um Ihre CKFREEZE-und UNLOAD-Dateien regelmäßig zu aktualisieren.
  • Wenn Sie die Protokollmethode "Protokolldatei" verwenden, müssen Sie einen SFTP-, FTP-oder SCP-Server in Ihrem z/OS -Image für QRadar konfigurieren, um Ihre LEEF-Ereignisdateien herunterzuladen.
  • Wenn Sie die Protokollmethode "Log File" verwenden, müssen Sie SFTP-, FTP-oder SCP-Datenverkehr in Firewalls zwischen QRadar und Ihrem z/OS -Image zulassen.

Anweisungen zur Installation und Konfiguration von zSecure, finden Sie in der IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).