Broadcom CA ACF2

Broadcom CA ACF2 jest wcześniej znany jako CA Technologies ACF2. Nazwa pozostaje CA ACF2 w QRadar®.

Moduł DSM Broadcom CA Access Control Facility (ACF2) gromadzi zdarzenia z obrazu ACF2 ośrodka CA Broadcom na komputerze mainframe IBM z/OS za pomocą narzędzia IBM® Security zSecure.

Jeśli używany jest proces zSecure , zdarzenia z narzędzia System Management Facilities (SMF) mogą zostać przekształcone w zdarzenia LEEF (Log Event Extended Format). Te zdarzenia mogą być wysyłane w czasie zbliżonym do rzeczywistego za pomocą protokołu syslog systemu UNIX ® lub IBM QRadar może pobrać pliki dziennika zdarzeń LEEF za pomocą protokołu pliku dziennika, a następnie przetwarzać zdarzenia. Jeśli używany jest protokół pliku dziennika, można zaplanować pobieranie zdarzeń przez program QRadar w odstępie czasu odpytywania, co umożliwia programowi QRadar pobieranie zdarzeń zgodnie ze zdefiniowanym harmonogramem.

Aby zgromadzić zdarzenia CA ACF2 , wykonaj następujące kroki:

  1. Sprawdź, czy instalacja spełnia wszystkie wymagania wstępne. Więcej informacji na temat wymagań wstępnych zawiera publikacja IBM Security zSecure Suite 2.2.1 Prerequisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Skonfiguruj obraz systemu IBM z/OS , aby zapisywać zdarzenia w formacie LEEF. Więcej informacji na ten temat zawiera publikacja IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
  3. Utwórz źródło dziennika w programie QRadar dla CA ACF2.
  4. Aby utworzyć niestandardową właściwość zdarzenia dla CA ACF2 w QRadar, więcej informacji na ten temat zawiera nota techniczna IBM Security Custom Event Properties for IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Zanim rozpoczniesz

Przed skonfigurowaniem procesu gromadzenia danych należy wykonać podstawowy proces instalacji produktu zSecure i wykonać działania poinstalacyjne w celu utworzenia i zmodyfikowania konfiguracji.

Wymagane są następujące wymagania wstępne:

  • Należy upewnić się, że element parmlib IFAPRDxx jest włączony dla produktu IBM Security zSecure Audit w obrazie systemu z/OS® .
  • Biblioteka SCKRLOAD musi być autoryzowana przez APF.
  • Jeśli używany jest bezpośredni interfejs czasu rzeczywistego SMF INMEM, należy zainstalować niezbędne oprogramowanie (APAR OA49263) i skonfigurować element SMFPRMxx tak, aby zawierał słowo kluczowe INMEM i parametry. Jeśli ma być używany interfejs CDP, musi być również zainstalowany i uruchomiony CDP. Więcej informacji na ten temat zawiera publikacja IBM Security zSecure Suite 2.2.1: Procedura w czasie bliskim rzeczywistemu (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • Należy skonfigurować proces w taki sposób, aby okresowo odświeżał zestawy danych CKFREEZE i UNLOAD.
  • Jeśli używana jest metoda protokołu Log File, należy skonfigurować serwer SFTP, FTP lub SCP na obrazie z/OS dla QRadar , aby pobrać pliki zdarzeń LEEF.
  • Jeśli używana jest metoda protokołu Log File Protocol, należy zezwolić na ruch SFTP, FTP lub SCP na firewallach, które znajdują się między produktem QRadar a obrazem systemu z/OS .

Instrukcje dotyczące instalowania i konfigurowania produktu zSecurezawiera publikacja IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).