Recopila registros de ACF2 de la CA

Compatible con:

En este documento, se explica cómo transferir registros de CA ACF2 a Google Security Operations con el agente de Bindplane.

Broadcom ACF2 (Access Control Facility 2) para z/OS es un producto de seguridad para computadoras centrales que proporciona control de acceso, autenticación y auditoría para los sistemas IBM z/OS. ACF2 registra los eventos de seguridad en los registros de IBM System Management Facility (SMF) (tipo predeterminado 230), incluidos los intentos de autenticación, los incumplimientos de acceso a conjuntos de datos, los eventos de acceso a recursos, el registro de comandos de TSO y las modificaciones de la base de datos. Estos registros de SMF se deben reenviar a Chronicle con un agente externo, como BMC AMI Defender for z/OS.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y el agente de BMC AMI Defender for z/OS
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • BMC AMI Defender for z/OS instalado y en ejecución en la LPAR de z/OS en la que ACF2 está activo
  • Acceso para modificar los archivos de parámetros de BMC AMI Defender en el conjunto de datos amihlq.CZAGENT.PARM
  • Autoridad para iniciar o modificar la tarea iniciada CZAGENT en z/OS

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.

  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.

  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

  • Instalación en Windows

    1. Abre el símbolo del sistema o PowerShell como administrador.

    2. Ejecuta el comando siguiente:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sc query observiq-otel-collector

      El servicio debe mostrarse como RUNNING.

  • Instalación en Linux

    1. Abre una terminal con privilegios de administrador o sudo.

    2. Ejecuta el comando siguiente:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sudo systemctl status observiq-otel-collector

      El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  1. Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/acf2_logs:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CA_ACF2
    raw_log_field: body
    ingestion_labels:
      env: production
      source: acf2

service:
  pipelines:
    logs/acf2_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/acf2_logs

  2. Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • listen_address: Configúralo como 0.0.0.0:514 para escuchar en todas las interfaces en el puerto UDP 514.

        • Para los sistemas Linux que se ejecutan como no raíz, usa el puerto 1514 o uno posterior.
        • Haz coincidir este puerto con la configuración de la instrucción SERVER de BMC AMI Defender

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • customer_id: Reemplaza YOUR_CUSTOMER_ID por tu customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.

      • endpoint: URL del extremo regional:

        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulta Extremos regionales para obtener la lista completa.

      • log_type: Se establece en CA_ACF2 (etiqueta de transferencia de Chronicle para los registros de ACF2)

      • ingestion_labels: Etiquetas opcionales para categorizar registros (personaliza según sea necesario)

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

  • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
  • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

    1. Ejecuta el comando siguiente:

      sudo systemctl restart observiq-otel-collector

    2. Verifica que el servicio esté en ejecución:

      sudo systemctl status observiq-otel-collector

    3. Revisa los registros en busca de errores:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

    1. Elige una de las siguientes opciones:

      • Símbolo del sistema o PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Consola de Services:

        1. Presiona Win+R, escribe services.msc y presiona Intro.
        2. Busca observIQ OpenTelemetry Collector.
        3. Haz clic con el botón derecho y selecciona Reiniciar.

    2. Verifica que el servicio esté en ejecución:

      sc query observiq-otel-collector

    3. Revisa los registros en busca de errores:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura BMC AMI Defender for z/OS para reenviar registros SMF de ACF2

Edita el miembro $$$SERVR parameter member

  1. Sign in to the z/OS system using TSO/ISPF or a 3270 emulator.
  2. Navigate to the BMC AMI Defender parameter library:
    1. Enter ISPF at the TSO READY prompt.
    2. Select option 2 (Edit).
    3. In the ISPF Library field, enter the data set name: amihlq.CZAGENT.PARM (replace amihlq with your installation high-level qualifier).
    4. Press Enter.
  3. Edit the $$$SERVR:
    1. Escribe E junto al miembro del parámetro $$$SERVR member.
    2. Press Enter.
  4. Locate the SERVER statement section (approximately line 40-60).
  5. Uncomment one of the SERVER statements by removing the leading semicolon (;).

  6. Configure the SERVER statement with the Bindplane agent IP address and port:

    SERVER bindplane-host-ip:514 TRANS(UDP) MAXMSG(2000)
    • Replace bindplane-host-ip with the IP address of the Bindplane agent host (for example, 192.168.1.100).
    • If using a non-standard port (for example, 1514), specify: bindplane-host-ip:1514.
    • TRANS(UDP) specifies UDP transport protocol (recommended for syslog).
    • MAXMSG(2000) sets the maximum message length to 2000 bytes (ACF2 records may require larger sizes).

  7. Verify the OPTIONS statement for syslog format:

    1. Scroll up to locate the OPTIONS statements (approximately line 10-30).

    2. Ensure one of the following OPTIONS statements is uncommented based on your preferred format:

      OPTIONS IF(RFC3164) SIEM(RFC3164) TIMESTAMP INSTNAME(SIEM.Agent)
      • RFC3164: Standard syslog format (recommended for Chronicle)
      • CEF: Common Event Format (alternative)
      • LEEF: Log Event Extended Format (alternative)
      • JSON: JSON format (alternative)

  8. Save the changes:

    1. Press F3 to exit the editor.
    2. Type SAVE when prompted.
    3. Press Enter.

Edit the $$$CONFG para habilitar la recopilación de registros SMF de ACF2

  1. En la lista de miembros del conjunto de datos amihlq.CZAGENT.PARM, edita el miembro $$$CONFG member:

    1. Type E next to the $$$CONFG.

    2. Presiona Intro.

  2. Busca el interruptor de selección de registros SMF de ACF2 (busca ACF2 o SMF 230).

  3. Quita la marca de comentario de la instrucción SELECT para ACF2:

    SELECT IF(ACF2) SMF(ACF2)
    • Esto permite la recopilación de registros SMF de ACF2 (tipo predeterminado 230).
    • Si tu sitio usa un tipo de registro de SMF diferente para ACF2, verifica el tipo con el comando ACF SHOW SYSTEMS en TSO.

  4. Guarda los cambios:

    1. Presiona F3 para salir del editor.
    2. Escribe SAVE cuando se te solicite.
    3. Presiona Intro.

    5. Crea o edita el miembro del parámetro de la sentencia SMF ACF2

    1. En la lista de miembros del conjunto de datos amihlq.CZAGENT.PARM, verifica si hay un miembro llamado $$$ACF2 or SMFACF2 exists.

    2. If the member does not exist, create it:

      1. Type C (Create) on the command line.
      2. Enter the member name: $$$ACF2.
      3. Presiona Intro.

    3. Edita el miembro y agrega la siguiente instrucción SMF ACF2:

      SMF ACF2(230) FACILITY(SECURITY4) SEVERITY(INFORMATIONAL)
      • ACF2(230): Especifica el tipo de registro de SMF para ACF2 (el valor predeterminado es 230; verifícalo con ACF SHOW SYSTEMS).
      • FACILITY(SECURITY4): Establece la instalación de Syslog en Security (4).

      • SEVERITY(INFORMATIONAL): Establece la gravedad predeterminada en Informativa.

        • Los incumplimientos de autoridad o contraseñas no válidas se envían automáticamente con la gravedad ERROR.
        • Los incumplimientos de recursos se envían automáticamente con la gravedad ERROR.

    4. De manera opcional, configura subtipos y niveles de gravedad específicos de ACF2:

      SMF ACF2(230) +
  FACILITY(SECURITY4) +
  SEVERITY(INFORMATIONAL) +
  SUBTYPES(P SEV(ERROR)) +
  SUBTYPES(V SEV(ERROR)) +
  SUBTYPES(D SEV(ERROR))
      • Subtipo P: Eventos de contraseña o autoridad no válidos (gravedad de ERROR)
      • Subtipo V: Incumplimientos de recursos (gravedad ERROR)
      • Subtipo D: Incumplimientos de acceso al conjunto de datos (gravedad de ERROR)

    5. Guarda los cambios:

      1. Presiona F3 para salir del editor.
      2. Escribe SAVE cuando se te solicite.
      3. Presiona Intro.

      6. Actualiza el archivo de parámetros de BMC AMI Defender

      1. Sal de ISPF y vuelve al mensaje TSO READY.

      2. Ejecuta el comando MODIFY para volver a cargar el archivo de parámetros:

        F CZAGENT,PARMS
        • Reemplaza CZAGENT por el nombre de la tarea iniciada de BMC AMI Defender si es diferente.
        • Este comando vuelve a cargar el archivo de parámetros sin detener el agente.

      3. Verifica la configuración. Para ello, comprueba el resultado de CZAPRINT:

        1. En ISPF, selecciona la opción 3.4 (DSLIST).
        2. Ingresa el patrón de nombre del conjunto de datos: CZAGENT.CZAPRINT (o tu convención de nomenclatura específica del sitio).
        3. Presiona Intro.
        4. Escribe B (Explorar) junto al conjunto de datos de CZAPRINT más reciente.
        5. Presiona Intro.

        6. Busca mensajes que indiquen que se estableció la conexión con el servidor syslog correctamente:

          • CZA0070I Connected to server bindplane-host-ip:514
          • CZA0100I SMF ACF2 statement processed

      4. Si la tarea iniciada CZAGENT no se está ejecutando, iníciala:

        S CZAGENT

      Verifica el reenvío de registros de ACF2

      1. Genera eventos de seguridad de ACF2 de prueba:

        1. En TSO, intenta acceder a un conjunto de datos al que no tienes permiso para acceder.
        2. Intenta acceder con una contraseña no válida (usa una cuenta de prueba).
        3. Ejecuta un comando de TSO que ACF2 registra.

      2. Verifica los registros del agente de BindPlane para confirmar la recepción de los mensajes de syslog de ACF2:

        • Linux:

          sudo journalctl -u observiq-otel-collector -f | grep ACF2

        • Windows:

          type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr ACF2

      3. Accede a la consola de Google SecOps y verifica que se estén transfiriendo los registros de ACF2:

        1. Ve a Búsqueda > Búsqueda de UDM.

        2. Ingresa la siguiente consulta:

          metadata.log_type = "CA_ACF2"

        3. Verifica que los eventos de seguridad de ACF2 aparezcan en los resultados de la búsqueda.

      Tabla de asignación de UDM

      Campo de registro Asignación de UDM Lógica
      extensions.auth.mechanism Es el mecanismo de autenticación que se usa.
      extensions.auth.type Es el tipo de autenticación.
      ponderada metadata.description Es una descripción del evento.
      metadata.event_type El tipo de evento
      event_type, cat metadata.product_event_type Es el tipo de evento específico del producto.
      product_version metadata.product_version Es la versión del producto.
      terminal principal.hostname Es el nombre de host asociado con el principal.
      nombre principal.user.user_display_name Es el nombre visible del usuario.
      usrName principal.user.userid El ID de usuario.
      security_result.action Es la acción que tomó el sistema de seguridad.
      security_result.category Es la categoría del resultado de seguridad.
      clase security_result.category_details Son detalles adicionales sobre la categoría del resultado de seguridad.
      Reason security_result.severity Es el nivel de gravedad del resultado de seguridad.
      Reason security_result.severity_details Es información detallada sobre la gravedad.
      logstr security_result.summary Es un resumen del resultado de seguridad.
      job_id target.application Es la aplicación para la que se establece la segmentación.
      job_group target.group.group_display_name Es el nombre visible del grupo.
      target.namespace Es el espacio de nombres del destino.
      dsn target.resource.name El nombre del recurso.
      vol target.resource.parent Es el recurso principal.
      res, dsn target.resource.product_object_id Es el identificador del objeto específico del producto.
      target.resource.resource_type Es el tipo de recurso.
      nombre target.user.user_display_name Es el nombre visible del usuario objetivo.
      usrName target.user.userid ID del usuario objetivo.
      product_name metadata.product_name Es el nombre del producto que genera el evento.
      vendor_name metadata.vendor_name Es el nombre del proveedor.

      ¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.