際際滷

際際滷Share a Scribd company logo

Come integrare il mainframe con QRadar

Luigi Perrone
Luigi Perrone

Come integrare il mainframe con QRadar

1 of 35
Downloaded 21 times
IBM Security intelligence by zSecure Luigi Perrone IBM SWG Security Systems Security & Audit enterprise zSystem Security Intelligence Solution luigi_perrone@it.ibm.com it.linkedin.com/in/luigiperrone
2 IBM Security 2 Il mainframe, ricordate ? Compatibilit, affidabilit, disponibilit, scalabilit, flessibilit, potenza di calcolo e sicurezza UN INVESTIMENTOSICURO !
3 IBM Security 3 Qual 竪 la realt quotidiana ? In quante attivit ed operazioni quotidiane di business e non, viene coinvolto il mainframe ?
4 IBM Security 4 Il mainframe parla le nuove tecnologie Cloud and Virtualization Multi Factor Authentication Blockchain Mobile connection Pervasive Encryption Security Intelligence Analytics E un evoluzione continua che dura da pi湛 di 50 anni
5 IBM Security 5 I vantaggi innegabili della piattaforma mainframe Abbiamo veramente considerato tutti i reali vantaggi della piattaforma Z ? anche nel moderno ambiente IT dei nostri giorni?
6 IBM Security 6 Dove risiedono milioni di dati sensibili ? Ci ricordiamo, ogni tanto, dove vengono conservati i nostri 束cari損 dati ? ecco spiegato perch辿 non si pu嘆 trascurare la sicurezza del mainframe ! % of enterprise data is housed on the mainframe 80 % of all active code runs on the mainframe74 Le moderne tecnologie hanno eliminato la mainframe isolation, quindi la protezione e salvaguardia del dato non pu嘆 pi湛 essere superficiale
7 IBM Security Approcci differenti, ma sempre con metodi tradizionali 束 sul mainframe tutto 竪 pi湛 controllato 損 束 il mainframe 竪 un sistema di back-end messo al riparo da attacchi 損 束 gestisco tutto con RACF, difficile violare gli accessi 損 束 la sicurezza si realizza sul perimetro di rete 損 束 la tecnologia presente sul mainframe 竪 pi湛 sicura 損 Nonostante tutte queste funzionalit si continua ad avere un tipo di approccio tradizionale alle tematiche di sicurezza sul mainframe trascurando aspetti nuovi che non andrebbero sottovalutati
8 IBM Security 8 Gestire e controllare la sicurezza con efficienza E importante avere uninfrastruttura di sicurezza efficace ed efficiente Gestione Controllo Automazione Allarmistica Investigazione Integrazione Protezione
9 IBM Security Advanced Fraud Protection Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine Trusteer Apex FiberLink MaaS360 Endpoint Manager Host Protection Security Intelligence and Analytics QRadar Log Manager QRadar SIEM QRadar Risk Manager QRadar Vulnerability Manager QRadar Incident Forensics IBM X-Force Research People Identity Manager Access Manager Family Privileged Identity Manager Federated Identity Management Directory Integrator / Directory Server Data Guardium Database Activity Monitoring Guardium Encryption Expert Guardium / Optim Data Masking Key Lifecycle Manager Applications AppScan Source AppScan Enterprise / Standard DataPower Web Security Gateway Security Policy Manager Network Infrastructure Endpoint Network Intrusion Prevention (GX) Next Generation Network Protection (XGS) SiteProtector Threat Management QRadar Network Anomaly Detection IBM Security portfolio zSecure
10 IBM Security Enterprise Identity & Access Management Enterprise Security Monitoring & Audit Reporting Audit & Analysis Analizza eventi di sicurezza ed identifica eventuali esposizioni e/o vulnerabilit Monitoring Real-Time Individua tentativi di alterazione delle policy e dei parametri di sicurezza Policy Enforcement Mantiene linfrastruttura di sicurezza in linea con le regole di compliance Administration Mgmt. Gestione semplificata ed automatica di RACF Administration Mgmt. Interfaccia grafica web per lamministrazione di RACF Administration Mgmt Amministra il RACF mediante transazioni applicative CICS (sia da web che da 3270) QRadar IFIM IDS IDI ISIM-IGAAppscan Guardium Administration & Audit Mgmt. Gestione Sicurezza e controllo per RACF su ambienti zVM SIEM Adapter Colleziona, struttura ed invia dati SMF e di sicurezza al SIEM QRadar zSecure: sicurezza a 360属
11 IBM Security Schema logico di funzionamento RACF z/OS IMS CICS DB2 zSecure Audit zSecure Alert SMFSYSTEM CONFIG RACF UNLOAD zSecure Command Verifier zSecure AdminzSecure Visual zSecure CICS Toolkit
12 IBM Security La soluzione globale di sicurezza di IBM IBM Security 6200+ Security Experts - 11 SOCs - 10 Research Centers 15 Development Labs - 12K+ Clients in 133 countries - 3700+ Patents Consulting Services | Managed Services QRadar Risk Manager QRadar Incident Forensics SiteProtector Network Protection XGS Key Lifecycle Manager Guardium zSecure BigFix Trusteer Apex MaaS360 Trusteer Mobile Trusteer Rapport Trusteer Pinpoint Resilient Systems Incident Response Identity Manager Access Manager Identity Governance and Intelligence Privileged Identity Manager DataPower Web Security Gateway AppScan Security Intelligence Cloud Cloud Security Enforcer QRadar SIEM QRadar Vulnerability Manager QRadar Log Manager Global Threat Intelligence X-Force Exchange App Exchange zSecure SECURITY OPERATION AND RESPONSE INFORMATION RISK AND PROTECTION
13 IBM Security Security Intelligence anche per il Mainframe IBM fornisce una soluzione di Security Intelligence, che include un sistema SIEM, basata su tecnologia Qradar ed in grado di gestire facilmente gli eventi generati in ambienti mainframe zSecureEvent sources from z Systems RACF CA ACF2 CA Top Secretz/OS CICS DB2 Extensive Data Sources Deep Intelligence Accurate and Actionable + = IDENTIFICATION Data collection, storage, and analysis Real-time correlation and threat intelligence Automatic asset, service and user discovery and profiling Activity baselining and anomaly detection Prioritized incidents Embedded Intelligence REMEDIATION Incident forensics Around-the-clock management, monitoring and protection Incident response EXTENSIVE DATA SOURCES Servers and mainframes Data activity Application activity Guardium DB2 IMS VSAM zSecure z/OS RACF ACF2, TSS CICS AppScan Web Apps Mobile Apps Web Services Desktop Apps QRadar Advisor Powered by Watson
14 IBM Security Il sistema z/OS 竪 in grado di raccogliere nel repository SMF tutti gli eventi relativi alle componenti software installate (se opportunamente configurate). In particolare: eventi sistema: z/OS eventi sicurezza: RACF - CA-Top Secret/ACF2 eventi database: DB2 eventi transazionali: CICS eventi networking: TCP/IP eventi messaging: MQ QRadar mette a disposizione una soluzione basica che utilizza script in grado di collezionare alcuni record SMF (in modalit batch) Quali eventi mainframe integrare ?
15 IBM Security DSMs (Device Support Module) pluggable QRadar components Ogni log-source necessita di DSM per il parsing degli eventi I DSM sono are sviluppati da un team di tecnici separato da quello di Qradar e vengono rilasciati indipendentemente dalla schedulazione di rilascio delle versioni di QRadar. Qradar aggiorna dinamicamente i DSM mediante la funzionalit di autoupdate 6 DSMs per lintegrazione con zSecure Audit z/OS RACF DB2 CICS CA-Top Secret & CA-ACF2 1 DSM per lintegrazione con zSecure Alert Per ogni DSMs occorre effettuare il deploy dopo averlo configurato Con QRadarnessun interprete di log
16 IBM Security zSecure 竪 la soluzione che realizza unintegrazione completa per linfrastruttura SIEM di QRadar. zSecure Audit zSecure Audit & QRadar: integrazione nativa
17 IBM Security zSecure-QRadar: access violation (x risorsa)
18 IBM Security zAudit report & concerns 78+ Audit Reports (All selection)
19 IBM Security zAudit per un controllo metodico e puntuale
20 IBM Security zAudit: investigazione ed analisi degli eventi Lanalisi post-evento 竪 fondamentale per poter investigare e capire quanto 竪 accaduto nel proprio ambiente, in un determinate arco temporale, in modo tale da poter individuare chi ha fatto che cosa. Con zAudit 竪 possibile condurre lanalisi sia sui dati SMF archiviati che sui dati SMF live in presa al sistema operativo
21 IBM Security zAudit: il supporto alle normative Con zSecure Audit 竪 possibile valutare la conformit del proprio ambiente relativamente agli standard supportati
22 IBM Security Con zAlert si realizza la modalit di raccolta degli eventi in tempo reale, di gradimento al team di controllo della sicurezza che opera con infrastrutture SIEM. Grazie a questa integrazione 竪 possibile controllare dal SIEM tutto ci嘆 che accade, in termini di sicurezza, anche sul mainframe SMF zSecure Alert Syslog Protocol zSecure Alert & QRadar: integrazione nativa
23 IBM Security Alerts in diretta sulla console di QRadar Collected and sent to QRadar by zSecure Alert
24 IBM Security Alerts su Qradar in dettaglio !
25 IBM Security zAlert: la logica di funzionamento SMF records WTO console SYSTEM status SENSOR S Recent buffer History buffer Collect Reporter Il modulo di controllo di zSecure Alert viene attivato come started task ed esegue una serie di funzioni necessarie al collezionamento delle informazioni richieste per la generazione degli allarmi: Installazione dinamica delle SMF exits Auto-install come EMCS console Schedulazione delle fasi di collect per ottenere le informazioni dal sistema Schedulazione delle fasi di analisi e generazione dei report Generazione allarmi per le destinazioni definite OUTPUT SNMP WTO SYSLOG EMAIL SMS Phone
26 IBM Security zAlert: la configurazione degli allarmi
27 IBM Security zAlert: quale azione intraprendere ? Un certo numero di violazioni pu嘆 determinare unazione che possa interrompere unattivit sospetta Utilizzando exclusion-list si possono creare delle exception relative allazione
28 IBM Security In assenza della suite zSecure 竪 possibile realizzare lintegrazione con Qradar mediante il solo modulo standalone 束zSecure Adapter for QRadar損 capace di fornire le stesse funzionalit di zAudit relativamente alla sola integrazione. zSecure Adapter E se non ho zSecure Audit o Alert ?
29 IBM Security La nuova real-time interface Con la versione z/OS 2.0 viene introdotta una nuova funzionalit SMF denominata INMEM che consente di utilizzare una 束application program interface損 (API) per accedere in real-time ai record SMF nel momento stesso in cui vengo scritti su LogStream zSecure Audit o zSecure Adapter for QRadar utilizzano queste API per catturare gli eventi SMF, trasformarli nel formato LEEF e quindi inviarli a QRadar Prerequisiti: SMF real-time interface (z/OS V2.0 and higher APAR OA49263) Utilizzo di Logstream SMF System Data Engine (SDE) - prodotto separato FMID (HHBO011E), Tale prodotto 竪 incluso come componente di zSecure Audit o zSecure Adapter), SDE pu嘆 anche essere fornito tramite il prodotto di analytics: IBM Common Data Provider for z Systems (CDP) is part of IBM Operations Analytics for z Systems (IOAZ) Caratteristiche: Started Task dedicato: CKQRADAR Capacit di filtering sui tipi record SMF con esclusione dei subtype Supporta UDP or TCP Supporta RACF, ACF2, TopSecret
30 IBM Security QRadar real-time interface: come funziona ? LEEF LEEF CKQRADAR zSecure Interface Module LEEF SMF RAW DATA IBM Common Data Provider for z Systems SMF RAW DATA
31 IBM Security zSecure Alert - RFC 3164 format sent over syslog protocol <117>Mar 27 13:43:42 JB0 C2P1105 [C2P1105 onWhatAUTHORITY=" SPECIAL OPERATIONS" onWhat RACFCMD-USER="JSMITH" onWhatRACFCMD- NAME="PHIL PETERS " whatACTION="Grant_Privilege_System" whatDESC="Success" whatRACFC MD="ALTUSER JSMITH OPERATIONS SPECIAL" whoUSERID="PPETERS" whoNAME="PHIL" whatJOB NAME="PPETERS" whereSYSTEM="JB0"] Alert: System authority granted to JSMITH - System- level authority granted to user zSecure Audit - LEEF format sent over syslog protocol LEEF:1.0|IBM|RACF|2.2.1|80 2.1|devTimeFormat=yyyy-MM-dd'T'HH:mm:ss.SSSZ devTime=2017-03- 29T02:00:54.050- 0400 usrName=PPETERS name=PHIL usrPriv=special operations auditor grpspec grpoper superuser usrGroups=SYS1 ICTXname= ICTXreg= job=JB0 24 Mar 2017 03:51:12.33 QMQ3MSTR intent=UP DATE allow=NONE class=MXQUEUE prof=QMQ3.SYSTEM.COMMAND.** res=QMQ3.SYSTEM.CO MMAND.REPLY.MODEL vol= dsn= sens= own= box= terminal= poe= logstr= auth=Normal desc=Violation reason=Resource appl= sum=RACF ACCESS violation for PPETERS: (UPDATE,NO NE) on MXQUEUE QMQ3.SYSTEM.COMMAND.REPLY.MODEL cmd= Formati payload: un confronto
32 IBM Security Sulla Console di QRadar, nella definizione delle Log Source occorre abilitare il Syslog Protocol Abilitare le nuove Log-Source al syslog Nel marketplace di QRadar Exchange si possono scaricare nuove estensioni dei DSM supportati per z/OS
33 IBM Security Dashboard Widgets which present visual/graphical representations of saved search results. Report Templates for scheduled or On demand reports which are built upon saved event or flow searches. Saved Searches Search criteria. Custom Rules Tests that are run against events and/or flow. Fire Can trigger action(offense, new event, email notice, data collection, etc.) Custom Property Defines a property to be extracted or derived from an inbound event or flow. Regex or Calculation. Reference Data Container definition for holding reference data that can be used by searches and rules. Custom Action Custom response for a rule when fired. Application Enhancement/extension to QRadar that can provide new tabs, API methods, dashboard items, context menus, config pages, etc Log Source Extension A parsing logic definition used to synthesize a custom DSM for an event source for which there is no existing DSM. Custom QIDMap Supplement out-of-the-box QIDMap QRadar provides, in order to include QIDMap entries for events not formally supported by QRadar. Historical Correlation Combination of saved search and set of rules that allow a user to test rules by re-running a set of historical events "offline" Custom Function SQL-like function that can be used in an Advanced search to enhance or manipulate data Estensioni Qradar per z/OS Direttamente dal Marketplace di QRadar AppExchange AppExchange fornisce un sistema di creazione e condivisione di App
34 IBM Security E se devo integrarmi con altri SIEM ? Il protocollo syslog consente di inoltrare i messagi di zAlert ad un qualsiasi SIEM che dovr utilizzare un Parser custom per la comprensione e classificazione dellevento zSecure Audit 竪 in grado di produrre record in formato LEEF (Log Event Extended Format) La soluzione SIEM dovr essere in grado di supportare tale format, quindi utilizzare un Parser custom per la comprensione e classificazione dellevento
THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: 息 Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. Domande ?

Recommended

Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
Davide Del Vecchio
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
Luigi Perrone
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
raffaele_forte
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Italia
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
z/OS Pervasive Encryption
z/OS Pervasive Encryptionz/OS Pervasive Encryption
z/OS Pervasive Encryption
Luigi Perrone
Key management
Key managementKey management
Key management
Luigi Perrone
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni
Short Brocade Presentation
Short Brocade PresentationShort Brocade Presentation
Short Brocade Presentation
Leonardo Antichi
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
Luigi Perrone
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
VMUG IT
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Ivanti
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecure
Luigi Perrone
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
12 ssi bonprix
12 ssi bonprix12 ssi bonprix
12 ssi bonprix
Andrea Colombetti
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
PRAGMA PROGETTI
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
S.info Srl
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Maticmind Proactive Monitoring
Maticmind Proactive MonitoringMaticmind Proactive Monitoring
Maticmind Proactive Monitoring
Maticmind

More Related Content

What's hot (13)

Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Italia
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
z/OS Pervasive Encryption
z/OS Pervasive Encryptionz/OS Pervasive Encryption
z/OS Pervasive Encryption
Luigi Perrone
Key management
Key managementKey management
Key management
Luigi Perrone
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni
Short Brocade Presentation
Short Brocade PresentationShort Brocade Presentation
Short Brocade Presentation
Leonardo Antichi
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
Luigi Perrone
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
VMUG IT
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Ivanti
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Italia
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
z/OS Pervasive Encryption
z/OS Pervasive Encryptionz/OS Pervasive Encryption
z/OS Pervasive Encryption
Luigi Perrone
Key management
Key managementKey management
Key management
Luigi Perrone
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni
Short Brocade Presentation
Short Brocade PresentationShort Brocade Presentation
Short Brocade Presentation
Leonardo Antichi
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
Luigi Perrone
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
VMUG IT
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Ivanti
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.

Similar to Come integrare il mainframe con QRadar (20)

Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecure
Luigi Perrone
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
12 ssi bonprix
12 ssi bonprix12 ssi bonprix
12 ssi bonprix
Andrea Colombetti
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
PRAGMA PROGETTI
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
S.info Srl
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Maticmind Proactive Monitoring
Maticmind Proactive MonitoringMaticmind Proactive Monitoring
Maticmind Proactive Monitoring
Maticmind
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
Antonio Capobianco
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse srl
Centro Computer - CCasir
Centro Computer - CCasirCentro Computer - CCasir
Centro Computer - CCasir
Centro Computer Spa
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
Stefano Dindo
11 arcadis
11 arcadis11 arcadis
11 arcadis
Andrea Colombetti
Solution Center Launch
Solution Center LaunchSolution Center Launch
Solution Center Launch
Matteo Scicolone
Signature Solution Center Launch
Signature Solution Center LaunchSignature Solution Center Launch
Signature Solution Center Launch
Matteo Scicolone
La gestione delle risorse in un'azienda efficiente
La gestione delle risorse in un'azienda efficienteLa gestione delle risorse in un'azienda efficiente
La gestione delle risorse in un'azienda efficiente
Nuova Periodici
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
It vm sistemi_company_profile
It vm sistemi_company_profileIt vm sistemi_company_profile
It vm sistemi_company_profile
Silvia Montanari
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Enzo M. Tieghi
Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecure
Luigi Perrone
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
12 ssi bonprix
12 ssi bonprix12 ssi bonprix
12 ssi bonprix
Andrea Colombetti
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni Evento 18 giugno - ibm sicurezza - parte b - soluzioni
Evento 18 giugno - ibm sicurezza - parte b - soluzioni
PRAGMA PROGETTI
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
S.info Srl
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Maticmind Proactive Monitoring
Maticmind Proactive MonitoringMaticmind Proactive Monitoring
Maticmind Proactive Monitoring
Maticmind
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
Antonio Capobianco
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse & IBM - Il Cloud Native rende agile il tuo business.
Team Netuse srl
Centro Computer - CCasir
Centro Computer - CCasirCentro Computer - CCasir
Centro Computer - CCasir
Centro Computer Spa
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
Stefano Dindo
11 arcadis
11 arcadis11 arcadis
11 arcadis
Andrea Colombetti
Solution Center Launch
Solution Center LaunchSolution Center Launch
Solution Center Launch
Matteo Scicolone
Signature Solution Center Launch
Signature Solution Center LaunchSignature Solution Center Launch
Signature Solution Center Launch
Matteo Scicolone
La gestione delle risorse in un'azienda efficiente
La gestione delle risorse in un'azienda efficienteLa gestione delle risorse in un'azienda efficiente
La gestione delle risorse in un'azienda efficiente
Nuova Periodici
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
It vm sistemi_company_profile
It vm sistemi_company_profileIt vm sistemi_company_profile
It vm sistemi_company_profile
Silvia Montanari
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Enzo M. Tieghi

More from Luigi Perrone (6)

z/OS Authorized Code Scanner
z/OS Authorized Code Scannerz/OS Authorized Code Scanner
z/OS Authorized Code Scanner
Luigi Perrone
Sklm webinar
Sklm webinarSklm webinar
Sklm webinar
Luigi Perrone
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
Come gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLMCome gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
IBM Qradar-Advisor
IBM Qradar-AdvisorIBM Qradar-Advisor
IBM Qradar-Advisor
Luigi Perrone
Racf psw enhancement
Racf psw enhancementRacf psw enhancement
Racf psw enhancement
Luigi Perrone
z/OS Authorized Code Scanner
z/OS Authorized Code Scannerz/OS Authorized Code Scanner
z/OS Authorized Code Scanner
Luigi Perrone
Sklm webinar
Sklm webinarSklm webinar
Sklm webinar
Luigi Perrone
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
Come gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLMCome gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
IBM Qradar-Advisor
IBM Qradar-AdvisorIBM Qradar-Advisor
IBM Qradar-Advisor
Luigi Perrone
Racf psw enhancement
Racf psw enhancementRacf psw enhancement
Racf psw enhancement
Luigi Perrone

Come integrare il mainframe con QRadar

  • 1. IBM Security intelligence by zSecure Luigi Perrone IBM SWG Security Systems Security & Audit enterprise zSystem Security Intelligence Solution luigi_perrone@it.ibm.com it.linkedin.com/in/luigiperrone
  • 2. 2 IBM Security 2 Il mainframe, ricordate ? Compatibilit, affidabilit, disponibilit, scalabilit, flessibilit, potenza di calcolo e sicurezza UN INVESTIMENTOSICURO !
  • 3. 3 IBM Security 3 Qual 竪 la realt quotidiana ? In quante attivit ed operazioni quotidiane di business e non, viene coinvolto il mainframe ?
  • 4. 4 IBM Security 4 Il mainframe parla le nuove tecnologie Cloud and Virtualization Multi Factor Authentication Blockchain Mobile connection Pervasive Encryption Security Intelligence Analytics E un evoluzione continua che dura da pi湛 di 50 anni
  • 5. 5 IBM Security 5 I vantaggi innegabili della piattaforma mainframe Abbiamo veramente considerato tutti i reali vantaggi della piattaforma Z ? anche nel moderno ambiente IT dei nostri giorni?
  • 6. 6 IBM Security 6 Dove risiedono milioni di dati sensibili ? Ci ricordiamo, ogni tanto, dove vengono conservati i nostri 束cari損 dati ? ecco spiegato perch辿 non si pu嘆 trascurare la sicurezza del mainframe ! % of enterprise data is housed on the mainframe 80 % of all active code runs on the mainframe74 Le moderne tecnologie hanno eliminato la mainframe isolation, quindi la protezione e salvaguardia del dato non pu嘆 pi湛 essere superficiale
  • 7. 7 IBM Security Approcci differenti, ma sempre con metodi tradizionali 束 sul mainframe tutto 竪 pi湛 controllato 損 束 il mainframe 竪 un sistema di back-end messo al riparo da attacchi 損 束 gestisco tutto con RACF, difficile violare gli accessi 損 束 la sicurezza si realizza sul perimetro di rete 損 束 la tecnologia presente sul mainframe 竪 pi湛 sicura 損 Nonostante tutte queste funzionalit si continua ad avere un tipo di approccio tradizionale alle tematiche di sicurezza sul mainframe trascurando aspetti nuovi che non andrebbero sottovalutati
  • 8. 8 IBM Security 8 Gestire e controllare la sicurezza con efficienza E importante avere uninfrastruttura di sicurezza efficace ed efficiente Gestione Controllo Automazione Allarmistica Investigazione Integrazione Protezione
  • 9. 9 IBM Security Advanced Fraud Protection Trusteer Rapport Trusteer Pinpoint Malware Detection Trusteer Pinpoint ATO Detection Trusteer Mobile Risk Engine Trusteer Apex FiberLink MaaS360 Endpoint Manager Host Protection Security Intelligence and Analytics QRadar Log Manager QRadar SIEM QRadar Risk Manager QRadar Vulnerability Manager QRadar Incident Forensics IBM X-Force Research People Identity Manager Access Manager Family Privileged Identity Manager Federated Identity Management Directory Integrator / Directory Server Data Guardium Database Activity Monitoring Guardium Encryption Expert Guardium / Optim Data Masking Key Lifecycle Manager Applications AppScan Source AppScan Enterprise / Standard DataPower Web Security Gateway Security Policy Manager Network Infrastructure Endpoint Network Intrusion Prevention (GX) Next Generation Network Protection (XGS) SiteProtector Threat Management QRadar Network Anomaly Detection IBM Security portfolio zSecure
  • 10. 10 IBM Security Enterprise Identity & Access Management Enterprise Security Monitoring & Audit Reporting Audit & Analysis Analizza eventi di sicurezza ed identifica eventuali esposizioni e/o vulnerabilit Monitoring Real-Time Individua tentativi di alterazione delle policy e dei parametri di sicurezza Policy Enforcement Mantiene linfrastruttura di sicurezza in linea con le regole di compliance Administration Mgmt. Gestione semplificata ed automatica di RACF Administration Mgmt. Interfaccia grafica web per lamministrazione di RACF Administration Mgmt Amministra il RACF mediante transazioni applicative CICS (sia da web che da 3270) QRadar IFIM IDS IDI ISIM-IGAAppscan Guardium Administration & Audit Mgmt. Gestione Sicurezza e controllo per RACF su ambienti zVM SIEM Adapter Colleziona, struttura ed invia dati SMF e di sicurezza al SIEM QRadar zSecure: sicurezza a 360属
  • 11. 11 IBM Security Schema logico di funzionamento RACF z/OS IMS CICS DB2 zSecure Audit zSecure Alert SMFSYSTEM CONFIG RACF UNLOAD zSecure Command Verifier zSecure AdminzSecure Visual zSecure CICS Toolkit
  • 12. 12 IBM Security La soluzione globale di sicurezza di IBM IBM Security 6200+ Security Experts - 11 SOCs - 10 Research Centers 15 Development Labs - 12K+ Clients in 133 countries - 3700+ Patents Consulting Services | Managed Services QRadar Risk Manager QRadar Incident Forensics SiteProtector Network Protection XGS Key Lifecycle Manager Guardium zSecure BigFix Trusteer Apex MaaS360 Trusteer Mobile Trusteer Rapport Trusteer Pinpoint Resilient Systems Incident Response Identity Manager Access Manager Identity Governance and Intelligence Privileged Identity Manager DataPower Web Security Gateway AppScan Security Intelligence Cloud Cloud Security Enforcer QRadar SIEM QRadar Vulnerability Manager QRadar Log Manager Global Threat Intelligence X-Force Exchange App Exchange zSecure SECURITY OPERATION AND RESPONSE INFORMATION RISK AND PROTECTION
  • 13. 13 IBM Security Security Intelligence anche per il Mainframe IBM fornisce una soluzione di Security Intelligence, che include un sistema SIEM, basata su tecnologia Qradar ed in grado di gestire facilmente gli eventi generati in ambienti mainframe zSecureEvent sources from z Systems RACF CA ACF2 CA Top Secretz/OS CICS DB2 Extensive Data Sources Deep Intelligence Accurate and Actionable + = IDENTIFICATION Data collection, storage, and analysis Real-time correlation and threat intelligence Automatic asset, service and user discovery and profiling Activity baselining and anomaly detection Prioritized incidents Embedded Intelligence REMEDIATION Incident forensics Around-the-clock management, monitoring and protection Incident response EXTENSIVE DATA SOURCES Servers and mainframes Data activity Application activity Guardium DB2 IMS VSAM zSecure z/OS RACF ACF2, TSS CICS AppScan Web Apps Mobile Apps Web Services Desktop Apps QRadar Advisor Powered by Watson
  • 14. 14 IBM Security Il sistema z/OS 竪 in grado di raccogliere nel repository SMF tutti gli eventi relativi alle componenti software installate (se opportunamente configurate). In particolare: eventi sistema: z/OS eventi sicurezza: RACF - CA-Top Secret/ACF2 eventi database: DB2 eventi transazionali: CICS eventi networking: TCP/IP eventi messaging: MQ QRadar mette a disposizione una soluzione basica che utilizza script in grado di collezionare alcuni record SMF (in modalit batch) Quali eventi mainframe integrare ?
  • 15. 15 IBM Security DSMs (Device Support Module) pluggable QRadar components Ogni log-source necessita di DSM per il parsing degli eventi I DSM sono are sviluppati da un team di tecnici separato da quello di Qradar e vengono rilasciati indipendentemente dalla schedulazione di rilascio delle versioni di QRadar. Qradar aggiorna dinamicamente i DSM mediante la funzionalit di autoupdate 6 DSMs per lintegrazione con zSecure Audit z/OS RACF DB2 CICS CA-Top Secret & CA-ACF2 1 DSM per lintegrazione con zSecure Alert Per ogni DSMs occorre effettuare il deploy dopo averlo configurato Con QRadarnessun interprete di log
  • 16. 16 IBM Security zSecure 竪 la soluzione che realizza unintegrazione completa per linfrastruttura SIEM di QRadar. zSecure Audit zSecure Audit & QRadar: integrazione nativa
  • 17. 17 IBM Security zSecure-QRadar: access violation (x risorsa)
  • 18. 18 IBM Security zAudit report & concerns 78+ Audit Reports (All selection)
  • 19. 19 IBM Security zAudit per un controllo metodico e puntuale
  • 20. 20 IBM Security zAudit: investigazione ed analisi degli eventi Lanalisi post-evento 竪 fondamentale per poter investigare e capire quanto 竪 accaduto nel proprio ambiente, in un determinate arco temporale, in modo tale da poter individuare chi ha fatto che cosa. Con zAudit 竪 possibile condurre lanalisi sia sui dati SMF archiviati che sui dati SMF live in presa al sistema operativo
  • 21. 21 IBM Security zAudit: il supporto alle normative Con zSecure Audit 竪 possibile valutare la conformit del proprio ambiente relativamente agli standard supportati
  • 22. 22 IBM Security Con zAlert si realizza la modalit di raccolta degli eventi in tempo reale, di gradimento al team di controllo della sicurezza che opera con infrastrutture SIEM. Grazie a questa integrazione 竪 possibile controllare dal SIEM tutto ci嘆 che accade, in termini di sicurezza, anche sul mainframe SMF zSecure Alert Syslog Protocol zSecure Alert & QRadar: integrazione nativa
  • 23. 23 IBM Security Alerts in diretta sulla console di QRadar Collected and sent to QRadar by zSecure Alert
  • 24. 24 IBM Security Alerts su Qradar in dettaglio !
  • 25. 25 IBM Security zAlert: la logica di funzionamento SMF records WTO console SYSTEM status SENSOR S Recent buffer History buffer Collect Reporter Il modulo di controllo di zSecure Alert viene attivato come started task ed esegue una serie di funzioni necessarie al collezionamento delle informazioni richieste per la generazione degli allarmi: Installazione dinamica delle SMF exits Auto-install come EMCS console Schedulazione delle fasi di collect per ottenere le informazioni dal sistema Schedulazione delle fasi di analisi e generazione dei report Generazione allarmi per le destinazioni definite OUTPUT SNMP WTO SYSLOG EMAIL SMS Phone
  • 26. 26 IBM Security zAlert: la configurazione degli allarmi
  • 27. 27 IBM Security zAlert: quale azione intraprendere ? Un certo numero di violazioni pu嘆 determinare unazione che possa interrompere unattivit sospetta Utilizzando exclusion-list si possono creare delle exception relative allazione
  • 28. 28 IBM Security In assenza della suite zSecure 竪 possibile realizzare lintegrazione con Qradar mediante il solo modulo standalone 束zSecure Adapter for QRadar損 capace di fornire le stesse funzionalit di zAudit relativamente alla sola integrazione. zSecure Adapter E se non ho zSecure Audit o Alert ?
  • 29. 29 IBM Security La nuova real-time interface Con la versione z/OS 2.0 viene introdotta una nuova funzionalit SMF denominata INMEM che consente di utilizzare una 束application program interface損 (API) per accedere in real-time ai record SMF nel momento stesso in cui vengo scritti su LogStream zSecure Audit o zSecure Adapter for QRadar utilizzano queste API per catturare gli eventi SMF, trasformarli nel formato LEEF e quindi inviarli a QRadar Prerequisiti: SMF real-time interface (z/OS V2.0 and higher APAR OA49263) Utilizzo di Logstream SMF System Data Engine (SDE) - prodotto separato FMID (HHBO011E), Tale prodotto 竪 incluso come componente di zSecure Audit o zSecure Adapter), SDE pu嘆 anche essere fornito tramite il prodotto di analytics: IBM Common Data Provider for z Systems (CDP) is part of IBM Operations Analytics for z Systems (IOAZ) Caratteristiche: Started Task dedicato: CKQRADAR Capacit di filtering sui tipi record SMF con esclusione dei subtype Supporta UDP or TCP Supporta RACF, ACF2, TopSecret
  • 30. 30 IBM Security QRadar real-time interface: come funziona ? LEEF LEEF CKQRADAR zSecure Interface Module LEEF SMF RAW DATA IBM Common Data Provider for z Systems SMF RAW DATA
  • 31. 31 IBM Security zSecure Alert - RFC 3164 format sent over syslog protocol <117>Mar 27 13:43:42 JB0 C2P1105 [C2P1105 onWhatAUTHORITY=" SPECIAL OPERATIONS" onWhat RACFCMD-USER="JSMITH" onWhatRACFCMD- NAME="PHIL PETERS " whatACTION="Grant_Privilege_System" whatDESC="Success" whatRACFC MD="ALTUSER JSMITH OPERATIONS SPECIAL" whoUSERID="PPETERS" whoNAME="PHIL" whatJOB NAME="PPETERS" whereSYSTEM="JB0"] Alert: System authority granted to JSMITH - System- level authority granted to user zSecure Audit - LEEF format sent over syslog protocol LEEF:1.0|IBM|RACF|2.2.1|80 2.1|devTimeFormat=yyyy-MM-dd'T'HH:mm:ss.SSSZ devTime=2017-03- 29T02:00:54.050- 0400 usrName=PPETERS name=PHIL usrPriv=special operations auditor grpspec grpoper superuser usrGroups=SYS1 ICTXname= ICTXreg= job=JB0 24 Mar 2017 03:51:12.33 QMQ3MSTR intent=UP DATE allow=NONE class=MXQUEUE prof=QMQ3.SYSTEM.COMMAND.** res=QMQ3.SYSTEM.CO MMAND.REPLY.MODEL vol= dsn= sens= own= box= terminal= poe= logstr= auth=Normal desc=Violation reason=Resource appl= sum=RACF ACCESS violation for PPETERS: (UPDATE,NO NE) on MXQUEUE QMQ3.SYSTEM.COMMAND.REPLY.MODEL cmd= Formati payload: un confronto
  • 32. 32 IBM Security Sulla Console di QRadar, nella definizione delle Log Source occorre abilitare il Syslog Protocol Abilitare le nuove Log-Source al syslog Nel marketplace di QRadar Exchange si possono scaricare nuove estensioni dei DSM supportati per z/OS
  • 33. 33 IBM Security Dashboard Widgets which present visual/graphical representations of saved search results. Report Templates for scheduled or On demand reports which are built upon saved event or flow searches. Saved Searches Search criteria. Custom Rules Tests that are run against events and/or flow. Fire Can trigger action(offense, new event, email notice, data collection, etc.) Custom Property Defines a property to be extracted or derived from an inbound event or flow. Regex or Calculation. Reference Data Container definition for holding reference data that can be used by searches and rules. Custom Action Custom response for a rule when fired. Application Enhancement/extension to QRadar that can provide new tabs, API methods, dashboard items, context menus, config pages, etc Log Source Extension A parsing logic definition used to synthesize a custom DSM for an event source for which there is no existing DSM. Custom QIDMap Supplement out-of-the-box QIDMap QRadar provides, in order to include QIDMap entries for events not formally supported by QRadar. Historical Correlation Combination of saved search and set of rules that allow a user to test rules by re-running a set of historical events "offline" Custom Function SQL-like function that can be used in an Advanced search to enhance or manipulate data Estensioni Qradar per z/OS Direttamente dal Marketplace di QRadar AppExchange AppExchange fornisce un sistema di creazione e condivisione di App
  • 34. 34 IBM Security E se devo integrarmi con altri SIEM ? Il protocollo syslog consente di inoltrare i messagi di zAlert ad un qualsiasi SIEM che dovr utilizzare un Parser custom per la comprensione e classificazione dellevento zSecure Audit 竪 in grado di produrre record in formato LEEF (Log Event Extended Format) La soluzione SIEM dovr essere in grado di supportare tale format, quindi utilizzare un Parser custom per la comprensione e classificazione dellevento
  • 35. THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: 息 Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. Domande ?
AboutCopyright
息 2025 際際滷