Conseils & astuces : Comment utiliser l’Application Command Center (ACC)

Conseils & astuces cette semaine examine l’Application Command Center, (ACC), qui offre une visibilité sur le trafic réseau en passant par votre pare-feu. L’ACC est parfois négligé à l’intérieur de l’interface WebGUI, mais c’est un outil très puissant pour vous aider à gérer et de voir le trafic qui coule à travers votre réseau.

Note: je vais vous montrer au sujet de L'ACC sur Pan-OS 5,0, 6,0 et 6,1. PAN-OS 7.0 modifie l’apparence de l’interface, dont je vais aborder dans un autre segment de conseils & astuces.

Pour en savoir plus sur le CAC, nous allons explorer les domaines suivants :

• Ce qui est le centre de commande de demande (ACC) ?
• Parties de l’Application Command Center (ACC) et comment obtenir plus d’informations de l’ACC

Ce qui est le centre de commande de demande (ACC) ?

La page Application Command Center (ACC) dépeint visuellement les tendances et un aperçu historique du trafic sur votre réseau. Il affiche le niveau de risque global de tout le trafic réseau et les niveaux de risque et nombre de menaces détectées pour les applications les plus actifs et les plus à risque sur votre réseau, le nombre de menaces détectées parmi les catégories d’application plus fréquentés et de tous les demandes à chaque niveau de risque. Le CAC peut être consulté pour la dernière heure, jour, semaine, mois ou n’importe quel calendrier personnalisé.

Niveaux de risque (1 = le plus bas à 5 = plus haut) indiquent le risque de sécurité relatif de l’application, basée sur des critères tels que la question de savoir si l’application peut partager des fichiers, est sujette à une mauvaise utilisation, ou tente de contourner les pare-feux.

Parties de l’Application Command Center (ACC) et comment obtenir plus d’informations de l’ACC

Nous allons commencer avec l’onglet tableau de bord :

Facteur de risque ACC
à l'intérieur du WebGUI, sous l'onglet tableau de bord, vous verrez le facteur de risque ACC.

Cette information indique le facteur de risque pendant les 60 dernières minutes, sur base des informations à l’intérieur de l’onglet de l’ACC.

 
Il s’agit d’un général « température menace » du trafic. Si vous trouvez il est supérieure à la normale, vous pouvez utiliser le CAC principal de forer vers le bas et enquêter sur ce qui cause la température soit supérieure à la normale.

Si vous ne souhaitez pas voir cela, et il n’est pas affiché sur votre page de tableau de bord, lui permettre du tableau de bord > Widgets > Application > ACC facteur de risque.

Top applications
vous verrez aussi les «top applications» si vous avez activé ce widget.

Ce widget affiche les applications avec les plupart des sessions. La taille du bloc indique le nombre relatif de sessions (passez votre souris sur le bloc pour afficher le nombre) et la couleur indique le risque de sécurité — du vert (plus bas) au rouge (le plus élevé). Cliquez sur une application pour afficher ses informations sur l’application, mais aussi une ventilation complète où cette demande a été considérée à l’intérieur de la page d’ACC.

C'est une excellente façon de voir les applications en un coup d'œil.
Si vous souhaitez voir cela, il peut être activé à partir du tableau de bord > widgets > application > top applications.

Passons maintenant à l'onglet ACC:
sous l'onglet ACC, vous verrez les sections suivantes qui constituent le centre de commande de l'Application:

1. Temps/Sort By / albums (en haut de la fenêtre)
2. Application 
3. Filtrage d’URL
4. Prévention des menaces
5. Filtrage des données
6. Matchs de hanche

1. Temps/tri par / Top

En haut de la fenêtre, vous verrez le temps/tri par / Top options.

Cette commande contrôle les toutes les options d’affichage à l’intérieur de l’ACC.

• Heure:vous avez des options pour le temps qui vont des 15 dernières minutes Jusqu'Au dernier mois calendaire et même une option personnalisée.  La valeur par défaut est la dernière heure.
• Trier par:vous pouvez trier les graphiques par ordre décroissant en nombre de sessions, d'octets ou de menaces. La valeur par défaut est par nombre de sessions.
• Haut(Top):vous avez une option pour le numéro «Top» à afficher par section. Cela varie de 5 à 500. La valeur par défaut est 25.
• Appuyez sur la flèche verte pour que votre sélection prenne effet.
• Enfin, le signe plus vert est une option de filtre Set, vous pouvez appliquer qui vous permet de filtrer L'Application BT, source ou de destination, l'utilisateur source ou destination, nom de la machine, la hanche, la source ou la zone de destination, le risque et la catégorie URL.

Note: il ya 2 autres parties de L'ACC que je n'ai pas document avec une capture d'écran-tHey sont comme suit:

• Système virtuel—si les systèmes virtuels sont définis, vous pouvez le sélectionner à partir de cette liste déroulante.
• Source de données (pour panorama uniquement):Sélectionnez la source de données utilisée pour générer l'affichage graphique sur les tendances du trafic. La source de données par défaut pour les nouvelles installations est panorama; Panorama utilise les journaux transmis par les périphériques gérés. Pour extraire et afficher une vue agrégée des données à partir des périphériques gérés, vous devez maintenant passer la source de Panorama à distance données de périphérique. 
  Sur une mise à niveau, la source de données par défaut est Remote Device Data.

Ajout d’un filtre est très pratique si vous cherchez un trafic spécifique.

Note: vous verrez également le même facteur de risque ACC dans le coin supérieur droit, ainsi que d'un ensemble de 5 icônes.

Les icônes sont des raccourcis vers les journaux, dans l’ordre suivant :

• Journal de trafic
• Journaux de menace
• Journal de filtrage des URL
• Journal de filtrage des données
• Journal de hanche Match

Ces raccourcis sont avérer utiles lorsque vous souhaitez visitez directement les journaux menace, mais ne veulent pas cliquez sur surveiller > menace des journaux.

2. Application

La première section, que vous allez voir est la section de l’Application.

Cette section affiche des informations organisées selon la sélection du menu. Informations comprennent le nombre de séances, octets émis et reçus, le nombre de menaces, catégorie d’application, application sous-catégories, technologie d’application et niveau de risque, selon le cas.

Les sous-catégories suivantes sont disponibles en utilisant le menu déroulant à droite :

• Applications
• Applications à haut risque
• Catégories
• Sous catégories
• Technologie
• Risque

Il s’agit de la section où vous pouvez commencer à enquêter sur le trafic douteux lorsqu’il passe dans votre réseau, dedans ou dehors. En cliquant sur le nom de l’Application, ou en utilisant le menu déroulant pour voir différemment les données d’Application.

Par exemple, disons que que « msrpc » trafic est élevé, et vous voulez en savoir plus sur ce trafic. Il suffit de cliquer sur MSRPC et vous verrez ce qui suit:

• Informationssur l'application — informations générales sur l'application, y compris son nom, sa description et toutes les autres informations spécifiques à cette application et son mode de communication.
• Top Applications — montre les informations de session et octets
• Principales Sources
• Meilleures Destinations
• Principaux pays d’origine
• Pays de destination de choix
• Règles de sécurité
• Les Zones de pénétration supérieur
• Les Zones de sortie supérieur
• Filtrage d’URL
• Prévention des menaces
• Filtrage des données

Vous pouvez continuer à cliquer sur chaque région pour obtenir des informations plus détaillées. Parfois les informations dont vous avez besoin soient un seul clic vers le bas — plus impliqué des enquêtes pourrait se faire plus perceuse-bas pour obtenir l’information dont vous avez besoin.

3. Filtrage d’URL

Affiche des informations organisées selon la sélection du menu. Information inclut l’URL, catégorie d’URL, nombre de répétitions (nombre de fois que l’accès était la tentative, le cas échéant).

• Catégories d’URL
• URL
• Catégories d’URL bloquée
• URLs bloquées

Il s’agit d’un excellent moyen de voir à quelles catégories de filtrage URL sont utilisés.

4. Prévention des menaces

Affiche des informations organisées selon la sélection du menu. Les informations comprennent menace ID, count (nombre d’occurrences), nombre de séances et le sous-type (par exemple de la vulnérabilité), selon le cas.

Les sections suivantes sont disponibles :

• Menaces
• Types de
• Logiciels espions
• Les logiciels espions téléphone maison
• Téléchargement de logiciels espions
• Vulnérabilités
• Virus

Si vous voulez savoir sur la prévention des menaces, vous apprécierez vraiment cet article et l’information, qu'il peut vous montrer.

5. Filtrage des données

Affiche les données d’après les données de filtrage politique qui a été créée.

Les sections suivantes sont disponibles :

• Contenu/File Types
• Types de
• Noms de fichiers

Si vous utilisez le filtrage des données, c’est très pratique pour montrer rapidement combien de fichiers est créés et le nombre de répétitions de chaque type.

6. Matchs de hanche

Cette zone affiche des informations de protocole d’Information hôte tirées des GlobalProtect.

Les sections suivantes sont disponibles:
• objets hip
• profils de hanches

Si vous utilisez la hanche avec GlobalProtect, puis ce domaine peut s’avérer très utile. 

J’espère que cet article conseils & astuces vous a aidé à comprendre l’Application Command Center mieux, ainsi que vous fournir un aperçu des meilleurs moyens pour accéder et utiliser les informations de l’ACC.

Comme toujours, nous apprécions tous les commentaires et suggestions et nous sommes heureux de prendre les demandes pour les futurs conseils &

Astuces— laissez un commentaire ci-dessous.

Restez en sécurité,
Joe Delio