Broadcom CA ACF2

Broadcom CA ACF2 se conoce anteriormente como CA Technologies ACF2. El nombre sigue siendo CA ACF2 en QRadar.

El DSM ( ACF2 ) de Broadcom CA Access Control Facility recopila eventos de una imagen de Broadcom CA ACF2 en un mainframe IBM z/OS mediante el uso de IBM® Security zSecure.

Cuando se utiliza un proceso zSecure , los sucesos de System Management Facilities (SMF) se pueden transformar en sucesos LEEF (Log Event Extended Format). Estos sucesos se pueden enviar casi en tiempo real utilizando el protocolo Syslog de UNIX o IBM QRadar puede recuperar los archivos de registro de sucesos LEEF utilizando el protocolo de archivo de registro y, a continuación, procesar los sucesos. Cuando utilice el protocolo de archivo de registro, puede planificar QRadar para recuperar sucesos en un intervalo de sondeo, lo que permite a QRadar recuperar los sucesos en la planificación que defina.

Para recopilar sucesos de CA ACF2 , realice los pasos siguientes:

  1. Verifique que la instalación cumple los requisitos previos de instalación. Para obtener más información sobre los requisitos previos, consulte IBM Security zSecure Suite 2.2.1 Requisitos previos (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Configure su imagen IBM z/OS para escribir eventos en formato LEEF. Para obtener más información, consulte la guía de instalación y despliegue de componentes basados en IBM Security zSecure Suite: CARLa ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html ).
  3. Cree un origen de registro en QRadar para CA ACF2.
  4. Si desea crear una propiedad de evento personalizada para CA ACF2 en QRadar, para obtener más información, consulte la nota técnica « IBM Security Custom Event Properties for IBM z/OS » ( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf ).

Antes de empezar

Para poder configurar el proceso de recopilación de datos, debe completar el proceso de instalación básico de zSecure y completar las actividades posteriores a la instalación para crear y modificar la configuración.

Son necesarios los siguientes requisitos previos:

  • Debe asegurarse de que el miembro parmlib IFAPRDxx esté habilitado para IBM Security zSecure Audit en la imagen de z/OS® .
  • La biblioteca SCKRLOAD debe estar autorizada por APF.
  • Si está utilizando la interfaz en tiempo real directa de SMF INMEM, debe tener instalado el software necesario (APAR OA49263) y configurar el miembro SMFPRMxx para incluir la palabra clave y los parámetros INMEM. Si decide utilizar la interfaz CDP, también debe tener CDP instalado y en ejecución. Para obtener más información, consulte IBM Security zSecure Suite 2.2.1: Procedimiento para prácticamente en tiempo real (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • Debe configurar un proceso para renovar periódicamente los conjuntos de datos CKCONGELAR y UNLOAD.
  • Si está utilizando el método de protocolo de archivo de registro, debe configurar un servidor SFTP, FTP o SCP en la imagen z/OS para QRadar para descargar los archivos de sucesos LEEF.
  • Si está utilizando el método de protocolo de archivo de registro, debe permitir el tráfico SFTP, FTP o SCP en cortafuegos que se encuentran entre QRadar y la imagen de z/OS .

Para obtener instrucciones sobre la instalación y configuración de zSecure, consulte la IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).