監査スクリプトを使用して、 Broadcom CA ACF2 を IBM QRadar と統合

Broadcom CA Access Control Facility (ACF2) DSM は、ログ・ファイル・プロトコルを使用して IBM® メインフレーム上のイベントおよび監査トランザクションを収集します。

QexACF2.load.trs は、QEXACF2 プログラムを含む PDS LOADLIB が格納される TERSED ファイルです。 TERSED ファイルは、zip ファイルに類似しており、中身を解凍するために、TRSMAIN プログラムを使用する必要があります。 TRSMAIN プログラムは、 IBM サポート (www.ibm.com/support) から入手できます。

TRS ファイルをワークステーションからアップロードするには、DCB 属性 DSORG=PS、RECFM=FB、LRECL=1024、BLKSIZE=6144 を使用して、ファイルを事前割り振りする必要があります。 ファイル転送タイプは、BINARY APPEND でなければなりません。 転送タイプが TEXT または TEXT APPEND の場合、ファイルを適切に解凍できません。

ファイルがメインフレームにアップロードされ、割り振られたデータ・セットに格納されると、TRSMAIN ユーティリティーでサンプル JCL (tar パッケージにも含まれています) を使用して TERSED ファイルを解凍できます。 TRSMAIN ユーティリティーの戻りコード 0008 は、データ・セットが有効な TERSED ファイルとして認識されていないことを示します。 このコード (0008) のエラーは、ファイルが正しい DCB 属性を使用してメインフレームにアップロードされなかったか、転送が BINARY APPEND 転送メカニズムを使用して実行されなかったことが原因として考えられます。

LOADLIB ファイルを正常に解凍したら、サンプル JCL ファイルを使用して QEXACF2 プログラムを実行できます。 サンプル JCL ファイルは、tar コレクションに含まれています。 QEXACF2 プログラムを実行するには、ローカルの命名規則およびジョブ・カードの要件に合わせて JCL を変更する必要があります。 このプログラムが LINKLISTED ライブラリー内に配置されない場合は、STEPLIB DD を使用しなければならない場合もあります。

CA ACF2 イベントを IBM QRadarに統合する手順

1. IBM メインフレームは、すべてのセキュリティー・イベントを Service Management Framework (SMF) レコードとしてライブ・リポジトリーに記録します。
2. CA ACF2 データが、SMF ダンプ・ユーティリティーを使用してライブ・リポジトリーから抽出されます。 SMF ファイルには、前日のすべてのイベントおよびフィールドが未加工の SMF 形式で格納されています。
3. QexACF2.load.trs プログラムが、SMF 形式ファイルからデータをプルします。 QexACF2.load.trs プログラムは、 QRadar の関連するイベントおよびフィールドのみをプルし、互換性のためにその情報を圧縮形式で書き込みます。 情報は、 QRadarがアクセスできる場所に保存されます。
4. QRadar は、ログ・ファイル・プロトコル・ソースを使用して、スケジュールに基づいて出力ファイル情報を取得します。 その後、 QRadar はこのファイルをインポートして処理します。