Raccogli i log di BMC AMI Defender

Supportato in:

Questo documento spiega come importare i log di BMC AMI Defender in Google Security Operations utilizzando l'agente Bindplane.

BMC AMI Datastream for z/OS è un programma agente mainframe che monitora l'attività del sistema z/OS e raccoglie, elabora e distribuisce i record System Management Facility (SMF) ai sistemi SIEM distribuiti in tempo reale. L'agente riformatta i record SMF da RACF, ACF2, Top Secret, TCP/IP, CICS, IMS e altri eventi di sistema e applicazione z/OS come messaggi syslog conformi a RFC 3164 e li trasmette tramite i protocolli UDP, TCP o TLS.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd per l'agente Bindplane
  • Connettività di rete tra l'host dell'agente Bindplane e la partizione logica z/OS che esegue BMC AMI Datastream
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • BMC AMI Datastream per z/OS versione 6.1 o successive installato ed eseguito sulla partizione logica z/OS
  • Accesso alla modifica dei file dei parametri nel set di dati amihlq.PARM su z/OS (in genere richiede l'accesso TSO/ISPF o l'autorizzazione per l'invio di job batch)
  • Autorizzazione a modificare la configurazione di BMC AMI Datastream (in genere richiede l'accesso RACF READ ai set di dati dei parametri)

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.

  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

  • Installazione di Windows

    1. Apri Prompt dei comandi o PowerShell come amministratore.

    2. Esegui questo comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sc query observiq-otel-collector

      Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

  • Installazione di Linux

    1. Apri un terminale con privilegi di root o sudo.

    2. Esegui questo comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sudo systemctl status observiq-otel-collector

      Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  1. Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
  tcplog:
    listen_address: "0.0.0.0:1514"

exporters:
  chronicle/bmc_datastream:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'your-customer-id-here'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BMC_AMI_DEFENDER
    raw_log_field: body

service:
  pipelines:
    logs/datastream_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/bmc_datastream

  2. Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      listen_address: Indirizzo IP e porta su cui ascoltare:

      • 0.0.0.0:1514 per ascoltare su tutte le interfacce sulla porta 1514 (consigliato per Linux non root)
      • 0.0.0.0:514 per ascoltare su tutte le interfacce sulla porta syslog standard (richiede l'accesso root su Linux)
      • Indirizzo IP specifico da ascoltare su un'interfaccia

    • Configurazione dell'esportatore:

      • creds_file_path: Percorso completo del file di autenticazione importazione:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • customer_id: il tuo customer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.

      • endpoint: URL endpoint regionale:

        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.

      • log_type: BMC_AMI_DEFENDER

Configurazione di esempio per UDP syslog

  • Se preferisci il trasporto UDP (latenza inferiore, fire-and-forget):

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/bmc_datastream:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: BMC_AMI_DEFENDER
    raw_log_field: body

service:
  pipelines:
    logs/datastream_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/bmc_datastream

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux:

    1. Esegui questo comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows:

    1. Scegli una delle seguenti opzioni:

      • Prompt dei comandi o PowerShell come amministratore:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console dei servizi:

        1. Premi Win+R, digita services.msc e premi Invio.
        2. Individua observIQ OpenTelemetry Collector.
        3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

    2. Verifica che il servizio sia in esecuzione:

      sc query observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di syslog di BMC AMI Defender

Modifica il file dei parametri utilizzando TSO/ISPF

  1. Accedi a TSO/ISPF sulla partizione logica z/OS in cui è installato BMC AMI Datastream.
  2. Nel menu delle opzioni principali ISPF, inserisci 2 per selezionare MODIFICA.

  3. Nel riquadro di modifica - voce, inserisci quanto segue:

    • Libreria ISPF: inserisci il nome del set di dati dei parametri nel formato 'amihlq.PARM', dove amihlq è il qualificatore di alto livello scelto durante l'installazione (ad esempio, 'PROD.CZAGENT.PARM').
    • Membro: inserisci $$$CONFG.

  4. Press Enter to open the member for editing.

Configure the SIEM type

  1. In the $$$CONFG membro, individua la sezione intitolata Interruttori per l'impostazione del tipo di SIEM.

  2. Rimuovi il commento da un tipo di SIEM rimuovendo il punto e virgola iniziale dalla riga appropriata:

    • Per il formato syslog standard, rimuovi il commento da: SWITCH ON(RFC3164)
    • Per Common Event Format, rimuovi il commento: SWITCH ON(CEF)
    • Per il formato JSON, rimuovi il commento: SWITCH ON(JSON)
    • Per il formato IBM QRadar LEEF, rimuovi il commento: SWITCH ON(LEEF)
    • Per il formato Splunk, rimuovi il commento: SWITCH ON(Splunk)

  3. Premi F3 per salvare e uscire dal membro.

Configurare il server syslog

  1. Nel riquadro di modifica delle voci, inserisci quanto segue:

    • Libreria ISPF: inserisci 'amihlq.PARM' (come prima).
    • Membro: inserisci $$$SERVR.

  2. Press Enter to open the member for editing.

  3. Locate the section corresponding to your selected SIEM type. For example:

    • For RFC3164: Locate the section labeled ; RFC3164
    • For CEF: Locate the section labeled ; CEF - TRANS(TCP) Recommended
    • For JSON: Locate the section labeled ; JSON - TRANS(TCP) Recommended

  4. Uncomment the SERVER statement by removing the leading semicolon.

  5. Edit the SERVER statement with the following values:

    • Replace ip.addr.example with the IP address of the Bindplane agent host (for example, 192.168.1.100).

    • If using TCP (recommended), the statement should look like:

      SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000)

    • If using UDP, the statement should look like:

      SERVER 192.168.1.100:514 TRANS(UDP) MAXMSG(2000)

  6. If you selected CEF, JSON, or Splunk format and are using TCP transport, locate the OPTIONS statement section and uncomment the FRAMING parameter:

    OPTIONS FRAMING(OCTETCOUNT)

  7. Press F3 to save and exit the member.

Refresh the BMC AMI Datastream configuration

  1. From the ISPF Primary Option Menu, enter 6 to select COMMAND.

  2. On the TSO Command Processor screen, enter the following MVS console command:

    F czagentname,PARMS

    Replace czagentname with the name of the BMC AMI Datastream started task (typically CZAGENT or the instance name configured during installation).

  3. Press Enter to execute the command.

  4. Verify the configuration was refreshed by checking the system log for message CZA0001I indicating the parameter file was successfully processed.

Verify syslog transmission

  1. From the ISPF Primary Option Menu, enter 6 to select COMMAND.

  2. Enter the following command to display BMC AMI Datastream statistics:

    F czagentname,STATS

  3. Press Enter to execute the command.

  4. Check the system log for message CZA0350I showing the number of messages sent to the syslog server.

  5. Verify the Bindplane agent is receiving messages by checking the Bindplane agent logs:

    • Linux: sudo journalctl -u observiq-otel-collector -f
    • Windows: Check C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log

Alternative: Edit parameter file using batch job

If you do not have TSO/ISPF access, you can edit the parameter files using a batch job:

  1. Create a batch job with the following JCL:

    //EDITPARM JOB (ACCT),'EDIT DATASTREAM PARMS',
//         CLASS=A,MSGCLASS=X,NOTIFY=&SYSUID
//STEP1    EXEC PGM=IEBGENER
//SYSPRINT DD SYSOUT=*
//SYSIN    DD DUMMY
//SYSUT1   DD *
SWITCH ON(RFC3164)
/*
//SYSUT2   DD DSN=amihlq.PARM($$$CONFG),DISP=SHR
//STEP2    EXEC PGM=IEBGENER
//SYSPRINT DD SYSOUT=*
//SYSIN    DD DUMMY
//SYSUT1   DD *
SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000)
/*
//SYSUT2   DD DSN=amihlq.PARM($$$SERVR),DISP=SHR

  2. Sostituisci amihlq con il qualificatore di alto livello per l'installazione di BMC AMI Datastream.

  3. Sostituisci 192.168.1.100:1514 con l'indirizzo IP e la porta dell'host dell'agente Bindplane.

  4. Invia il job e verifica il completamento (codice restituito 0).

  5. Esegui il comando MODIFY per aggiornare la configurazione come descritto nella sezione precedente.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
aceeadsp security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceeaudt security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceeflg1 security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceelogu security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceeoper security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceepriv security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceeracf security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceeroa security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
aceespec security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
additional.fields additional.fields Informazioni aggiuntive sull'evento
autorizzazione security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_audit security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_bypass security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_exit security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_normal security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_oper security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_soft security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_special security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
auth_trusted security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
authinfo security_result.description Descrizione del risultato di sicurezza
evento metadata.product_event_type Tipo di evento specifico per il prodotto
event_type metadata.event_type Tipo di evento (ad es. USER_LOGIN, NETWORK_CONNECTION)
eventdesc metadata.description Descrizione dell'evento
gruppo additional.fields Informazioni aggiuntive sull'evento
nome host principal.hostname, principal.asset.hostname Nome host del principale, Nome host dell'asset
jobid security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
jobnm additional.fields Informazioni aggiuntive sull'evento
jsauth security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
nome principal.user.user_display_name Nome visualizzato dell'utente
pgm security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
privstatd security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_always security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_audit security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_cmdviol security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_globalaudit security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_setropts security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_special security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_user security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
reas_verify security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
rtype additional.fields Informazioni aggiuntive sull'evento
saf additional.fields Informazioni aggiuntive sull'evento
safd additional.fields Informazioni aggiuntive sull'evento
security_result.detection_fields security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
gravità security_result.severity, security_result.severity_details Gravità del risultato di sicurezza, Informazioni dettagliate sulla gravità
sid additional.fields Informazioni aggiuntive sull'evento
timestamp metadata.event_timestamp Timestamp in cui si è verificato l'evento
tokflg1 security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
tokflg3 security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
tokpriv security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
toksus security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
tokudus security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
userid principal.user.userid ID utente
violazione security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
user_warning security_result.detection_fields Campi utilizzati per determinare il risultato di sicurezza
worktyped additional.fields Informazioni aggiuntive sull'evento
metadata.product_name Nome del prodotto
metadata.vendor_name Nome fornitore/azienda

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.