記錄欄位	UDM 對應	邏輯
	extensions.auth.mechanism	使用的驗證機制。
	extensions.auth.type	驗證類型。
總和	metadata.description	活動說明。
	metadata.event_type	事件類型。
event_type、cat	metadata.product_event_type	產品專屬的事件類型。
product_version	metadata.product_version	產品版本。
終端機	principal.hostname	與主體相關聯的主機名稱。
名稱	principal.user.user_display_name	使用者的顯示名稱。
usrName	principal.user.userid	使用者 ID。
	security_result.action	保全系統採取的動作。
	security_result.category	安全結果的類別。
類別	security_result.category_details	安全性結果類別的其他詳細資料。
原因	security_result.severity	安全結果的嚴重程度。
原因	security_result.severity_details	詳細的嚴重程度資訊。
logstr	security_result.summary	安全結果摘要。
job_id	target.application	要指定的應用程式。
job_group	target.group.group_display_name	群組的顯示名稱。
	target.namespace	目標的命名空間。
dsn	target.resource.name	資源的名稱。
vol	target.resource.parent	父項資源。
res、dsn	target.resource.product_object_id	產品專屬物件 ID。
	target.resource.resource_type	資源的類型。
名稱	target.user.user_display_name	目標使用者的顯示名稱。
usrName	target.user.userid	目標使用者的使用者 ID。
product_name	metadata.product_name	產生事件的產品名稱。
vendor_name	metadata.vendor_name	供應商名稱。

收集 CA ACF2 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 CA ACF2 記錄檔擷取至 Google Security Operations。

Broadcom ACF2 (Access Control Facility 2) for z/OS 是一種大型主機安全產品，可為 IBM z/OS 系統提供存取控制、驗證和稽核功能。ACF2 會將安全事件記錄到 IBM 系統管理設施 (SMF) 記錄 (預設類型為 230)，包括驗證嘗試、資料集存取違規、資源存取事件、TSO 指令記錄和資料庫修改。這些 SMF 記錄必須使用第三方代理程式 (例如 BMC AMI Defender for z/OS) 轉送至 Chronicle。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 BMC AMI Defender for z/OS 代理程式之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
BMC AMI Defender for z/OS 已安裝並在 ACF2 啟用的 z/OS LPAR 上執行
有權修改 amihlq.CZAGENT.PARM 資料集中的 BMC AMI Defender 參數檔案
在 z/OS 上啟動或修改 CZAGENT 啟動作業的授權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要使用 customer ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝
1. 以管理員身分開啟「命令提示字元」或「PowerShell」。
2. 執行下列指令：
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. 等待安裝完成。
4. 執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
  服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令來驗證安裝：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/acf2_logs:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CA_ACF2
    raw_log_field: body
    ingestion_labels:
      env: production
      source: acf2

service:
  pipelines:
    logs/acf2_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/acf2_logs

替換下列預留位置：
- 接收器設定：
  - listen_address：設為 0.0.0.0:514，即可監聽 UDP 通訊埠 514 上的所有介面
    - 如果 Linux 系統以非根身分執行，請使用 1514 以上的連接埠
    - 將這個通訊埠與 BMC AMI Defender SERVER 陳述式設定相符
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id：將 YOUR_CUSTOMER_ID 替換為您的 customer ID。詳情請參閱「取得 Google SecOps 客戶 ID」。
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：設為 CA_ACF2 (ACF2 記錄的 Chronicle 擷取標籤)
  - ingestion_labels：用於分類記錄的選用標籤 (可視需要自訂)

儲存設定檔

編輯完成後，請儲存檔案：

Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列步驟：
1. 執行下列指令：
```
sudo systemctl restart observiq-otel-collector
```
2. 確認服務正在執行：
```
sudo systemctl status observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
sudo journalctl -u observiq-otel-collector -f
```
如要在 Windows 中重新啟動 Bindplane 代理程式，請按照下列步驟操作：
1. 您可以選擇下列其中一個選項：
  - 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 服務控制台：
    1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。
    3. 按一下滑鼠右鍵，然後選取「重新啟動」。
2. 確認服務正在執行：
```
sc query observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 BMC AMI Defender for z/OS，轉送 ACF2 SMF 記錄

編輯$SERVR 成員： $$$SERVR parameter member

Sign in to the z/OS system using TSO/ISPF or a 3270 emulator.
Navigate to the BMC AMI Defender parameter library:
1. Enter ISPF at the TSO READY prompt.
2. Select option 2 (Edit).
3. In the ISPF Library field, enter the data set name: amihlq.CZAGENT.PARM (replace amihlq with your installation high-level qualifier).
4. Press Enter.
Edit the $$

在 $$$SERVR member.

Press Enter.

Locate the SERVER statement section (approximately line 40-60).

Uncomment one of the SERVER statements by removing the leading semicolon (;).

Configure the SERVER statement with the Bindplane agent IP address and port:

SERVER bindplane-host-ip:514 TRANS(UDP) MAXMSG(2000)

Replace bindplane-host-ip with the IP address of the Bindplane agent host (for example, 192.168.1.100).

If using a non-standard port (for example, 1514), specify: bindplane-host-ip:1514.

TRANS(UDP) specifies UDP transport protocol (recommended for syslog).

MAXMSG(2000) sets the maximum message length to 2000 bytes (ACF2 records may require larger sizes).

Verify the OPTIONS statement for syslog format:

Scroll up to locate the OPTIONS statements (approximately line 10-30).

Ensure one of the following OPTIONS statements is uncommented based on your preferred format:

OPTIONS IF(RFC3164) SIEM(RFC3164) TIMESTAMP INSTNAME(SIEM.Agent)

RFC3164: Standard syslog format (recommended for Chronicle)

CEF: Common Event Format (alternative)

LEEF: Log Event Extended Format (alternative)

JSON: JSON format (alternative)

Save the changes:

Press F3 to exit the editor.

Type SAVE when prompted.

Press Enter.

Edit the $$$CONFG 參數成員旁邊輸入 E，啟用 ACF2 SMF 記錄收集功能

在 amihlq.CZAGENT.PARM 資料集成員清單中，編輯 $$$CONFG member:

Type E next to the $$$CONFG 成員。

按下 Enter 鍵。

找出 ACF2 SMF 記錄選取切換開關 (搜尋 ACF2 或 SMF 230)。

取消註解 ACF2 的 SELECT 陳述式：

SELECT IF(ACF2) SMF(ACF2)

這會啟用 ACF2 SMF 記錄的收集作業 (預設類型為 230)。

如果網站使用其他 SMF 記錄類型做為 ACF2，請在 TSO 中使用 ACF SHOW SYSTEMS 指令驗證類型。

儲存變更：

按下 F3 鍵即可退出編輯器。

在系統提示時輸入 SAVE。

按下 Enter 鍵。

建立或編輯 SMF ACF2 陳述式參數成員

在 amihlq.CZAGENT.PARM 資料集成員清單中，檢查是否有名為「$$$ACF2 or SMFACF2 exists.

If the member does not exist, create it:

Type C (Create) on the command line.

Enter the member name: $$$ACF2.」的成員。
按下 Enter 鍵。
編輯成員並新增下列 SMF ACF2 陳述式：
SMF ACF2(230) FACILITY(SECURITY4) SEVERITY(INFORMATIONAL) ACF2(230)：指定 ACF2 的 SMF 記錄類型 (預設為 230；請向 ACF SHOW SYSTEMS 確認)。 FACILITY(SECURITY4)：將系統記錄設施設為 Security (4)。 SEVERITY(INFORMATIONAL)：將預設嚴重程度設為「資訊」。系統會自動傳送嚴重程度為「ERROR」的無效密碼或授權違規事項。系統會自動傳送資源違規事項，嚴重程度為「ERROR」。
視需要設定特定 ACF2 子類型和嚴重程度： SMF ACF2(230) + FACILITY(SECURITY4) + SEVERITY(INFORMATIONAL) + SUBTYPES(P SEV(ERROR)) + SUBTYPES(V SEV(ERROR)) + SUBTYPES(D SEV(ERROR)) 子類型 P：密碼或授權事件無效 (錯誤嚴重程度) 子類型 V：資源違規事項 (嚴重程度為「ERROR」) 子類型 D：資料集存取違規 (嚴重程度為「錯誤」) 儲存變更：按下 F3 鍵即可退出編輯器。在系統提示時輸入 SAVE。按下 Enter 鍵。重新整理 BMC AMI Defender 參數檔案結束 ISPF 並返回 TSO READY 提示。發出 MODIFY 指令，重新載入參數檔案： F CZAGENT,PARMS 如果不同，請將 CZAGENT 替換為 BMC AMI Defender 啟動的工作名稱。這個指令會重新載入參數檔案，但不會停止代理程式。檢查 CZAPRINT 輸出內容，驗證設定：在 ISPF 中，選取選項 3.4 (DSLIST)。輸入資料集名稱模式：CZAGENT.CZAPRINT (或您網站專屬的命名慣例)。按下 Enter 鍵。在最新的 CZAPRINT 資料集旁輸入 B (瀏覽)。按下 Enter 鍵。搜尋指出已成功連線至系統記錄檔伺服器的訊息： CZA0070I Connected to server bindplane-host-ip:514 CZA0100I SMF ACF2 statement processed 如果 CZAGENT 開始執行的工作未執行，請啟動該工作： S CZAGENT 確認 ACF2 記錄轉送產生測試 ACF2 安全性事件：在 TSO 中，嘗試存取您沒有權限存取的資料集。嘗試使用無效密碼登入 (使用測試帳戶)。執行 ACF2 記錄的 TSO 指令。檢查 Bindplane 代理程式記錄，確認是否收到 ACF2 系統記錄訊息： Linux： sudo journalctl -u observiq-otel-collector -f | grep ACF2 Windows： type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log" | findstr ACF2 登入 Google SecOps 控制台，確認系統正在擷取 ACF2 記錄：依序前往「搜尋」> UDM 搜尋。輸入下列查詢： metadata.log_type = "CA_ACF2" 確認搜尋結果中顯示 ACF2 安全性事件。 UDM 對應表記錄欄位 UDM 對應邏輯 extensions.auth.mechanism 使用的驗證機制。 extensions.auth.type 驗證類型。總和 metadata.description 活動說明。 metadata.event_type 事件類型。 event_type、cat metadata.product_event_type 產品專屬的事件類型。 product_version metadata.product_version 產品版本。終端機 principal.hostname 與主體相關聯的主機名稱。名稱 principal.user.user_display_name 使用者的顯示名稱。 usrName principal.user.userid 使用者 ID。 security_result.action 保全系統採取的動作。 security_result.category 安全結果的類別。類別 security_result.category_details 安全性結果類別的其他詳細資料。原因 security_result.severity 安全結果的嚴重程度。原因 security_result.severity_details 詳細的嚴重程度資訊。 logstr security_result.summary 安全結果摘要。 job_id target.application 要指定的應用程式。 job_group target.group.group_display_name 群組的顯示名稱。 target.namespace 目標的命名空間。 dsn target.resource.name 資源的名稱。 vol target.resource.parent 父項資源。 res、dsn target.resource.product_object_id 產品專屬物件 ID。 target.resource.resource_type 資源的類型。名稱 target.user.user_display_name 目標使用者的顯示名稱。 usrName target.user.userid 目標使用者的使用者 ID。 product_name metadata.product_name 產生事件的產品名稱。 vendor_name metadata.vendor_name 供應商名稱。還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。