Broadcom CA ACF2

當您使用 zSecure 處理程序時，來自「系統管理機能 (SMF)」的事件可以轉換為「日誌事件延伸格式 (LEEF)」事件。 這些事件可以使用 UNIX ® Syslog 通訊協定近乎即時地傳送，或者 IBM QRadar 可以使用「日誌檔」通訊協定來擷取 LEEF 事件日誌檔，然後處理事件。 當您使用「日誌檔」通訊協定時，您可以排定 QRadar 依輪詢間隔來擷取事件，這可讓 QRadar 依您定義的排程來擷取事件。

若要收集 CA ACF2 事件，請完成下列步驟:

1. 驗證您的安裝是否符合任何必備安裝需求。 如需必備項目需求的相關資訊，請參閱 IBM Security zSecure Suite 2.2.1 必備項目 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html)。
2. 將 IBM z/OS 映像檔配置為以 LEEF 格式寫入事件。 如需相關資訊，請參閱 IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html)。
3. 在 QRadar 中建立 CA ACF2的日誌來源。
4. 如果您想要在 QRadar中建立 CA ACF2 的自訂事件內容，如需相關資訊，請參閱 IBM Security Custom Event Properties for IBM z/OS 技術文件 (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf)。

在開始之前

您必須先完成基本 zSecure 安裝程序並完成後置安裝活動，才能建立及修改配置，然後才能配置資料收集程序。

需要下列必要條件:

• 您必須確保在 z/OS® 映像檔上已針對 IBM Security zSecure Audit 啟用 parmlib 成員 IFAPRDxx。
• SCKRLOAD 程式庫必須經過 APF 授權。
• 如果您使用直接 SMF INMEM 即時介面，則必須已安裝必要的軟體 (APAR OA49263) ，並設定 SMFPRMxx 成員以包括 INMEM 關鍵字和參數。 如果您決定使用 CDP 介面，則還必須安裝並執行 CDP。 如需相關資訊，請參閱 IBM Security zSecure Suite 2.2.1: Procedure for near real-time (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
• 您必須配置處理程序，以定期重新整理您的 CKFREEZE 及 UNLOAD 資料集。
• 如果您使用「日誌檔」通訊協定方法，則必須在 z/OS 映像檔上配置 SFTP、FTP 或 SCP 伺服器， QRadar 才能下載 LEEF 事件檔案。
• 如果您使用「日誌檔」通訊協定方法，則必須容許位於 QRadar 與 z/OS 映像檔之間的防火牆上的 SFTP、FTP 或 SCP 資料流量。

如需安裝及配置 zSecure的相關指示，請參閱 IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (https://www-01.ibm.com/servers/resourcelink/svc00100.nsf/pages/zSecureV240sc275638?OpenDocument).