zSecure Alert for RACF

IBM セキュリティ QRadar セキュリティ zSecure Alert for RACF® Content Extension を使って、zSecure Alert for RACF 配備を注意深く監視してください。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar zSecure Alert for RACF コンテンツ拡張

IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.2

「Action」カスタム・プロパティーに新規 ID が割り当てられました。 V1.3.2 にアップグレードする前に、既存の「Action」カスタム・プロパティーをすべて削除してください。

次の表では、 IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.2で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 1. IBM セキュリティー QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.2 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
アクション はい 1 whatACTION="([^"]+)"

( 上に戻る )

IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.1

次の表では、 IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.1で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 2. IBM セキュリティー QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.1 のカスタム・プロパティー
名前 最適化済み 正規表現
ユーザー ID はい whoUSERID="([^"]+)"

( 上に戻る )

IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.0

次の表では、 IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 3. IBM セキュリティー QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.0 のカスタム・プロパティー
名前 正規表現
アクション whatACTION="([^"]+)"
Alert Alert: ([^¥t]+)
アラート ID C2P([^\t]{4})\s
権限 onWhatAUTHORITY="([^"]+)"
ジョブ ID whatJOBID="([^"]+)"
名前 whoNAME="([^"]+)"
システム whereSYSTEM="([^"]+)"
ユーザー ID whoUSERID="([^"]+)"
ユーザー ID の変更 onWhatRACFCMD-NAME="([^"]+)"
WTO メッセージ (WTO Message) whatWTO-MESSAGE="([^"]+)"

次の表では、 IBM Security QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。

表 4. IBM セキュリティー QRadar zSecure Alert for RACF コンテンツ拡張 V1.0.0 のルール
名前 説明
メインフレーム・ユーザー・アカウントによる特権アクセスの取得 (A Mainframe User Account got Privileged Access) ユーザー・アカウントが特権アクセスを取得したことを示す zSecure アラート 1109 および 1110 を検出します。
パスワード違反による高い権限のユーザーの取り消し (Highly Authorized User Revoked for Password Violations) パスワード違反のために高い権限のユーザー・アカウントが取り消されたことを示す zSecure アラート 1104 を検出します。
システム権限の付与 (System Authority Was Granted) ユーザーにシステム・レベルの権限が付与されたことを示す zSecure アラート 1105 を検出します。
システム権限の削除 (System Authority Was Removed) システム・レベルの権限がユーザーから削除されたことを示す zSecure アラート 1106 を検出します。
データ・セット・プロファイルでの読み取りへの UACC の設定 (UACC Set to Read On a Data Set Profile) UACC がデータ・セット・プロファイルで読み取りに設定されたことを示す zSecure アラート 1203 を検出します。
データ・セット・プロファイルでの更新への UACC の設定 (UACC Set To Update On A Data Set Profile) UACC がデータ・セット・プロファイルで更新に設定されたことを示す zSecure アラート 1202 を検出します。
重要なグループへのユーザー・アカウントの追加 (User Account Added To An Important Group) 重要なグループ権限がユーザー・アカウントに割り当てられたことを示す zSecure アラート 1701 を検出します。

( 上に戻る )