IBM Threat Detection for z/OS (IBM TDz) è un prodotto software di AI che identifica le anomalie negli accessi ai dati che potrebbero indicare un potenziale attacco informatico.
Progettato per potenziare il livello di sicurezza globale di un'azienda, IBM TDz è uno strumento in grado di aiutare i clienti a rispettare le normative emergenti, come il Digital Operational Resilience Act (DORA). Permette ai Chief Information Security Officer e gli altri decisori di proteggere i propri sistemi IBM Z aggiungendo un altro livello alla loro strategia di difesa approfondita.
IBM TDz rileva e segnala gli accessi ai dati anomali e potenzialmente pericolosi negli ambienti z/OS utilizzando l'intelligenza artificiale. Il sistema include liste di criteri ed esclusioni per ridurre al minimo i falsi positivi e fornisce artefatti tangibili per la diagnosi e la correzione. Le informazioni sugli accessi ai dati di z/OS vengono raccolte da DFSMS e da IBM z/OS Workload Interaction Correlator sotto forma di SMF tipo 98, sottotipi 5-8.
Quando IBM TDz identifica un evento di accesso ai dati anomalo, viene inviato un avviso attraverso un messaggio della console. L'evento viene anche registrato in un record SMF (tipo 83, nuovo sottotipo 8) con tutti i dettagli rilevanti riguardo all'anomalia. Da questi output, è possibile automatizzare facilmente altre notifiche.
Usa il plug-in IBM z/OSMF per ottenere insight basati sull'AI riguardo agli accessi ai dati anomali anche nel sysplex. Visualizza le attività di accesso ai dati più importanti con dettagli come ID degli utenti, dettagli sul lavoro, timeline e set di dati osservati.
z/OS dispone di due funzioni convenienti pincluse nella licenza IBM TDz.
The IBM z/OS Authorized Code Scanner (zACS) non viene utilizzato direttamente da IBM TDz, ma è compreso nella licenza. Questa funzione offre una potente scansione dinamica e un monitoraggio del tempo di esecuzione progettato per rilevare le potenziali vulnerabilità all'interno delle librerie di carico APF.
TDz utilizza la funzione IBM z/OS Workload Interaction Correlator per generare un record SMF tipo 98 per il sottotipo del prodotto ogni 5 secondi, contenente i dati riguardanti le attività del prodotto in formato standardizzato, sincronizzato e contestualizzato.
Prima di installare ed eseguire IBM Threat Detection for z/OS, il sistema deve soddisfare i requisiti hardware e software.
IBM Threat Detection for z/OS è supportato su hardware che esegue IBM z/OS 2.5 o versioni successive.
Utilizzare IBM TDz richiede un determinato livello di autorizzazione in z/OS. Il tuo amministratore di sicurezza può creare le autorizzazioni necessarie nel tuo gestore di sicurezza esterno (ESM), come z/OS Security Server (RACF).
Per il sistema z/OS su cui viene installata l'applicazione IBM TDz, è richiesto z/OS V2.5 o versioni successive. Altri prerequisiti di software sono IBM Semeru Runtime Certified Edition for z/OS, versione 11 (5655-DGJ) e IBM Open Enterprise SDK for Node.js 18.0 o versioni successive.
IBM TDz utilizza dati SMF98 che DFSMS e IBM z/OS Workload Interaction Correlator raccolgono per ogni sistema z/OS facente parte del sysplex per eseguire l'analytics e identificare le anomalie. DFSMS deve essere abilitato per raccogliere i dati relativi alle attività di accesso ai set di dati nei record SMF 98 sottotipo 5-8 e il servizio richiesto deve essere applicato.