IBM z/OS

IBM® z/OS® DSMは、 IBM Security zSecure または IBM Z Security and Compliance Center を使用する IBM z/OS® メインフレームからイベントを収集します。

zSecure プロセスを使用すると、システム管理機能 (SMF) からのイベントをログ・イベント拡張フォーマット (LEEF) イベントに変換できます。 これらのイベントは、UNIX Syslog プロトコルを使用してほぼリアルタイムに送信できます。あるいは、 IBM QRadar がログ・ファイル・プロトコルを使用して LEEF イベント・ログ・ファイルを収集し、イベントを処理できます。 ログ・ファイル・プロトコルを使用する場合、ポーリング間隔でイベントを収集するように QRadar をスケジュールすることができます。これにより、 QRadar が定義されたスケジュールでイベントを収集できるようになります。

IBM z/OS イベントを収集するには、次の手順を完了してください:

  1. インストール済み環境が、前提条件となるインストール要件をすべて満たしていることを確認します。 要件の詳細については、 zSecure CARLa -Driven Components Installation and Deployment Guide: Prerequisites または IBM Z Security and Compliance Center : System requirements を参照してください。
  2. IBM z/OS イメージをLEEF形式でイベントを書き込むように設定してください。 詳細については、『 zSecureCARLa 駆動コンポーネント インストールおよびデプロイメントガイド: SIEM向けデータ準備 』を参照してください。
  3. IBM z/OS のログソースを作成 QRadar します。
  4. IBM z/OS のカスタム イベント プロパティを作成する場合は QRadar、詳細については、 IBM の「 IBM z/OS 向けセキュリティ カスタム イベント プロパティ」テクニカル ノートを参照してください。

始める前に

データ収集プロセスを構成する前に、基本的な zSecure インストール・プロセスを完了し、インストール後のアクティビティーを完了して、構成を作成および変更する必要があります。

以下の前提条件は必須です。

  • IBM Security zSecure Audit on your z/OS イメージで parmlib メンバー IFAPRDxx が有効になっていることを確認する必要があります。
  • SCKRLOAD ライブラリーは APF が許可されていなければなりません。
  • 直接の SMF INMEM リアルタイム・インターフェースを使用する場合は、必要なソフトウェアをインストールし (APAR OA49263)、SMFPRMxx メンバーをセットアップして、INMEM キーワードおよびパラメーターを含めるようにしておく必要があります。 CDP インターフェースを使用することに決めた場合は、CDP もインストールして稼働させておく必要があります。 詳しくは、「 zSecure CARLa-Driven Components Installation and Deployment Guide: Procedure for near real-time」を参照してください。
  • CKFREEZE と UNLOAD のデータ・セットが定期的に更新されるようにプロセスを構成する必要があります。
  • ログ・ファイル・プロトコル方式を使用している場合、 QRadar が LEEF イベント・ファイルをダウンロードするには、 z/OS イメージ上に SFTP サーバー、FTP サーバー、または SCP サーバーを構成する必要があります。
  • ログ・ファイル・プロトコル方式を使用する場合は、 QRadar と z/OS イメージの間にあるファイアウォールで SFTP トラフィック、FTP トラフィック、または SCP トラフィックを許可する必要があります。

zSecure, のインストールと設定については、IBM Security zSecure CARLa-Driven Components インストールおよび展開ガイド を参照してください。

IBM のインストールおよび設定に関する手順については、 Z Security and Compliance Center の Z Security and Compliance Center ガイドを参照してください。