IBM z/OS

Le DSM ( IBM® z/OS® ) collecte les événements à partir d'un ordinateur central IBM z/OS® qui utilise IBM Security zSecure ou IBM Z Security and Compliance Center.

Lorsque vous utilisez un processus zSecure , les événements SMF (System Management Facilities) peuvent être transformés en événements LEEF (Log Event Extended Format). Ces événements peuvent être envoyés en temps quasi réel à l'aide du protocole UNIX Syslog ou IBM QRadar peut collecter les fichiers journaux des événements LEEF à l'aide du protocole Log File, puis traiter les événements. Lorsque vous utilisez le protocole Log File, vous pouvez planifier QRadar pour collecter des événements sur un intervalle d'interrogation, ce qui permet à QRadar de collecter les événements sur la planification que vous définissez.

Pour collecter les événements d' IBM z/OS, procédez comme suit :

  1. Vérifiez que votre installation répond aux prérequis pour l'installation. Pour plus d'informations sur la configuration requise, consultez le guide d'installation et de déploiement des composants basés sur zSecure CARLa : Conditions préalables ou IBM Z Security and Compliance Center : Configuration système requise.
  2. Configurez votre image d' IBM z/OS ation pour enregistrer les événements au format LEEF. Pour plus d'informations, consultez le Guide d'installation et de déploiement des composants zSecure CARLa : Préparation des données pour SIEM.
  3. Créez une source de journal dans QRadar pour IBM z/OS.
  4. Si vous souhaitez créer une propriété d'événement personnalisée pour IBM z/OS dans QRadar, pour plus d'informations, consultez la note technique Propriétés d'événement personnalisées de sécurité IBM pour IBM z/OS.

Avant de commencer

Avant de pouvoir configurer le processus de collecte de données, vous devez effectuer le processus d'installation de base zSecure et effectuer les activités de post-installation pour créer et modifier la configuration.

Les conditions préalables suivantes sont requises :

  • Vous devez vous assurer que le membre parmlib IFAPRDxx est activé pour IBM Security zSecure Audit sur votre image z/OS .
  • La bibliothèque SCKRLOAD doit être autorisée par APF.
  • Si vous utilisez l'interface directe en temps réel SMF INMEM, vous devez disposer du logiciel requis (APAR OA49263) et configurer le membre SMFPRMxx pour inclure le mot clé INMEM et les paramètres. Si vous décidez d'utiliser l'interface CDP, CDP doit également être installé et en cours d'exécution. Pour plus d'informations, voir le manuel zSecure CARLa-Driven Components Installation and Deployment Guide: Procedure for near real-time.
  • Vous devez configurer un processus pour régénérer périodiquement vos fichiers CKFREEZE et UNLOAD.
  • Si vous utilisez la méthode de protocole Log File, vous devez configurer un serveur SFTP, FTP ou SCP sur votre image z/OS pour QRadar afin de télécharger vos fichiers d'événements LEEF.
  • Si vous utilisez la méthode de protocole Log File, vous devez autoriser le trafic SFTP, FTP ou SCP sur les pare-feux situés entre QRadar et votre image z/OS .

Pour obtenir des instructions sur l'installation et la configuration de zSecure, voir le IBM Security zSecure CARLa-Driven Components Installation and Deployment Guide.

Pour obtenir des instructions sur l'installation et la configuration d' IBMZ Security and Compliance Center, consultez le guide d' Z Security and Compliance Center.