iSecurity Command: Kontrolle & Überwachung von CL-Befehlen

 

Das iSecurity-Modul  Command erlaubt die umfassende Kontrolle system- und benutzerdefinierter CL-Befehle, und zwar unabhängig davon, wie diese CL-Befehle eingegeben wurden. Command überwacht CL-Befehle, deren Parameter, Herkunft und Kontext (also das Programm, das den Befehl ausgegeben hat) oder die Befehlseingabe des Benutzers. Daneben arbeitet Command auch mit dem iSecurity Module Action zusammen und stellt leicht definierbare Optionen für Reaktionen zur Verfügung.

 

Befehlsparameter exakt überprüfen

CL-Befehle steuern nahezu alle IBM i Funktionen. Es ist daher sehr wichtig für das reibungslose Arbeiten des Unternehmens, CL Befehle zu überwachen, zu kontrollieren und zu protokollieren. Auch für die Einhaltung von Compliance-Bestimmungen wie SOX, HIPAA, PCI und die Erfüllung von Vorgaben Ihrer Auditoren ist die lückenlose Überwachung von Befehlen eine Voraussetzung.

Bereits eine minimale Veränderung in einem CL-Befehlsparameter kann schwere Schäden verursachen, und doch ist es schwierig, CL Befehle und ihre Parameter zu überwachen.
CL-Befehle können auf verschiedene Weise eingegeben werden: über die Befehlszeile, durch Auswahl einer Menü-Option, als Teil eines Programmes, remote über FTP usw.

Die unautorisierte und unkontrollierte Benutzung von CL-Befehlen und ihrer Parameter bedeutet ein  wesentliches Risiko für jedes Unternehmen. Unternehmen und ihre Auditoren brauchen bessere Kontrollmöglichkeiten für CL-Befehle.
 

So funktioniert iSecurity Command

 

 

 


 

Command auf einen Blick

  • System- und benutzerdefinierte CL-Befehle können nach den Beziehungen zwischen ihren Parametern, Umgebungsparametern (Job, Benutzer, IP) und Kontext (aus welchem Programm, welcher Umgebung) gefiltert werden.
  • Die Referenz zu einem bestimmten Qualifikationsmerkmal oder Element gestattet die Differenzierung zwischen „LOHN“ als Teil des Dateinamens oder Namens der Bibliothek.
  • Die Selektionskriterien beinhalten EQ, LIST, LIKE, START, etc. und ITEM. Mit ITEM kann z.B. die Existenz eines bestimmten Benutzers in einer externen Tabelle sichergestellt und überprüft werden, ob der Benutzer Sonderberechtigungen besitzt.
  • Das Abweisen oder Zulassen von CL-Befehlen mit oder ohne Modifikationen kann Warnungen über E-Mail, SMS, Syslog, Twitter etc. auslösen.
  • Command ersetzt vor der Ausführung eines Befehls eine Element, ein Qualifizierungsmerkmal, den gesamten Parameter oder den eigentlichen CL-Befehl selbst.
  • Eine ausführliche Protokollfunktion mit integriertem Berichtsgenerator erstellt Berichte in HTML und PDF und verschickt sie per E-Mail.
  • iSecurity Command wurde auf der Basis besonderer Kundenwünsche nach einer umfassenden Kontroll- und Überwachungslösung entwickelt.

 


 

Reaktionen auf CL-Befehle

Während der Verarbeitung von Befehlen kann das iSecurity-Modul Command:

  • normale Befehlsverarbeitung gestatten
  • die Befehlsverarbeitung nach der Veränderung von Parametern oder Teilen von Parametern erlauben
  • erst nach Eingabe eines definierten Kennworts den Befehl ausführen
  • einen anderen Befehl ausführen
  • einen Befehl abweisen.

Command arbeitet nahtlos mit anderen Modulen der iSecurity-Produktfamilie zusammen, löst Echtzeit-Alarme aus und versendet sie als ereignisspezifische Nachrichten via E-Mails, SMS, Syslog, Twitter. Command kann sogar die Ausführung eines CL-Befehlsskripts auslösen.

 
 
 

 

Command unterstützt komplexe Parameter-Strukturen

Die Struktur von CL-Befehlsparametern kann komplex sein. Deutlich wird das am Beispiel ausgewählter Parameter von Change User Profilen (CHGUSRPRF):

  • Qualifizierte Parameter wie: INLPGM (library / program)
  • Elemente wie: EIMASSOC (admin *ADMIN *REPLACE)
  • Liste von Werten wie: SUPGRPPRF (grpprf1 grpprf2 gprpprf3)

Um CL Befehlsparameter richtig zu überprüfen, werden präzise Bezüge benötigt. Command ist das einzige Produkt, das sich auf einen Parameter als Ganzes, jedoch ebenso auf jeden einzelnen Teil eines komplexen Parameters gesondert beziehen kann. Command besitzt eine Vielzahl von Selektionsmöglichkeiten, die das Ersetzen, Hinzufügen oder Entfernen von Werten, Elementen und Listen-Elementen ermöglichen.


Datenblatt Command