IBM CICS

IBM® CICS® DSM 从使用 IBM Security zSecure 的 IBM z/OS® 大型机上的 IBM 自定义信息控制系统 ( CICS® ) 收集事件。

使用 zSecure 流程时,可以将来自系统管理设施 (SMF) 的事件转换为日志事件扩展格式 (LEEF) 事件。 可以使用 UNIX Syslog 协议近乎实时地发送这些事件,或者 IBM QRadar 可以使用 "日志文件" 协议检索 LEEF 事件日志文件,然后处理事件。 使用 "日志文件" 协议时,可以调度 QRadar 以在轮询时间间隔内检索事件,这使 QRadar 能够检索您定义的调度上的事件。

要收集 IBM CICS 事件,请完成以下步骤:

  1. 验证您的安装是否满足任何先决条件安装要求。 有关先决条件需求的更多信息,请参阅 IBM Security zSecure Suite 2.2.1 先决条件 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html)。
  2. 配置您的 IBM z/OS 映像,使其以LEEF格式写入事件。 有关更多信息,请参阅 IBMSecurity zSecure 套件: CARLa 驱动组件安装与部署指南 ( http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html )。
  3. QRadar 中为 IBM CICS创建日志源。
  4. 若需为 IBM CICS 创建自定义事件属性, 参阅 QRadarIBM 技术说明《 IBM z/OS 安全自定义事件属性》( http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf )。

在开始之前

必须先完成基本 zSecure 安装过程并完成安装后活动以创建和修改配置,然后才能配置数据收集过程。

以下先决条件是必需的:

  • 必须确保对 z/OS® 映像上的 IBM Security zSecure Audit 启用了 parmlib 成员 IFAPRDxx。
  • SKRLOAD 库必须经过 APF 授权。
  • 如果您正在使用直接 SMF INMEM 实时接口,那么必须安装必要的软件 (APAR OA49263) ,并设置 SMFPRMxx 成员以包含 INMEM 关键字和参数。 如果您决定使用 CDP 接口,那么还必须安装并运行 CDP。 有关更多信息,请参阅 IBM Security zSecure Suite 2.2.1: 接近实时的过程 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
  • 您必须配置一个进程,以定期刷新CK冷冻和 UNLOAD 数据集。
  • 如果您正在使用 "日志文件" 协议方法,那么必须在 z/OS 映像上为 QRadar 配置 SFTP , FTP 或 SCP 服务器以下载 LEEF 事件文件。
  • 如果您正在使用 "日志文件" 协议方法,那么必须允许位于 QRadar 和 z/OS 映像之间的防火墙上的 SFTP , FTP 或 SCP 流量。

有关安装和配置 zSecure, 请参阅 IBM Security zSecure Suite:CARLa 驱动组件安装和部署指南 (https://www.ibm.com/docs/en/SS2RWS_2.4.0/com.ibm.zsecure.doc_2.4.0/zsec_install.pdf).