BMC AMI Defender-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie BMC AMI Defender-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

BMC AMI Datastream for z/OS ist ein Mainframe-Agent-Programm, das die z/OS-Systemaktivität überwacht und SMF-Datensätze (System Management Facility) in Echtzeit erfasst, verarbeitet und an verteilte SIEM-Systeme (Security Information and Event Management) sendet. Der Agent formatiert SMF-Datensätze von RACF, ACF2, Top Secret, TCP/IP, CICS, IMS und anderen z/OS-System- und Anwendungsereignissen als RFC 3164-kompatible Syslog-Nachrichten um und überträgt sie über UDP-, TCP- oder TLS-Protokolle.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd für den Bindplane-Agent
  • Netzwerkverbindung zwischen dem Bindplane-Agent-Host und der z/OS-LPAR, auf der BMC AMI Datastream ausgeführt wird
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • BMC AMI Datastream for z/OS Version 6.1 oder höher ist auf der z/OS-LPAR installiert und wird ausgeführt.
  • Zugriff zum Bearbeiten von Parameterdateien im Dataset „amihlq.PARM“ unter z/OS (erfordert in der Regel TSO/ISPF-Zugriff oder die Berechtigung zum Einreichen von Batchjobs)
  • Berechtigung zum Ändern der BMC AMI Datastream-Konfiguration (erfordert in der Regel RACF-Lesezugriff auf die Parameter-Datasets)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.

  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert werden soll.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

  • Fenstereinbau

    1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

    2. Führen Sie dazu diesen Befehl aus:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sc query observiq-otel-collector

      Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

  • Linux-Installation

    1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

    2. Führen Sie dazu diesen Befehl aus:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sudo systemctl status observiq-otel-collector

      Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
  tcplog:
    listen_address: "0.0.0.0:1514"

exporters:
  chronicle/bmc_datastream:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BMC_AMI_DEFENDER
    raw_log_field: body

service:
  pipelines:
    logs/datastream_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/bmc_datastream

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      listen_address: IP-Adresse und Port, auf dem gelauscht werden soll:

      • 0.0.0.0:1514, um alle Schnittstellen auf Port 1514 zu überwachen (empfohlen für Linux ohne Root-Zugriff)
      • 0.0.0.0:514, um alle Schnittstellen am Standard-Syslog-Port zu überwachen (erfordert Root-Zugriff unter Linux)
      • Bestimmte IP-Adresse, die auf einer Schnittstelle überwacht werden soll

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • customer_id: Ihre customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.

      • endpoint: Regionale Endpunkt-URL:

        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.

      • log_type: BMC_AMI_DEFENDER

Beispielkonfiguration für UDP-Syslog

  • Wenn Sie UDP-Transport bevorzugen (geringere Latenz, Fire-and-Forget):

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/bmc_datastream:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BMC_AMI_DEFENDER
    raw_log_field: body

service:
  pipelines:
    logs/datastream_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/bmc_datastream

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Services-Konsole:

        1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
        2. Suchen Sie nach observIQ OpenTelemetry Collector.
        3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Logs auf Fehler prüfen:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für BMC AMI Defender konfigurieren

Parameterdatei mit TSO/ISPF bearbeiten

  1. Melden Sie sich auf der z/OS-LPAR, auf der BMC AMI Datastream installiert ist, bei TSO/ISPF an.
  2. Geben Sie im ISPF Primary Option Menu (ISPF-Menü für primäre Optionen) 2 ein, um EDIT (BEARBEITEN) auszuwählen.

  3. Geben Sie im Eingabefeld bearbeiten Folgendes ein:

    • ISPF-Bibliothek: Geben Sie den Namen des Parameter-Datasets im Format 'amihlq.PARM' ein, wobei amihlq der bei der Installation ausgewählte High-Level-Qualifier ist (z. B. 'PROD.CZAGENT.PARM').
    • Mitglied: Geben Sie $$$CONFG.

  4. Press Enter to open the member for editing.

Configure the SIEM type

  1. In the $$$CONFG member ein und suchen Sie den Bereich Switches for setting the SIEM type (Schalter zum Festlegen des SIEM-Typs).

  2. Entfernen Sie das führende Semikolon aus der entsprechenden Zeile, um den Kommentar für einen SIEM-Typ zu entfernen:

    • Kommentieren Sie für das Standard-Syslog-Format Folgendes aus: SWITCH ON(RFC3164)
    • Kommentieren Sie für das Common Event Format Folgendes aus: SWITCH ON(CEF)
    • Wenn Sie das JSON-Format verwenden, entfernen Sie die Kommentarzeichen vor: SWITCH ON(JSON)
    • Für das IBM QRadar-LEEF-Format entfernen Sie die Kommentarzeichen für: SWITCH ON(LEEF)
    • Entfernen Sie für das Splunk-Format die Kommentarzeichen aus: SWITCH ON(Splunk)

  3. Drücken Sie F3, um das Mitglied zu speichern und zu schließen.

Syslog-Server konfigurieren

  1. Geben Sie im Eintrag bearbeiten-Bereich Folgendes ein:

    • ISPF-Bibliothek: Geben Sie 'amihlq.PARM' ein (wie zuvor).
    • Mitglied: Geben Sie $$$SERVR.

  2. Press Enter to open the member for editing.

  3. Locate the section corresponding to your selected SIEM type. For example:

    • For RFC3164: Locate the section labeled ; RFC3164
    • For CEF: Locate the section labeled ; CEF - TRANS(TCP) Recommended
    • For JSON: Locate the section labeled ; JSON - TRANS(TCP) Recommended

  4. Uncomment the SERVER statement by removing the leading semicolon.

  5. Edit the SERVER statement with the following values:

    • Replace ip.addr.example with the IP address of the Bindplane agent host (for example, 192.168.1.100).

    • If using TCP (recommended), the statement should look like:

      SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000)

    • If using UDP, the statement should look like:

      SERVER 192.168.1.100:514 TRANS(UDP) MAXMSG(2000)

  6. If you selected CEF, JSON, or Splunk format and are using TCP transport, locate the OPTIONS statement section and uncomment the FRAMING parameter:

    OPTIONS FRAMING(OCTETCOUNT)

  7. Press F3 to save and exit the member.

Refresh the BMC AMI Datastream configuration

  1. From the ISPF Primary Option Menu, enter 6 to select COMMAND.

  2. On the TSO Command Processor screen, enter the following MVS console command:

    F czagentname,PARMS

    Replace czagentname with the name of the BMC AMI Datastream started task (typically CZAGENT or the instance name configured during installation).

  3. Press Enter to execute the command.

  4. Verify the configuration was refreshed by checking the system log for message CZA0001I indicating the parameter file was successfully processed.

Verify syslog transmission

  1. From the ISPF Primary Option Menu, enter 6 to select COMMAND.

  2. Enter the following command to display BMC AMI Datastream statistics:

    F czagentname,STATS

  3. Press Enter to execute the command.

  4. Check the system log for message CZA0350I showing the number of messages sent to the syslog server.

  5. Verify the Bindplane agent is receiving messages by checking the Bindplane agent logs:

    • Linux: sudo journalctl -u observiq-otel-collector -f
    • Windows: Check C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log

Alternative: Edit parameter file using batch job

If you do not have TSO/ISPF access, you can edit the parameter files using a batch job:

  1. Create a batch job with the following JCL:

    //EDITPARM JOB (ACCT),'EDIT DATASTREAM PARMS',
//         CLASS=A,MSGCLASS=X,NOTIFY=&SYSUID
//STEP1    EXEC PGM=IEBGENER
//SYSPRINT DD SYSOUT=*
//SYSIN    DD DUMMY
//SYSUT1   DD *
SWITCH ON(RFC3164)
/*
//SYSUT2   DD DSN=amihlq.PARM($$$CONFG),DISP=SHR
//STEP2    EXEC PGM=IEBGENER
//SYSPRINT DD SYSOUT=*
//SYSIN    DD DUMMY
//SYSUT1   DD *
SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000)
/*
//SYSUT2   DD DSN=amihlq.PARM($$$SERVR),DISP=SHR
 ein.

  2. Ersetzen Sie amihlq durch den übergeordneten Qualifizierer für Ihre BMC AMI Datastream-Installation.

  3. Ersetzen Sie 192.168.1.100:1514 durch die IP-Adresse und den Port Ihres Bindplane-Agent-Hosts.

  4. Senden Sie den Job und prüfen Sie, ob er erfolgreich abgeschlossen wurde (Rückgabecode 0).

  5. Geben Sie den Befehl MODIFY ein, um die Konfiguration wie im vorherigen Abschnitt beschrieben zu aktualisieren.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
aceeadsp security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceeaudt security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceeflg1 security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceelogu security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceeoper security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceepriv security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceeracf security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceeroa security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
aceespec security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
additional.fields additional.fields Zusätzliche Informationen zum Ereignis
auth security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_audit security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_bypass security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_exit security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_normal security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_oper security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_soft security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_special security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
auth_trusted security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
authinfo security_result.description Beschreibung des Sicherheitsergebnisses
Event metadata.product_event_type Produktspezifischer Ereignistyp
event_type metadata.event_type Ereignistyp (z.B. USER_LOGIN, NETWORK_CONNECTION)
eventdesc metadata.description Eine Beschreibung des Ereignisses
Gruppe additional.fields Zusätzliche Informationen zum Ereignis
Hostname hauptkonto.hostname, hauptkonto.asset.hostname Hostname des Auftraggebers, Hostname des Assets
jobid security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
jobnm additional.fields Zusätzliche Informationen zum Ereignis
jsauth security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
Name principal.user.user_display_name Anzeigename des Nutzers
pgm security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
privstatd security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_always security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_audit security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_cmdviol security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_globalaudit security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_setropts security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_special security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_user security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
reas_verify security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
rtype additional.fields Zusätzliche Informationen zum Ereignis
saf additional.fields Zusätzliche Informationen zum Ereignis
safd additional.fields Zusätzliche Informationen zum Ereignis
security_result.detection_fields security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
die Ausprägung security_result.severity, security_result.severity_details Schweregrad des Sicherheitsergebnisses, detaillierte Informationen zum Schweregrad
sid additional.fields Zusätzliche Informationen zum Ereignis
timestamp metadata.event_timestamp Zeitstempel des Ereignisses
tokflg1 security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
tokflg3 security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
tokpriv security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
toksus security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
tokudus security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
userid principal.user.userid Nutzer-ID
Verstoß security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
user_warning security_result.detection_fields Felder, die zur Bestimmung des Sicherheitsergebnisses verwendet wurden
worktyped additional.fields Zusätzliche Informationen zum Ereignis
metadata.product_name Name des Produkts
metadata.vendor_name Name des Anbieters/Unternehmens

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten