브로드컴 CA ACF2

Broadcom CA ACF2 는 이전에 CA Technologies ACF2로 알려져 있습니다. 이름은 QRadar에 CA ACF2 로 남아 있습니다.

브로드컴 CA 액세스 제어 기능( ACF2 ) DSM은 브로드컴 CA ACF2 이미지를 사용하는 IBM z/OS 메인프레임에서 IBM® Security zSecure 을 활용하여 이벤트를 수집합니다.

zSecure 프로세스를 사용하는 경우 SMF (System Management Facilities) 의 이벤트를 LEEF (Log Event Extended Format) 이벤트로 변환할 수 있습니다. 이러한 이벤트는 UNIX Syslog 프로토콜을 사용하여 거의 실시간으로 전송되거나 IBM QRadar 가 로그 파일 프로토콜을 사용하여 LEEF 이벤트 로그 파일을 검색한 후 이벤트를 처리할 수 있습니다. 로그 파일 프로토콜을 사용하는 경우 QRadar 를 스케줄링하여 폴링 간격으로 이벤트를 검색할 수 있습니다. 그러면 QRadar 가 사용자가 정의한 스케줄에 따라 이벤트를 검색할 수 있습니다.

CA ACF2 이벤트를 수집하려면 다음 단계를 완료하십시오.

  1. 설치가 전제조건 설치 요구사항을 충족하는지 확인하십시오. 전제조건 요구사항에 대한 자세한 정보는 IBM Security zSecure Suite 2.2.1 전제조건 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) 을 참조하십시오.
  2. IBM z/OS 이미지를 LEEF 형식으로 이벤트를 기록하도록 구성하십시오. 자세한 내용은 IBM Security zSecure Suite: CARLa -Driven Components 설치 및 배포 가이드 ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html )를 참조하십시오.
  3. QRadar 에서 CA ACF2에 대한 로그 소스를 작성하십시오.
  4. 사용자 지정 이벤트 속성을 CA ACF2 생성하려면 QRadar, 자세한 내용은 (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf) IBM 보안 사용자 정의 이벤트 IBM z/OS 속성 기술 노트 을 참조하십시오.

시작하기 전에

데이터 콜렉션 프로세스를 구성하기 전에 기본 zSecure 설치 프로세스를 완료하고 설치 후 활동을 완료하여 구성을 작성하고 수정해야 합니다.

필요한 전제조건은 다음과 같습니다.

  • z/OS® 이미지에서 IBM Security zSecure Audit에 대해 parmlib 멤버 IFAPRDxx가 사용으로 설정되어 있는지 확인해야 합니다.
  • SCKRLOAD 라이브러리에 APF 권한이 있어야 합니다.
  • 직접 SMF INMEM 실시간 인터페이스를 사용하는 경우, 필수 소프트웨어 (APAR OA49263) 를 설치하고 INMEM 키워드 및 매개변수를 포함하도록 SMFPRMxx 구성원을 설정해야 합니다. CDP 인터페이스를 사용하려면 CDP도 설치되어 실행 중이어야 합니다. 자세한 정보는 IBM Security zSecure Suite 2.2.1: Procedure for near real-time (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html) 을 참조하십시오.
  • CKFREEZE 및 UNLOAD 데이터 세트를 정기적으로 새로 고치도록 프로세스를 구성해야 합니다.
  • 로그 파일 프로토콜 방법을 사용하는 경우 LEEF 이벤트 파일을 다운로드하려면 QRadar 에 대한 z/OS 이미지에서 SFTP, FTP 또는 SCP 서버를 구성해야 합니다.
  • 로그 파일 프로토콜 방법을 사용하는 경우 QRadar 및 z/OS 이미지 사이에 있는 방화벽에서 SFTP, FTP 또는 SCP 트래픽을 허용해야 합니다.

zSecure, 설치 및 구성에 대한 지침은 IBM Security zSecure Suite를 참조하세요: CARLa 기반 구성 요소 설치 및 배포 가이드(https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).