IBM Threat Detection for z/OS (IBM TDz) est un produit logiciel d’IA qui identifie les anomalies dans l’accès aux données susceptibles d’indiquer une cyberattaque potentielle.
Conçu pour renforcer la posture de sécurité globale des entreprises, IBM TDz est un outil qui peut aider les clients à répondre aux réglementations émergentes telles que la loi DORA (Digital Operational Resilience Act). Il aide les responsables de la sécurité des systèmes d’information et autres décideurs à améliorer la protection de leurs IBM z Systems tout en leur conférant une valeur ajoutée pour leur stratégie de défense approfondie.
IBM TDz détecte et signale les accès aux données anormaux et potentiellement malveillants sur les systèmes z/OS en utilisant l’intelligence artificielle. Le système comprend une politique et des listes d’exclusion pour minimiser les faux positifs et fournit des artefacts tangibles à des fins de diagnostic et de résolution. Les informations relatives à l’accès aux données z/OS sont collectées par DFSMS et l’IBM z/OS Workload Interaction Correlator sous la forme d’enregistrements SMF de type 98 sous-types 5-8.
Lorsque IBM TDz identifie un événement anormal lié à l’accès aux données, une notification d’alerte est envoyée par le biais d’un message de console. L’événement est également consigné dans un enregistrement SMF (type 83, nouveau sous-type 8) avec les détails pertinents concernant l’événement d’anomalie. D’autres notifications peuvent être facilement automatisées à partir de ces sorties.
Utilisez le module complémentaire IBM z/OSMF pour obtenir des informations pilotées par l’IA concernant les événements d’accès aux données anormaux sur le sysplex. Consultez les activités d’accès aux données significatives avec des informations telles que les identifiants des utilisateurs, le détail des tâches, la chronologie et les ensembles de données observés.
Il existe deux fonctionnalités payantes de z/OS fournies une licence IBM TDz.
L’IBM z/OS Authorized Code Scanner (zACS) n’est pas directement exploité par IBM TDz, mais il est fourni avec sa licence. Cette fonctionnalité offre une analyse dynamique puissante et une surveillance de l’exécution conçues pour détecter des vulnérabilités potentielles dans les bibliothèques de chargement APF.
TDz tire parti de la fonctionnalité IBM z/OS Workload Interaction Correlator pour générer toutes les 5 secondes un enregistrement SMF de type 98 pour le sous-type du produit, contenant des données sur les activités du produit dans un format standardisé, synchronisé et contextualisé.
Avant d’installer et d’exécuter IBM Threat Detection for z/OS, votre système doit respecter la configuration matérielle et logicielle requise.
IBM Threat Detection for z/OS est pris en charge sur le matériel qui fonctionne sous IBM z/OS 2.5 ou version ultérieure.
L’utilisation d’IBM TDz nécessite une autorité suffisante dans z/OS. Votre administrateur de sécurité peut créer les autorisations nécessaires dans votre gestionnaire de sécurité externe (ESM), tel que z/OS Security Server (RACF).
Le système z/OS sur lequel l’application IBM TDz est installée doit fonctionner sous z/OS V2.5 ou version ultérieure. En outre, la configuration logicielle nécessite également IBM Semeru Runtime Certified Edition for z/OS, version 11 (5655-DGJ) et IBM Open Enterprise SDK for Node.js, version 18.0 ou ultérieure.
IBM TDz utilise les données SMF98 que DFSMS et IBM z/OS Workload Interaction Correlator collectent sur chaque système z/OS participant au sysplex pour effectuer des analyses et identifier les anomalies. DFSMS doit être activé pour collecter les données d’activité d’accès aux ensembles de données dans les enregistrements de type SMF 98, sous-type 5-8, et le service requis doit être appliqué.