PAN-OS 7.1 SaaS Sichtbarkeit und Kontrolle

PAN-OS 7.1 SaaS Sichtbarkeit und Kontrolle

23742
Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:06 PM


Environment


  • Palo Alto Firewall .
  • PAN-OS 7.1 und höher.

Resolution


Software as a Service (SaaS) Provider ermöglichen es Nutzern, auf Dienste in der Cloud zuzugreifen. Vor PAN-OS 7.1 konnten Administratoren nur über allgemeine Aspekte in Bezug auf SaaS berichten.

 

 

SaaS-Anträge sind zunächst alle "nicht sanktioniert", da es keine tag in der Anmeldung gibt. A vordefinierte tag , 'Sanktion' ist konfiguriert und kann in SaaS-Anwendungen ausgewählt werden. Während jede Anwendung markiert werden kann, werden nur SaaS-Anwendungen in den SaaS-Bericht aufgenommen. Es ist nur sehr wenig Konfiguration erforderlich, und der Bericht wird beim Upgrade auf PAN-OS 7.1 ausgeführt. Alles, was in dem Bericht steht, wird als nicht genehmigte. Wenn Sie den Sanktions-Wert (oder das Entfernen) nach der Tatsache hinzufügen, tag wird der Bericht geändert, da er in Echtzeit mit der aktuellen Liste der markierten Anwendungen ausgeführt wird.

 

Sanktioniert

 

Die Anwendungsliste kann gefiltert werden, um nur Anwendungen anzuzeigen, die markiert wurden, oder indem die charakteristische Saas als Filter ausgewählt wurde.

Saas Filter

 

Eine Anwendung kann auch vor Ort markiert werden, indem Sie das Kontrollkästchen aktivieren und den tag Vorgang aus den unteren Optionen auswählen.

schnell tag oder untag

 

Anwendungen können auch von der CLI

> configure
# set application-tag dropbox tag Sanctioned
# commit

 

Nutzungsberichte können aus

  • Monitor > Saas Application use Report

Bericht Saas

 

Bericht Saas

Bericht Saas

 

A wenige Vorbehalte zu berücksichtigen:

 

  • Tags werden nicht an andere virtuelle Systeme weitergegeben: Wenn eine Anwendung auf vsys2 sanktioniert wird, wird sie nicht automatisch auf vsys1 sanktioniert.
  • Die Ausführung eines Berichts über eine einzelne Vsys wird die Berichts Ergebnisse auf diese Vsys beschränken.
  • Der Betrieb eines Berichts über "alle" virtuellen Systeme wird laufen, wird aber eine Warnung erzeugen:
    • "auf diesem Gerät sind virtuelle Systeme konfiguriert. Bitte beachten Sie, dass die Ausführung des Saas Application use Report für alle Vsys mit gemischter Anwendungs Kennzeichnung überlappende Ergebnisse hervorbringt. "
    • Beispiel:Box wird auf vsys1 sanktioniert, während Google Drive auf vsys2 sanktioniert wird. Wenn dieser Bericht für Alle Vsys ausgeführt wird, zählen Benutzer in vsys1, die Google Drive verwenden, auf "Nicht sanktioniert". Beide Anwendungen werden in beiden Abschnitten angezeigt.
    • Zu dem Bericht können "teilweise sanktionierte" Bewerbungen eines von zwei Dingen sein
      1. Auf a firewall - App wird in Vsys sanktioniert, aber nicht in A Vsys . B
      2. Auf Panaroma – Die App wird auf firewall A sanktioniert, aber nicht auf firewall B .
  • Panorama
    • Wenn Panorama ein Gerät vor 7.1 verwaltet PAN-OS wird, wird es nicht in den Aggregatbericht aufgenommen.
    • Wenn Sie einen SaaS-Bericht auf ein Gerät vor PAN-OS 7.1 übertragen, wird dieser Teil der Konfiguration ignoriert.
    • Beim Ausführen eines Berichts auf Panorama werden nur die Anwendungen verwendet, auf Panorama denen markiert ist (da jede Anwendung firewall unterschiedliche Anwendungssätze markiert hat).
  • Commit Änderungen
    • Die Listen der sanktionierten apps müssen für alle Log-Sammler auf Commit synchronisiert werden.
    • Das Ändern einer Anwendung tag erfordert einen Commit, um wirksam zu werden.
  • wanderung
    • Der vordefinierte Saas-Report ist neu und wird durch das Herabstufung-Skript entfernt.
    • Tags, die den Anwendungen hinzugefügt werden, werden bei der Herabstufung entfernt.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmmCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language