IBM z/OS

IBM® z/OS® DSM从使用 IBM 的 IBM z/OS® 大型机收集事件,该大型机运行于 Security zSecure 或 IBM Z Security and Compliance Center。

使用 zSecure 流程时,可以将来自系统管理设施 (SMF) 的事件转换为日志事件扩展格式 (LEEF) 事件。 可以使用 UNIX Syslog 协议近乎实时地发送这些事件,或者 IBM QRadar 可以使用 "日志文件" 协议收集 LEEF 事件日志文件,然后处理事件。 使用 "日志文件" 协议时,可以调度 QRadar 以按轮询时间间隔收集事件,这使 QRadar 能够按您定义的调度收集事件。

要收集 IBM z/OS 事件,请完成以下步骤:

  1. 验证您的安装是否满足任何先决条件安装要求。 有关要求的更多信息,请参阅 zSecure CARLa -Driven Components 安装与部署指南:先决条件IBM Z Security and Compliance Center :系统要求
  2. 配置您的 IBM z/OS 映像,使其以LEEF格式写入事件。 有关更多信息,请参阅 《 zSecure 驱动组件安装与部署指南:安全信息和事件管理(SIEM)的数据准备 》。 CARLa
  3. QRadar IBM z/OS 中创建日志源。
  4. 若需为 IBM z/OS 创建自定义事件 QRadar属性,请阅技术说明《 IBM 安全自定义事件属性(适用于 IBM z/OS )》。

在开始之前

必须先完成基本 zSecure 安装过程并完成安装后活动以创建和修改配置,然后才能配置数据收集过程。

以下先决条件是必需的:

  • 必须确保对 z/OS 映像上的 IBM Security zSecure Audit 启用了 parmlib 成员 IFAPRDxx。
  • SKRLOAD 库必须经过 APF 授权。
  • 如果您正在使用直接 SMF INMEM 实时接口,那么必须安装必需的软件 (APAR OA49263) ,并设置 SMFPRMxx 成员以包含 INMEM 关键字和参数。 如果您决定使用 CDP 接口,那么还必须安装并运行 CDP。 有关更多信息,请参阅 zSecure CARLa-Driven Components Installation and Deployment Guide: Procedure for 近乎实时
  • 您必须配置一个进程,以定期刷新CK冷冻和 UNLOAD 数据集。
  • 如果您正在使用 "日志文件" 协议方法,那么必须在 z/OS 映像上为 QRadar 配置 SFTP , FTP 或 SCP 服务器以下载 LEEF 事件文件。
  • 如果您正在使用 "日志文件" 协议方法,那么必须允许位于 QRadar 和 z/OS 映像之间的防火墙上的 SFTP , FTP 或 SCP 流量。

有关安装和配置 zSecure, 请参阅 IBM Security zSecure CARLa 驱动组件安装和部署指南

有关安装和配置 IBM Z Security and Compliance Center 的说明,请参阅 Z Security and Compliance Center 指南