BMC AMI Defender 로그 수집
이 문서에서는 Bindplane 에이전트를 사용하여 BMC AMI Defender 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
BMC AMI Datastream for z/OS는 z/OS 시스템 활동을 모니터링하고 시스템 관리 기능 (SMF) 레코드를 수집, 처리하여 분산 SIEM 시스템에 실시간으로 전송하는 메인프레임 에이전트 프로그램입니다. 에이전트는 RACF, ACF2, Top Secret, TCP/IP, CICS, IMS, 기타 z/OS 시스템 및 애플리케이션 이벤트의 SMF 레코드를 RFC 3164 호환 syslog 메시지로 리포맷하고 UDP, TCP 또는 TLS 프로토콜을 통해 전송합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는 Bindplane 에이전트용
systemd가 있는 Linux 호스트 - Bindplane 에이전트 호스트와 BMC AMI Datastream을 실행하는 z/OS LPAR 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- z/OS LPAR에 설치되어 실행되는 BMC AMI Datastream for z/OS 버전 6.1 이상
- z/OS의 amihlq.PARM 데이터 세트에서 파라미터 파일을 수정할 수 있는 액세스 권한 (일반적으로 TSO/ISPF 액세스 또는 배치 작업 제출 권한 필요)
- BMC AMI Datastream 구성을 수정할 권한 (일반적으로 매개변수 데이터 세트에 대한 RACF 읽기 액세스 권한 필요)
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane을 설치할 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스가 실행 중으로 표시되어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스가 active (running)으로 표시되어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:1514" exporters: chronicle/bmc_datastream: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id-here' endpoint: malachiteingestion-pa.googleapis.com log_type: BMC_AMI_DEFENDER raw_log_field: body service: pipelines: logs/datastream_to_chronicle: receivers: - tcplog exporters: - chronicle/bmc_datastream다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.- 포트 1514에서 모든 인터페이스를 수신하도록
0.0.0.0:1514(Linux 비루트에 권장) 0.0.0.0:514: 표준 syslog 포트의 모든 인터페이스에서 수신 대기 (Linux에서 루트 필요)- 하나의 인터페이스에서 수신 대기할 특정 IP 주소
- 포트 1514에서 모든 인터페이스를 수신하도록
내보내기 도구 구성:
creds_file_path: 수집 인증 파일의 전체 경로- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:customer ID자세한 내용은 Google SecOps 고객 ID 가져오기를 참고하세요.endpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
log_type:BMC_AMI_DEFENDER
UDP syslog 구성 예
UDP 전송 (지연 시간 감소, fire-and-forget)을 선호하는 경우:
receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/bmc_datastream: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6' endpoint: malachiteingestion-pa.googleapis.com log_type: BMC_AMI_DEFENDER raw_log_field: body service: pipelines: logs/datastream_to_chronicle: receivers: - udplog exporters: - chronicle/bmc_datastream
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 옵션 중 하나를 선택합니다.
명령 프롬프트 또는 PowerShell(관리자 권한)
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
BMC AMI Defender syslog 전달 구성
TSO/ISPF를 사용하여 파라미터 파일 수정
- BMC AMI Datastream이 설치된 z/OS LPAR에서 TSO/ISPF에 로그인합니다.
- ISPF 기본 옵션 메뉴에서 2를 입력하여 EDIT를 선택합니다.
수정 - 항목 패널에서 다음을 입력합니다.
- ISPF 라이브러리:
'amihlq.PARM'형식으로 매개변수 데이터 세트 이름을 입력합니다. 여기서 amihlq는 설치 중에 선택한 상위 수준 한정자입니다 (예:'PROD.CZAGENT.PARM'). - 구성원:
$$$CONFG.
- ISPF 라이브러리:
Press Enter to open the member for editing.
Configure the SIEM type
- In the
$$$CONFG구성원을 입력하고 SIEM 유형 설정 스위치라는 섹션을 찾습니다. 해당 줄에서 선행 세미콜론을 삭제하여 SIEM 유형 하나를 주석 해제합니다.
- 표준 syslog 형식의 경우
SWITCH ON(RFC3164)의 주석을 해제합니다. - Common Event Format의 경우
SWITCH ON(CEF)의 주석을 해제합니다. - JSON 형식의 경우
SWITCH ON(JSON)주석 처리를 해제합니다. - IBM QRadar LEEF 형식의 경우
SWITCH ON(LEEF)의 주석을 해제합니다. - Splunk 형식의 경우
SWITCH ON(Splunk)의 주석을 해제합니다.
- 표준 syslog 형식의 경우
F3을 눌러 회원을 저장하고 종료합니다.
syslog 서버 구성
수정 - 항목 패널에서 다음을 입력합니다.
- ISPF 라이브러리:
'amihlq.PARM'를 입력합니다 (이전과 동일). - 회원:
$$$SERVR.
- ISPF 라이브러리:
Press Enter to open the member for editing.
Locate the section corresponding to your selected SIEM type. For example:
- For RFC3164: Locate the section labeled
; RFC3164 - For CEF: Locate the section labeled
; CEF - TRANS(TCP) Recommended - For JSON: Locate the section labeled
; JSON - TRANS(TCP) Recommended
- For RFC3164: Locate the section labeled
Uncomment the SERVER statement by removing the leading semicolon.
Edit the SERVER statement with the following values:
- Replace
ip.addr.examplewith the IP address of the Bindplane agent host (for example,192.168.1.100). If using TCP (recommended), the statement should look like:
SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000)If using UDP, the statement should look like:
SERVER 192.168.1.100:514 TRANS(UDP) MAXMSG(2000)
- Replace
If you selected CEF, JSON, or Splunk format and are using TCP transport, locate the OPTIONS statement section and uncomment the FRAMING parameter:
OPTIONS FRAMING(OCTETCOUNT)Press F3 to save and exit the member.
Refresh the BMC AMI Datastream configuration
- From the ISPF Primary Option Menu, enter 6 to select COMMAND.
On the TSO Command Processor screen, enter the following MVS console command:
F czagentname,PARMSReplace
czagentnamewith the name of the BMC AMI Datastream started task (typicallyCZAGENTor the instance name configured during installation).Press Enter to execute the command.
Verify the configuration was refreshed by checking the system log for message CZA0001I indicating the parameter file was successfully processed.
Verify syslog transmission
- From the ISPF Primary Option Menu, enter 6 to select COMMAND.
Enter the following command to display BMC AMI Datastream statistics:
F czagentname,STATSPress Enter to execute the command.
Check the system log for message CZA0350I showing the number of messages sent to the syslog server.
Verify the Bindplane agent is receiving messages by checking the Bindplane agent logs:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows: Check
C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log
- Linux:
Alternative: Edit parameter file using batch job
If you do not have TSO/ISPF access, you can edit the parameter files using a batch job:
Create a batch job with the following JCL:
//EDITPARM JOB (ACCT),'EDIT DATASTREAM PARMS', // CLASS=A,MSGCLASS=X,NOTIFY=&SYSUID //STEP1 EXEC PGM=IEBGENER //SYSPRINT DD SYSOUT=* //SYSIN DD DUMMY //SYSUT1 DD * SWITCH ON(RFC3164) /* //SYSUT2 DD DSN=amihlq.PARM($$$CONFG),DISP=SHR //STEP2 EXEC PGM=IEBGENER //SYSPRINT DD SYSOUT=* //SYSIN DD DUMMY //SYSUT1 DD * SERVER 192.168.1.100:1514 TRANS(TCP) MAXMSG(2000) /* //SYSUT2 DD DSN=amihlq.PARM($$$SERVR),DISP=SHR을 입력합니다.amihlq를 BMC AMI Datastream 설치의 상위 수준 한정자로 바꿉니다.192.168.1.100:1514를 Bindplane 에이전트 호스트의 IP 주소 및 포트로 바꿉니다.작업을 제출하고 성공적으로 완료되었는지 확인합니다 (반환 코드 0).
이전 섹션에 설명된 대로 구성을 새로고침하려면 MODIFY 명령어를 실행합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| aceeadsp | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceeaudt | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceeflg1 | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceelogu | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceeoper | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceepriv | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceeracf | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceeroa | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| aceespec | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| additional.fields | additional.fields | 이벤트에 대한 추가 정보 |
| auth | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_audit | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_bypass | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_exit | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_normal | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_oper | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_soft | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_special | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| auth_trusted | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| authinfo | security_result.description | 보안 결과 설명 |
| 이벤트 | metadata.product_event_type | 제품별 이벤트 유형 |
| event_type | metadata.event_type | 이벤트 유형 (예: USER_LOGIN, NETWORK_CONNECTION) |
| eventdesc | metadata.description | 이벤트의 설명 |
| 그룹 | additional.fields | 이벤트에 대한 추가 정보 |
| 호스트 이름 | principal.hostname, principal.asset.hostname | 주 구성원의 호스트 이름, 애셋의 호스트 이름 |
| jobid | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| jobnm | additional.fields | 이벤트에 대한 추가 정보 |
| jsauth | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| name | principal.user.user_display_name | 사용자의 표시 이름 |
| pgm | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| privstatd | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_always | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_audit | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_cmdviol | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_globalaudit | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_setropts | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_special | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_user | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| reas_verify | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| rtype | additional.fields | 이벤트에 대한 추가 정보 |
| saf | additional.fields | 이벤트에 대한 추가 정보 |
| safd | additional.fields | 이벤트에 대한 추가 정보 |
| security_result.detection_fields | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| 줄이는 것을 | security_result.severity, security_result.severity_details | 보안 결과의 심각도, 상세 심각도 정보 |
| sid | additional.fields | 이벤트에 대한 추가 정보 |
| 타임스탬프 | metadata.event_timestamp | 이벤트가 발생한 시점의 타임스탬프 |
| tokflg1 | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| tokflg3 | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| tokpriv | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| toksus | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| tokudus | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| userid | principal.user.userid | 사용자 ID |
| 위반 | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| user_warning | security_result.detection_fields | 보안 결과를 결정하는 데 사용된 필드 |
| worktyped | additional.fields | 이벤트에 대한 추가 정보 |
| metadata.product_name | 제품 이름 | |
| metadata.vendor_name | 공급업체/회사 이름 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.