PAN-OS 7.1 SaaS 可视性和控制

软件作为服务 (SaaS) 提供程序使用户能够访问云中的服务。 在 PAN-OS 7.1 之前，管理员只能报告与 SaaS 有关的总体方面。

SaaS 应用程序最初都是"未经批准的"，因为 tag 应用程序上没有。 A 预先定义的 tag "已批准"是配置的，可以在 SaaS 应用程序中选择。 尽管可以对任何应用程序进行标记, 但 saas 报告中将只包括 saas 应用程序。 需要的配置非常少，报告将在升级到 PAN-OS 7.1 时运行。 报告中的所有内容都将显示为未经。 事后添加"已批准 tag "（或将其删除）将更改报告，因为它针对当前标记的应用程序列表实时运行。

可以筛选应用程序列表, 以仅显示已标记的应用程序或选择特性 SaaS 作为筛选器。

通过选择复选框和从底部选项中选择操作，应用程序也可以当场标记 tag 。

应用程序也可以从 CLI

> configure
# set application-tag dropbox tag Sanctioned
# commit

使用情况报告可以创建自

• 监控 > SaaS 应用程序使用情况报告

A 需要考虑的警告很少：

• 标签不会传播到其他虚拟系统：如果应用程序在vsys2上被批准， 它不会自动成为 vsys1上的认可。
• 对单个 vsys 运行报告将使报告结果缩小到该 vsys。
• 运行 "所有" 虚拟系统的报告将运行, 但会产生警告:
  • ' 此设备上配置了虚拟系统。 请注意, 运行具有混合应用程序标记的所有 Vsys 的 SaaS 应用程序使用情况报告将产生重叠的结果。
  • 示例： 盒子在 vsys1 上受到制裁， 而谷歌驱动器在 vsys2 上受到制裁。 当此报告与 All Vsys 运行时，使用 Google 驱动器的 vsys1 中的用户将计入"未经批准"。 这两个应用程序都将出现在这两个部分。
  • 在报告中, "部分批准" 应用程序可以是2件事之一
    1. 在 firewall 应用程序上是批准在维西斯， A 但不是批准在维斯 B 。
    2. 在帕纳罗马-应用程序是批准的 firewall A ，但不是在 firewall B 。

• Panorama
  • 如果 Panorama 管理设备早于 PAN-OS 7.1，则不会将其包含在聚合报告中。
  • 如果将 SaaS 报告推至 PAN-OS 7.1 之前的设备，则将忽略该配置的一部分。
  • 在运行报告时 Panorama ，仅使用标记 的 Panorama 应用程序（因为每个 firewall 应用程序可能具有不同的应用程序组标记）。
• 提交 变化
  • 批准的应用程序列表需要在提交时同步到所有日志收集器。
  • 更改应用程序 tag 需要承诺才能生效。
• 迁移
  • 预定义的 SaaS 报告是新的, 将被降级脚本删除。
  • 添加到应用程序中的标记将在降级时被删除。