Broadcom CA ACF2

Broadcom CA ACF2 は、以前は CA Technologies ACF2と呼ばれていました。 この名前は、QRadar では CA ACF2 のままです。

ブロードコムCAアクセス制御機能( ACF2 )DSMは、 IBM® Security zSecure を使用して、 IBM z/OS メインフレーム上のブロードコム CA ACF2 イメージからイベントを収集します。

zSecure プロセスを使用すると、システム管理機能 (SMF) からのイベントをログ・イベント拡張フォーマット (LEEF) イベントに変換できます。 これらのイベントは、UNIX Syslog プロトコルを使用してほぼリアルタイムで送信できます。あるいは、 IBM QRadar がログ・ファイル・プロトコルを使用して LEEF イベント・ログ・ファイルを取得し、イベントを処理できます。 ログ・ファイル・プロトコルを使用する場合、ポーリング間隔でイベントを取得するように QRadar をスケジュールすることができます。これにより、 QRadar は、定義したスケジュールでイベントを取得できます。

CA ACF2 イベントを収集するには、以下のステップを実行します。

  1. インストール済み環境が、前提条件となるインストール要件をすべて満たしていることを確認します。 前提条件の要件について詳しくは、「 IBM Security zSecure Suite 2.2.1 Prerequisites 」(http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) を参照してください。
  2. IBM z/OS イメージをLEEF形式でイベントを書き込むように設定してください。 詳細については、 IBM Security zSecure Suite: CARLa -Driven Components Installation and Deployment Guide ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html ) を参照してください。
  3. CA ACF2のログ・ソースをQRadarに作成します。
  4. CA ACF2 のカスタム イベント プロパティを作成する場合は QRadar、詳細については、 技術ノート 「 IBM Security Custom Event Properties for IBM z/OS 」を参照してください ( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf )。

始める前に

データ収集プロセスを構成する前に、基本的な zSecure インストール・プロセスを完了し、インストール後のアクティビティーを完了して、構成を作成および変更する必要があります。

以下の前提条件は必須です。

  • IBM Security zSecure Audit on your z/OS® イメージで parmlib メンバー IFAPRDxx が有効になっていることを確認する必要があります。
  • SCKRLOAD ライブラリーは APF が許可されていなければなりません。
  • 直接の SMF INMEM リアルタイム・インターフェースを使用する場合は、必要なソフトウェアをインストールし (APAR OA49263)、SMFPRMxx メンバーをセットアップして、INMEM キーワードおよびパラメーターを含めるようにしておく必要があります。 CDP インターフェースを使用することに決めた場合は、CDP もインストールして稼働させておく必要があります。 詳しくは、「 IBM Security zSecure Suite 2.2.1: Procedure for near real-time 」(http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html) を参照してください。
  • CKFREEZE と UNLOAD のデータ・セットが定期的に更新されるようにプロセスを構成する必要があります。
  • ログ・ファイル・プロトコル方式を使用している場合、 QRadar が LEEF イベント・ファイルをダウンロードするには、 z/OS イメージ上に SFTP サーバー、FTP サーバー、または SCP サーバーを構成する必要があります。
  • ログ・ファイル・プロトコル方式を使用する場合は、 QRadar と z/OS イメージの間にあるファイアウォールで SFTP トラフィック、FTP トラフィック、または SCP トラフィックを許可する必要があります。

zSecure, のインストールと設定については、IBM Security zSecure スイート:CARLa-Driven Components インストールおよび展開ガイド (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).