使用审计脚本将 Broadcom CA ACF2 与 IBM QRadar 集成

Broadcom CA Access Control Facility (ACF2) DSM 使用 "日志文件" 协议在 IBM® 大型机上收集事件和审计事务。

QexACF2.load.trs 是一个 TERSED 文件，其中包含具有 QEXACF2 程序的 PDS loadlib。 TERSED 文件与 zip 文件类似，并且要求您使用 TRSMAIN 程序来解压缩内容。 TRSMAIN 程序可从 IBM 支持 (www.ibm.com/support) 获取。

要从工作站上载 TRS 文件，您必须预先分配具有以下 DCB 属性的文件 :DSORG=PS ， RECFM=FB ， LRECL= 1024 ， BLKSIZE=6144。 文件传输类型必须是 BINARY APPEND。 如果传输类型为 TEXT 或 TEXT APPEND ，那么该文件将无法正确解压缩。

将文件上载到已分配的数据集后，通过使用 tar 包中还包含的样本 JCL ，可以使用 TRSMAIN 实用程序对 TERSED 文件进行 UNPACKED。 来自 TRSMAIN 实用程序的返回码 0008 指示未将该数据集识别为有效的 TERSED 文件。 此代码 (0008) 错误可能是由于未将文件上载到具有正确 DCB 属性的大型机，或者由于未使用 BINARY APPEND 传输机制执行传输而导致的。

成功取消对 loadlib 文件进行 PACKED 后，您可以使用样本 JCL 文件来运行 QEXACF2 程序。 此样本 JCL 文件包含在 tar 集合中。 要运行 QEXACF2 程序，必须将 JCL 修改为符合本地命名约定和 JOB 卡需求。 如果程序未放置在 LINKLISTED 库中，那么您可能还需要使用 STEPLIB DD。

要将 CA ACF2 事件集成到 IBM QRadar中:

1. IBM 大型机将所有安全事件记录为实时存储库中的 Service Management Framework (SMF) 记录。
2. CA ACF2 数据是使用 SMF 转储实用程序从实时存储库中抽取的。 SMF 文件包含前一天的所有事件和字段 (以原始 SMF 格式)。
3. QexACF2.load.trs 程序从 SMF 格式化文件中提取数据。 QexACF2.load.trs 程序仅提取 QRadar 的相关事件和字段，并以压缩格式写入该信息以实现兼容性。 这些信息保存在 QRadar可访问的位置中。
4. QRadar 使用 "日志文件" 协议源来定期检索输出文件信息。 QRadar 然后导入并处理此文件。