IBM RACF

Le DSM ( IBM® ) RACF® collecte les événements à partir d'un ordinateur central IBM z/OS à l'aide d'un serveur de données de gestion ( IBM ) Security zSecure.

Lorsque vous utilisez un processus zSecure , les événements SMF (System Management Facilities) peuvent être transformés en événements LEEF (Log Event Extended Format). Ces événements peuvent être envoyés en temps quasi réel à l'aide du protocole UNIX Syslog ou IBM QRadar peut extraire les fichiers journaux des événements LEEF à l'aide du protocole Log File, puis traiter les événements. Lorsque vous utilisez le protocole Log File, vous pouvez planifier QRadar pour extraire des événements sur un intervalle d'interrogation, ce qui permet à QRadar d'extraire les événements sur le planning que vous définissez.

Pour collecter des événements IBM RACF , procédez comme suit:

  1. Vérifiez que votre installation répond aux prérequis pour l'installation. Pour plus d'informations sur les prérequis, voir IBM Security zSecure Suite 2.2.1 Prerequisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Configurez votre image d' IBM z/OS ation pour enregistrer les événements au format LEEF. Pour plus d'informations, consultez le guide d'installation et de déploiement des composants basés sur IBM Security zSecure Suite : CARLa ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html ).
  3. Créez une source de journal dans QRadar pour IBM RACF.
  4. Si vous souhaitez créer une propriété d'événement personnalisée pour IBM RACF in QRadar, pour plus d'informations, consultez la note technique IBM Security Custom Event Properties for IBM z/OS ( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf ).

Avant de commencer

Avant de pouvoir configurer le processus de collecte de données, vous devez effectuer le processus d'installation de base zSecure et effectuer les activités de post-installation pour créer et modifier la configuration.

Les conditions préalables suivantes sont requises :

  • Vous devez vous assurer que le membre parmlib IFAPRDxx est activé pour IBM Security zSecure Audit sur votre image z/OS® .
  • La bibliothèque SCKRLOAD doit être autorisée par APF.
  • Si vous utilisez l'interface directe en temps réel SMF INMEM, vous devez disposer du logiciel requis (APAR OA49263) et configurer le membre SMFPRMxx pour inclure le mot clé INMEM et les paramètres. Si vous décidez d'utiliser l'interface CDP, CDP doit également être installé et en cours d'exécution. Pour plus d'informations, voir IBM Security zSecure Suite 2.2.1: Procédure pour le temps quasi réel (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • Vous devez configurer un processus pour régénérer périodiquement vos fichiers CKFREEZE et UNLOAD.
  • Si vous utilisez la méthode de protocole Log File, vous devez configurer un serveur SFTP, FTP ou SCP sur votre image z/OS pour QRadar afin de télécharger vos fichiers d'événements LEEF.
  • Si vous utilisez la méthode de protocole Log File, vous devez autoriser le trafic SFTP, FTP ou SCP sur les pare-feux situés entre QRadar et votre image z/OS .

Pour obtenir des instructions sur l'installation et la configuration de zSecure, voir le IBM Security zSecure Suite : CARLa-Driven Components Installation and Deployment Guide (https://www.ibm.com/docs/en/SS2RWS_2.4.0/com.ibm.zsecure.doc_2.4.0/zsec_install.pdf).