Mengumpulkan log CA ACF2

Didukung di:

Dokumen ini menjelaskan cara menyerap log CA ACF2 ke Google Security Operations menggunakan agen Bindplane.

Broadcom ACF2 (Access Control Facility 2) untuk z/OS adalah produk keamanan mainframe yang menyediakan kontrol akses, autentikasi, dan audit untuk sistem IBM z/OS. ACF2 mencatat peristiwa keamanan ke dalam rekaman IBM System Management Facility (SMF) (default jenis 230), termasuk upaya autentikasi, pelanggaran akses set data, peristiwa akses resource, logging perintah TSO, dan modifikasi database. Catatan SMF ini harus diteruskan ke Chronicle menggunakan agen pihak ketiga seperti BMC AMI Defender untuk z/OS.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan agen BMC AMI Defender for z/OS
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • BMC AMI Defender for z/OS diinstal dan berjalan di LPAR z/OS tempat ACF2 aktif
  • Akses untuk mengubah file parameter BMC AMI Defender di set data amihlq.CZAGENT.PARM
  • Otoritas untuk memulai atau mengubah tugas yang dimulai CZAGENT di z/OS

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.

  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

  • Penginstalan Windows

    1. Buka Command Prompt atau PowerShell sebagai administrator.

    2. Jalankan perintah berikut:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sc query observiq-otel-collector

      Layanan akan ditampilkan sebagai RUNNING.

  • Penginstalan Linux

    1. Buka terminal dengan hak istimewa root atau sudo.

    2. Jalankan perintah berikut:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sudo systemctl status observiq-otel-collector

      Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  1. Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/acf2_logs:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CA_ACF2
    raw_log_field: body
    ingestion_labels:
      env: production
      source: acf2

service:
  pipelines:
    logs/acf2_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/acf2_logs

  2. Ganti placeholder berikut:

    • Konfigurasi penerima:

      • listen_address: Setel ke 0.0.0.0:514 untuk memproses semua antarmuka di port UDP 514

        • Untuk sistem Linux yang berjalan sebagai non-root, gunakan port 1514 atau yang lebih tinggi
        • Cocokkan port ini dengan konfigurasi pernyataan SERVER BMC AMI Defender

    • Konfigurasi pengekspor:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • customer_id: Ganti YOUR_CUSTOMER_ID dengan customer ID Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.

      • endpoint: URL endpoint regional:

        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

      • log_type: Setel ke CA_ACF2 (Label penyerapan Chronicle untuk log ACF2)

      • ingestion_labels: Label opsional untuk mengategorikan log (sesuaikan sesuai kebutuhan)

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux:

    1. Jalankan perintah berikut:

      sudo systemctl restart observiq-otel-collector

    2. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows:

    1. Pilih salah satu opsi berikut:

      • Command Prompt atau PowerShell sebagai administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Konsol layanan:

        1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
        2. Temukan observIQ OpenTelemetry Collector.
        3. Klik kanan, lalu pilih Mulai Ulang.

    2. Pastikan layanan sedang berjalan:

      sc query observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi BMC AMI Defender for z/OS untuk meneruskan data SMF ACF2

Edit anggota $$$SERVR parameter member

  1. Sign in to the z/OS system using TSO/ISPF or a 3270 emulator.
  2. Navigate to the BMC AMI Defender parameter library:
    1. Enter ISPF at the TSO READY prompt.
    2. Select option 2 (Edit).
    3. In the ISPF Library field, enter the data set name: amihlq.CZAGENT.PARM (replace amihlq with your installation high-level qualifier).
    4. Press Enter.
  3. Edit the $$$SERVR:
    1. Ketik E di samping anggota parameter $$$SERVR member.
    2. Press Enter.
  4. Locate the SERVER statement section (approximately line 40-60).
  5. Uncomment one of the SERVER statements by removing the leading semicolon (;).

  6. Configure the SERVER statement with the Bindplane agent IP address and port:

    SERVER bindplane-host-ip:514 TRANS(UDP) MAXMSG(2000)
    • Replace bindplane-host-ip with the IP address of the Bindplane agent host (for example, 192.168.1.100).
    • If using a non-standard port (for example, 1514), specify: bindplane-host-ip:1514.
    • TRANS(UDP) specifies UDP transport protocol (recommended for syslog).
    • MAXMSG(2000) sets the maximum message length to 2000 bytes (ACF2 records may require larger sizes).

  7. Verify the OPTIONS statement for syslog format:

    1. Scroll up to locate the OPTIONS statements (approximately line 10-30).

    2. Ensure one of the following OPTIONS statements is uncommented based on your preferred format:

      OPTIONS IF(RFC3164) SIEM(RFC3164) TIMESTAMP INSTNAME(SIEM.Agent)
      • RFC3164: Standard syslog format (recommended for Chronicle)
      • CEF: Common Event Format (alternative)
      • LEEF: Log Event Extended Format (alternative)
      • JSON: JSON format (alternative)

  8. Save the changes:

    1. Press F3 to exit the editor.
    2. Type SAVE when prompted.
    3. Press Enter.

Edit the $$$CONFG untuk mengaktifkan pengumpulan data rekaman SMF ACF2

  1. Di daftar anggota set data amihlq.CZAGENT.PARM, edit anggota $$$CONFG member:

    1. Type E next to the $$$CONFG.

    2. Tekan Enter.

  2. Cari tombol pemilihan rekaman SMF ACF2 (cari ACF2 atau SMF 230).

  3. Batalkan komentar pernyataan SELECT untuk ACF2:

    SELECT IF(ACF2) SMF(ACF2)
    • Hal ini memungkinkan pengumpulan data ACF2 SMF (default jenis 230).
    • Jika situs Anda menggunakan jenis data SMF yang berbeda untuk ACF2, verifikasi jenisnya dengan perintah: ACF SHOW SYSTEMS di TSO.

  4. Simpan perubahan:

    1. Tekan F3 untuk keluar dari editor.
    2. Ketikkan SAVE saat diminta.
    3. Tekan Enter.

    5. Membuat atau mengedit anggota parameter pernyataan SMF ACF2

    1. Di daftar anggota set data amihlq.CZAGENT.PARM, periksa apakah ada anggota bernama $$$ACF2 or SMFACF2 exists.

    2. If the member does not exist, create it:

      1. Type C (Create) on the command line.
      2. Enter the member name: $$$ACF2.
      3. Tekan Enter.

    3. Edit anggota dan tambahkan pernyataan SMF ACF2 berikut:

      SMF ACF2(230) FACILITY(SECURITY4) SEVERITY(INFORMATIONAL)
      • ACF2(230): Menentukan jenis rekaman SMF untuk ACF2 (default adalah 230; verifikasi dengan ACF SHOW SYSTEMS).
      • FACILITY(SECURITY4): Menetapkan fasilitas syslog ke Security (4).

      • SEVERITY(INFORMATIONAL): Menetapkan tingkat keparahan default ke Informasional.

        • Pelanggaran sandi atau otoritas yang tidak valid akan otomatis dikirim dengan tingkat keparahan ERROR.
        • Pelanggaran resource otomatis dikirim dengan tingkat keparahan ERROR.

    4. Secara opsional, konfigurasikan subtipe dan tingkat keparahan ACF2 tertentu:

      SMF ACF2(230) +
  FACILITY(SECURITY4) +
  SEVERITY(INFORMATIONAL) +
  SUBTYPES(P SEV(ERROR)) +
  SUBTYPES(V SEV(ERROR)) +
  SUBTYPES(D SEV(ERROR))
      • Subtipe P: Peristiwa sandi atau otorisasi tidak valid (keparahan ERROR)
      • Subjenis V: Pelanggaran resource (keparahan ERROR)
      • Subtipe D: Pelanggaran akses set data (keparahan ERROR)

    5. Simpan perubahan:

      1. Tekan F3 untuk keluar dari editor.
      2. Ketikkan SAVE saat diminta.
      3. Tekan Enter.

      6. Memuat ulang file parameter BMC AMI Defender

      1. Keluar dari ISPF dan kembali ke perintah TSO READY.

      2. Keluarkan perintah MODIFY untuk memuat ulang file parameter:

        F CZAGENT,PARMS
        • Ganti CZAGENT dengan nama tugas yang dimulai BMC AMI Defender jika berbeda.
        • Perintah ini memuat ulang file parameter tanpa menghentikan agen.

      3. Verifikasi konfigurasi dengan memeriksa output CZAPRINT:

        1. Di ISPF, pilih opsi 3.4 (DSLIST).
        2. Masukkan pola nama set data: CZAGENT.CZAPRINT (atau konvensi penamaan khusus situs Anda).
        3. Tekan Enter.
        4. Ketik B (Jelajahi) di samping set data CZAPRINT terbaru.
        5. Tekan Enter.

        6. Cari pesan yang menunjukkan koneksi berhasil ke server syslog:

          • CZA0070I Connected to server bindplane-host-ip:514
          • CZA0100I SMF ACF2 statement processed

      4. Jika tugas CZAGENT yang dimulai tidak berjalan, mulai tugas tersebut:

        S CZAGENT

      Memverifikasi penerusan log ACF2

      1. Buat peristiwa keamanan ACF2 pengujian:

        1. Di TSO, coba akses set data yang tidak memiliki izin untuk diakses.
        2. Mencoba login dengan sandi yang tidak valid (menggunakan akun pengujian).
        3. Menjalankan perintah TSO yang dicatat oleh ACF2.

      2. Periksa log agen Bindplane untuk memverifikasi penerimaan pesan syslog ACF2:

        • Linux:

          sudo journalctl -u observiq-otel-collector -f | grep ACF2

        • Windows:

          type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr ACF2

      3. Login ke konsol Google SecOps dan pastikan log ACF2 sedang diproses:

        1. Buka Penelusuran > Penelusuran UDM.

        2. Masukkan kueri berikut:

          metadata.log_type = "CA_ACF2"

        3. Pastikan peristiwa keamanan ACF2 muncul di hasil penelusuran.

      Tabel pemetaan UDM

      Kolom Log Pemetaan UDM Logika
      extensions.auth.mechanism Mekanisme autentikasi yang digunakan.
      extensions.auth.type Jenis autentikasi.
      jumlah metadata.description Deskripsi acara.
      metadata.event_type Jenis peristiwa.
      event_type, cat metadata.product_event_type Jenis peristiwa khusus produk.
      product_version metadata.product_version Versi produk.
      terminal principal.hostname Nama host yang terkait dengan akun utama.
      nama principal.user.user_display_name Nama tampilan pengguna.
      usrName principal.user.userid ID pengguna.
      security_result.action Tindakan yang diambil oleh sistem keamanan.
      security_result.category Kategori hasil keamanan.
      class security_result.category_details Detail tambahan tentang kategori hasil keamanan.
      alasan security_result.severity Tingkat keparahan hasil keamanan.
      alasan security_result.severity_details Informasi mendetail tentang tingkat keparahan.
      logstr security_result.summary Ringkasan hasil keamanan.
      job_id target.application Aplikasi yang menjadi target.
      job_group target.group.group_display_name Nama tampilan grup.
      target.namespace Namespace target.
      dsn target.resource.name Nama resource.
      vol target.resource.parent Resource induk.
      res, dsn target.resource.product_object_id ID objek khusus produk.
      target.resource.resource_type Jenis resource.
      nama target.user.user_display_name Nama tampilan pengguna target.
      usrName target.user.userid ID pengguna target.
      product_name metadata.product_name Nama produk yang menghasilkan peristiwa.
      vendor_name metadata.vendor_name Nama vendor.

      Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.