Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
提示与技巧: 如何使用应用程序指挥中心 (ACC) - Knowledge Base - Palo Alto Networks

提示与技巧: 如何使用应用程序指挥中心 (ACC)

160584
Created On 09/25/18 19:45 PM - Last Modified 06/07/23 04:20 AM


Resolution


本周的提示与技巧看应用程序命令中心 (ACC),提供通过您的防火墙的网络流量可视性。行政协调会有时会忽略里面的密码,但它是一个非常强大的工具来帮助你管理和查看通过您的网络的通信量。

 

: 我将向您展示关于5.0、6.0 和6.1 的泛型 OS 的 ACC. 潘 OS 7.0 更改外观和感觉的接口,而我将涵盖在另一个网段的提示与技巧。

 

为了了解更多有关行政协调会,我们将探讨以下几个方面:

  • 应用指挥中心 (ACC) 是什么?
  • 零件的应用指挥中心 (ACC) 和如何从行政协调会获得更多的信息

 

应用指挥中心 (ACC) 是什么?

应用指挥中心 (ACC) 页面视觉上描划趋势和交通网络上的历史视图。它显示所有网络流量、风险水平和为您的网络上最活跃、最高风险的应用程序检测到的威胁的数量和数目从繁忙的应用程序类别和所有检测到的威胁的总体风险级别每个风险级别的应用程序。行政协调会也可以查看过去一小时、天、周、月或任何自定义的时间框架。


风险水平 (1 = 最低至 5 = 最高) 指示应用程序的相对的安全风险,基于标准,例如应用程序是否可以共享文件,很容易被滥用,或试图规避防火墙。


零件的应用指挥中心 (ACC) 和如何从行政协调会获得更多的信息

 

我们将开始与仪表板选项卡:

 

acc 风险因素 WebGUI 中的 "
仪表板" 选项卡上, 您将看到 acc 风险因素.

2015-10-27 tnt 1.jpg

此信息显示在最后 60 分钟内,根据行政协调会选项卡内的信息风险因素。

 
这是一位将军 '威胁温度' 的交通。如果你找到了比正常人高,然后可以使用主要行政协调会,向下钻取和调查什么导致的温度要比正常人高。

 

如果你想要看到这一点,并且它不你的仪表板页面上显示,使其从仪表板 > 小部件 > 应用 > 行政协调会的危险因素。

 

顶级应用程序
如果启用了此小部件, 您还将看到 "顶级应用程序".

2015-10-27 tnt 2.jpg

这个小部件显示与大多数会话的应用程序。块大小指示会话 (鼠标滑过要查看编号的块) 的相对数量和颜色表示安全风险 — — 从绿色 (最低) 至红色 (最高)。单击应用程序以查看其应用程序的信息,以及充分的击穿该应用程序已经过 ACC 内页。

 


这是一个很好的方式来查看应用程序在使用一目了然。
如果你想看到这一点, 它可以从仪表板 >> 小部件 >> 应用程序 > 顶级应用程序启用.
2015-10-27 tnt 3.jpg

 

现在, 让我们进入 acc 选项卡:
在 acc 选项卡上, 您将看到组成应用程序命令中心的以下部分:

  1. 时间按/顶 (在窗口的顶部)
  2. 应用程序 
  3. URL 筛选
  4. 威胁预防
  5. 数据筛选
  6. 髋关节的比赛

 

1。时间/排序由 / 顶

在窗口的顶部,你会看到这个时间由 / 顶选项。
2015-10-27 tnt 4.jpg

这可以控制所有的显示选项里面的协调

 

  • 时间-您可以选择从最近15分钟到最后一个日历月份甚至自定义选项的时间范围.  默认值是最后一个小时。
  • 顺序排序-您可以按会话、字节或威胁的数量降序排列图表. 默认值是由会话的数量。
  • 顶部-您有一个选项, "顶部" 的数字显示每节. 这范围从 5 到 500。默认值为 25。
  • 绿色箭头使您的选择生效.
  • 最后,绿色加号是一个可以应用的 Set 筛选器选项, 它允许您筛选 bt 应用程序、源或目标 IP、源或目标用户、计算机名称、臀部、源或目标区域、风险和 URL 类别.

注:行政协调会的其他2个部分, 我没有文件与屏幕截图-t嘿嘿如下:

  • 虚拟系统-如果定义了虚拟系统, 您可以从下拉列表中选择它.
  • 数据源(仅用于全景)-选择用于生成通信趋势图形显示的数据源。新安装的默认数据源为全景图;全景图使用受控设备转发的日志. 读取和显示的数据从托管设备聚合的视图,你现在必须切换全景到远程设备数据的来源。 
    在升级过程中,默认的数据源是远程设备数据。

添加筛选器进来如果你正在寻找特定交通方便。

 

注意:在右上角还会看到相同的 ACC 风险因子, 以及一组5图标.
2015-10-27 tnt 4a.jpg

 

图标是快捷方式,日志,按以下顺序:

  • 交通日志
  • 威胁日志
  • URL 过滤日志
  • 数据筛选日志
  • 髋关节比赛日志


这些快捷方式派上用场当你想要直接跳转到的威胁的日志,但不是想在监视器上单击 > 累计日志。

 

2。应用程序

 

您将看到的第一节是应用程序部分。

2015-10-27 tnt 5.jpg

 

此部分显示的菜单中选择组织的信息。信息包括会话、传输和接收的字节数的威胁、应用类别、子类别中的应用、应用技术及风险水平,作为适用的数目。

2015-10-27 tnt 6.jpg
下面的这些子类通过使用下拉按钮的右侧是可用的:

  • 应用程序
  • 高风险的应用
  • 类别
  • 子类别
  • 技术
  • 风险


这是在那里你可以开始调查可疑通信量,当它穿过你的网络,或缩小的部分。通过单击应用程序名称,或使用下拉来看看应用程序数据以不同的方式。

 

例如,让我们说,'msrpc' 流量很高,并且想要知道更多关于这的交通。只需单击msrpc , 您将看到以下内容:
2015-10-27 tnt 7.jpg

  • 应用程序信息-有关应用程序的一般信息, 包括其名称、说明以及专门用于此应用程序的所有其他信息及其通信方式.
  • 最热门的应用程序 — — 显示会话和字节信息
  • 顶尖的来源
  • 目标排名
  • 最多的来源国
  • 顶级目的地国
  • 顶级安全规则
  • 顶级入口区域
  • 顶级出口区域
  • URL 筛选
  • 威胁预防
  • 数据筛选


你可以继续单击每个区域以获取更详细的信息。有时你需要的信息是只有一个点击下来 — — 更多涉及调查采取可能使更多的钻起伏,获得你需要的信息。

 

3。URL 筛选

2015-10-27 tnt 8.jpg
显示的信息组织的菜单选择。信息包含的 URL,URL 类别,重复计数 (次数访问是未遂,如适用)。

  • URL 类别
  • Url
  • 已阻止的 URL 类别
  • 被阻止的 Url


这是一个伟大的方式来查看哪些 URL 过滤类别的使用。

 

4。威胁预防

2015-10-27 tnt 9.jpg
显示的信息组织的菜单选择。信息包括威胁 ID、计数 (次数)、会话的数量和子类型 (如漏洞),作为适用。

以下各节是可用的:

  • 威胁
  • 类型
  • 间谍程序
  • 间谍软件电话回家
  • 间谍软件下载
  • 漏洞
  • 病毒


如果你想要知道关于威胁预防,你会很欣赏这一节,它可以显示你的信息。

 

5。数据筛选

2015-10-27 tnt 10.jpg
显示数据的数据过滤已创建的策略。

以下各节是可用的:

  • 内容/文件类型
  • 类型
  • 文件名称

如果您使用数据筛选,这来方便,快速显示创建多少个文件和每个类型的重复次数。

 

6。髋关节的比赛

2015-10-27 tnt 11.jpg
此区域显示收集从 GlobalProtect 的主机信息协议信息。

以下部分可供选择:
·臀部物体
·髋关节外形

 

如果您使用与 GlobalProtect 的臀部,这一领域可以证明很有帮助。 

 

 

我希望本文提示与技巧能帮助你了解应用程序命令中心更好,为您提供一些见解,更好的方法来访问和使用中的协调的信息

 

一如往常,我们欢迎所有的反馈和建议,我们很高兴地请求作出未来的提示 &

技巧-在下面留下评论.

 

保持安全,
乔罗西

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcvCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language