Broadcom CA ACF2

Broadcom CA ACF2 è precedentemente noto come CA Technologies ACF2. Il nome rimane CA ACF2 in QRadar.

Il Broadcom CA Access Control Facility ( ACF2 ) DSM raccoglie gli eventi da un'immagine Broadcom CA ACF2 su un mainframe IBM z/OS utilizzando IBM® Security zSecure.

Quando si utilizza un processo zSecure , gli eventi provenienti da SMF (System Management Facilities) possono essere trasformati in eventi LEEF (Log Event Extended Format). Questi eventi possono essere inviati quasi in tempo reale utilizzando il protocollo Syslog di UNIX oppure IBM QRadar può recuperare i file di log degli eventi LEEF utilizzando il protocollo File di log e quindi elaborare gli eventi. Quando si utilizza il protocollo File di log, è possibile pianificare QRadar per richiamare gli eventi su un intervallo di polling, che consente a QRadar di richiamare gli eventi sulla pianificazione definita.

Per raccogliere gli eventi CA ACF2 , completare la seguente procedura:

  1. Verificare che l'installazione soddisfi tutti i requisiti di installazione prerequisiti. Per ulteriori informazioni relative ai requisiti prerequisiti, consultare IBM Security zSecure Suite 2.2.1 Prerequisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Configura l'immagine dell' IBM z/OS e per scrivere gli eventi in formato LEEF. Per ulteriori informazioni, consultare la suite IBM Security zSecure : CARLa - Guida all'installazione e alla distribuzione dei componenti basati su ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html ).
  3. Creare un'origine log in QRadar per CA ACF2.
  4. Se desideri creare una proprietà evento personalizzata per CA ACF2 in QRadar, per ulteriori informazioni, consulta la nota tecnica Proprietà evento personalizzate di sicurezza di IBM per IBM z/OS ( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf ).

Prima di iniziare

Prima di poter configurare il processo di raccolta dati, è necessario completare il processo di installazione di zSecure di base e completare le attività successive all'installazione per creare e modificare la configurazione.

Sono richiesti i seguenti prerequisiti:

  • È necessario assicurarsi che il membro parmlib IFAPRDxx sia abilitato per IBM Security zSecure Audit sulla propria immagine z/OS® .
  • La libreria SCKRLOAD deve essere autorizzata APF.
  • Se si utilizza l'interfaccia diretta SMF INMEM in tempo reale, è necessario disporre del software necessario installato (APAR OA49263) e impostare il membro SMFPRMxx per includere la parola chiave INMEM e i parametri. Se si decide di utilizzare l'interfaccia CDP, è necessario che CDP sia installato e in esecuzione. Per ulteriori informazioni, consultare IBM Security zSecure Suite 2.2.1: Procedure for near real-time (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • È necessario configurare un processo per aggiornare periodicamente i dataset CKFREEZE e UNLOAD.
  • Se si utilizza il metodo del protocollo del file di log, è necessario configurare un server SFTP, FTP o SCP sull'immagine z/OS per QRadar per scaricare i file di eventi LEEF.
  • Se si utilizza il metodo del protocollo File di log, è necessario consentire il traffico SFTP, FTP o SCP sui firewall che si trovano tra QRadar e l'immagine z/OS .

Per istruzioni sull'installazione e la configurazione di zSecure, vedere la IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).