IBM z/OS

O DSM ( IBM® z/OS® ) coleta eventos de um mainframe IBM z/OS® que usa IBM Security zSecure ou IBM Z Security and Compliance Center.

Quando você usa um processo zSecure , os eventos do System Management Facilities (SMF) podem ser transformados em eventos Log Event Extended Format (LEEF) Esses eventos podem ser enviados quase em tempo real usando o protocolo Syslog UNIX ou o IBM QRadar pode coletar os arquivos de registro de eventos LEEF usando o protocolo de Arquivo de Log e, em seguida, processar os eventos. Ao usar o protocolo de Arquivo de Log, é possível planejar o QRadar para coletar eventos em um intervalo de pesquisa, que permite que o QRadar colete os eventos no planejamento definido.

Para coletar eventos d IBM z/OS, execute as seguintes etapas:

  1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais informações sobre os requisitos, consulte zSecureCARLa -Driven Components Installation and Deployment Guide: Prerequisites ou IBMZ Security and Compliance Center : System requirements.
  2. Configure sua imagem IBM z/OS para gravar eventos no formato LEEF. Para obter mais informações, consulte o Guia de instalação e implantação de componentes baseados em zSecureCARLa : Preparação de dados para SIEM.
  3. Crie uma fonte de log em QRadar para IBM z/OS.
  4. Se você deseja criar uma propriedade de evento personalizada para IBM z/OS em QRadar, para obter mais informações, consulte a nota técnica IBM Propriedades de evento personalizadas de segurança para IBM z/OS.

Antes de iniciar

Para poder configurar o processo de coleta de dados, deve-se concluir o processo de instalação básico do zSecure e concluir as atividades de pós-instalação para criar e modificar a configuração.

Os seguintes pré-requisitos são necessários:

  • Deve-se assegurar que o membro do parmlib IFAPRDxx esteja ativado para o IBM Security zSecure Audit na imagem do z/OS .
  • A biblioteca SCKRLOAD deve ser autorizada por APF.
  • Se você estiver usando a interface em tempo real SMF INMEM direta, deverá ter o software necessário instalado (APAR OA49263) e configurar o membro SMFPRMxx para incluir a palavra-chave INMEM e parâmetros. Se você decidir usar a interface CDP, também deverá ter o CDP instalado e em execução. Para obter mais informações, consulte o zSecure CARLa-Driven Components Installation and Deployment Guide: Procedure paraquase em tempo real.
  • Deve-se configurar um processo para atualizar periodicamente os conjuntos de dados CKFREEZE e UNLOAD.
  • Se você estiver usando o método de protocolo de Arquivo de Log, deverá configurar um servidor SFTP, FTP ou SCP em sua imagem do z/OS para QRadar para fazer download de seus arquivos de eventos LEEF.
  • Se você estiver usando o método de protocolo Arquivo de Log, deverá permitir o tráfego SFTP, FTP ou SCP em firewalls que estão localizados entre o QRadar e a imagem do z/OS .

Para obter instruções sobre a instalação e a configuração do zSecure, consulte o IBM Security zSecure CARLa-Guia de Instalação e Implantação de Componentes Orientados.

Para obter instruções sobre como instalar e configurar o IBM Z Security and Compliance Center, consulte o Guia Z Security and Compliance Center.