Bundesamt für Sicherheit in der Informationstechnik

M 2.292 Überwachung von z/OS-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um Fehlersituationen und Sicherheitsprobleme zeitnah erkennen und beheben zu können, ist es notwendig, den laufenden Betrieb von z/OS-Systemen zu überwachen. Dazu stehen verschiedene Datenquellen des Betriebssystems zur Verfügung. Diese können entweder manuell durch das Operating oder automatisiert durch Programme analysiert werden.

Die folgenden Empfehlungen sind bei der Überwachung von z/OS-Systemen zu berücksichtigen:

MCS-Konsole

Die MCS-Konsole (Multiple Console Support) stellt wichtige System-Meldungen (Fehler, Sicherheitsverstöße usw.) dar, auf die der Operator auch sofort reagieren kann. Um aus der Flut der Nachrichten die wichtigen herauszufiltern, ist der Einsatz der MPF-Funktion (Message Processing Facility) unbedingt erforderlich. Dabei ist es empfehlenswert, die wichtigen Nachrichten auf eine spezielle Konsole zu leiten, während die Kommunikation mit dem Betriebssystem auf anderen Konsolen stattfinden sollte. Es sollte überlegt werden, Farben zum Herausheben von kritischen Nachrichten einzusetzen.

SMF-Auswertung

Nahezu alle Aktivitäten des Betriebssystems werden über SMF-Sätze (System Management Facility) protokolliert. Diese Sätze sind in jedem Fall zur Analyse nach Sicherheitsverstößen heranzuziehen (siehe auch Maßnahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS ). Um auch Ereignisse der Vergangenheit analysieren zu können, muss ein entsprechendes Archivierungsverfahren für die SMF-Daten vorhanden sein. Da die SMF-Daten ebenso für Abrechnung und Performance-Analysen des z/OS-Systems herangezogen werden können, ist ferner zu überlegen, ob ein entsprechendes Berichtswesen aufgebaut werden soll.

SYSLOG-Auswertung

Alle wesentlichen Ereignisse werden darüber hinaus vom Betriebssystem im sogenannten SYSLOG (System Log) mitgeschrieben, das über SDSF (System Display and Search Facility) für JES2 oder über Flasher für JES3 für manuelle Analysen zur Verfügung steht. Es ist zu überlegen, ob Auswertungsprogramme erstellt und eingesetzt werden sollen, die das SYSLOG nach kritischen Nachrichten durchsuchen und entsprechende Reports erstellen.

Automation

Es ist zu überlegen, ob Automations-Programme eingesetzt werden sollen, die vordefinierte SYSLOG-Meldungen erkennen und entsprechende Reaktionen im System auslösen können. Hierzu gibt es eine Reihe von Produkten am Markt, auch MPF inklusive Exit-Programmierung kann benutzt werden.

Anwendungs-Logs

Viele Anwendungen schreiben eigene Protokolldaten, so zum Beispiel auch das USS-Subsystem (Unix System Services). Diese Protokolle sind ebenfalls

auf Sicherheitsverstöße zu analysieren, wichtige Nachrichten sind den Operatoren zur Verfügung zu stellen.

Zentrale Kontrolle

In größeren Installationen mit verschiedenen Standorten sollte eine zentrale Stelle existieren (Focal Point), an die alle für den Betrieb wichtigen Informationen gemeldet werden. Der Einsatz von Programmen, die das Geschehen übersichtlich - eventuell grafisch - darstellen können, ist zu überlegen. darzustellen?

Prüffragen:

  • Wird der laufende Betrieb von z/OS-Systemen überwacht?

  • Wird unter z/OS die MPF-Funktion eingesetzt, um aus den Nachrichten der ABAP -Konsole die wichtigen Systemmeldungen herauszufiltern?

  • Werden unter z/OS die SMF-Sätze zur Analyse von Sicherheitsverstößen herangezogen?

  • Werden bei der Überwachung der z/OS-Systeme Protokolldaten von Anwendungen auf Sicherheitsverstöße analysiert, und wichtige Nachrichten den Operatoren zur Verfügung gestellt?

  • Bei Installationen mit verschiedenen Standorten: Existiert eine zentrale Stelle, der alle für den Betrieb des z/OS-Systems wichtigen Informationen gemeldet werden?

Stand: 13. EL Stand 2013