IBM z/OS

Moduł DSM IBM® z/OS® gromadzi zdarzenia z komputera mainframe IBM z/OS® , który używa produktu IBM Security zSecure.

Jeśli używany jest proces zSecure , zdarzenia z narzędzia System Management Facilities (SMF) mogą zostać przekształcone w zdarzenia LEEF (Log Event Extended Format). Te zdarzenia mogą być wysyłane w czasie zbliżonym do rzeczywistego przy użyciu protokołu syslog systemu UNIX ® lub IBM QRadar® może gromadzić pliki dziennika zdarzeń LEEF przy użyciu protokołu pliku dziennika, a następnie przetwarzać zdarzenia. Jeśli używany jest protokół pliku dziennika, można zaplanować, aby program QRadar gromadził zdarzenia w odstępie czasu odpytywania, co umożliwia programowi QRadar gromadzenie zdarzeń zgodnie ze zdefiniowanym harmonogramem.

Aby gromadzić zdarzenia IBM z/OS , wykonaj następujące kroki:

  1. Sprawdź, czy instalacja spełnia wszystkie wymagania wstępne. Więcej informacji na temat wymagań wstępnych zawiera publikacja IBM Security zSecure Suite 2.2.1 Prerequisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html).
  2. Skonfiguruj obraz systemu IBM z/OS , aby zapisywać zdarzenia w formacie LEEF. Więcej informacji na ten temat zawiera publikacja IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
  3. Utwórz źródło dziennika w pliku QRadar dla systemu IBM z/OS.
  4. Aby utworzyć niestandardową właściwość zdarzenia dla systemu IBM z/OS w systemie QRadar, więcej informacji na ten temat zawiera nota techniczna IBM Security Custom Event Properties for IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Zanim rozpoczniesz

Przed skonfigurowaniem procesu gromadzenia danych należy wykonać podstawowy proces instalacji produktu zSecure i wykonać działania poinstalacyjne w celu utworzenia i zmodyfikowania konfiguracji.

Wymagane są następujące wymagania wstępne:

  • Należy upewnić się, że element biblioteki parmlib IFAPRDxx jest włączony dla produktu IBM Security zSecure Audit w obrazie systemu z/OS .
  • Biblioteka SCKRLOAD musi być autoryzowana przez APF.
  • Jeśli używany jest bezpośredni interfejs czasu rzeczywistego SMF INMEM, należy zainstalować niezbędne oprogramowanie (APAR OA49263) i skonfigurować element SMFPRMxx tak, aby zawierał słowo kluczowe INMEM i parametry. Jeśli ma być używany interfejs CDP, musi być również zainstalowany i uruchomiony CDP. Więcej informacji na ten temat zawiera publikacja IBM Security zSecure Suite 2.2.1: Procedura w czasie bliskim rzeczywistemu (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • Należy skonfigurować proces w taki sposób, aby okresowo odświeżał zestawy danych CKFREEZE i UNLOAD.
  • Jeśli używana jest metoda protokołu Log File, należy skonfigurować serwer SFTP, FTP lub SCP na obrazie z/OS dla QRadar , aby pobrać pliki zdarzeń LEEF.
  • Jeśli używana jest metoda protokołu Log File Protocol, należy zezwolić na ruch SFTP, FTP lub SCP na firewallach, które znajdują się między produktem QRadar a obrazem systemu z/OS .

Instrukcje dotyczące instalowania i konfigurowania produktu zSecurezawiera publikacja IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).