IBM z/OS

Il DSM ( IBM® z/OS® ) raccoglie gli eventi da un mainframe IBM z/OS® che utilizza IBM Security zSecure o IBM Z Security and Compliance Center.

Quando si utilizza un processo zSecure , gli eventi provenienti da SMF (System Management Facilities) possono essere trasformati in eventi LEEF (Log Event Extended Format). Questi eventi possono essere inviati quasi in tempo reale utilizzando il protocollo Syslog UNIX oppure IBM QRadar può raccogliere i file di log degli eventi LEEF utilizzando il protocollo File di log ed elaborare gli eventi. Quando si utilizza il protocollo File di log, è possibile pianificare QRadar per raccogliere gli eventi su un intervallo di polling, che abilita QRadar a raccogliere gli eventi sulla pianificazione definita.

Per raccogliere gli eventi dell' IBM z/OS, completare i seguenti passaggi:

  1. Verificare che la vostra installazione soddisfi i requisiti di installazione prerequisiti. Per ulteriori informazioni sui requisiti, consultare zSecureCARLa -Driven Components Installation and Deployment Guide: Prerequisites (Guida all'installazione e alla distribuzione di componenti basati su Active Directory: prerequisiti) o IBMZ Security and Compliance Center : System requirements (Guida all'installazione e alla distribuzione di Active Directory: requisiti di sistema).
  2. Configura l'immagine dell' IBM z/OS e per scrivere gli eventi in formato LEEF. Per ulteriori informazioni, consultare la Guida all'installazione e alla distribuzione dei componenti basati su zSecureCARLa : preparazione dei dati per SIEM.
  3. Crea una sorgente di log in QRadar per IBM z/OS.
  4. Se desideri creare una proprietà evento personalizzata per IBM z/OS in QRadar, per ulteriori informazioni, consulta la nota tecnica Proprietà evento personalizzate di sicurezza di IBM per IBM z/OS.

Prima di iniziare

Prima di poter configurare il processo di raccolta dati, è necessario completare il processo di installazione di zSecure di base e completare le attività successive all'installazione per creare e modificare la configurazione.

Sono richiesti i seguenti prerequisiti:

  • È necessario assicurarsi che il membro parmlib IFAPRDxx sia abilitato per IBM Security zSecure Audit sull'immagine z/OS .
  • La libreria SCKRLOAD deve essere APF - autorizzata.
  • Se si utilizza l'interfaccia diretta SMF INMEM in tempo reale, è necessario disporre del software necessario installato (APAR OA49263) e impostare il membro SMFPRMxx per includere la parola chiave INMEM e i parametri. Se si decide di utilizzare l'interfaccia CDP, è necessario disporre anche di CDP installato e in esecuzione. Per ulteriori informazioni, consultare zSecure CARLa-Driven Components Installation and Deployment Guide: Procedure for near real-time.
  • È necessario configurare un processo per aggiornare periodicamente i dataset CKFREEZE e UNLOAD.
  • Se si utilizza il metodo del protocollo del file di log, è necessario configurare un server SFTP, FTP o SCP sull'immagine z/OS per QRadar per scaricare i file di eventi LEEF.
  • Se si utilizza il metodo del protocollo File di log, è necessario consentire il traffico SFTP, FTP o SCP sui firewall che si trovano tra QRadar e l'immagine z/OS .

Per istruzioni sull'installazione e la configurazione di zSecure, consultare la IBM Security zSecure CARLa-Driven Components Installation and Deployment Guide.

Per istruzioni sull'installazione e la configurazione di IBM Z Security and Compliance Center, consultare la Guida all' Z Security and Compliance Center.