PAN-OS 7.1 SaaS 可视性和控制
23752
Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:06 PM
Environment
- 帕洛阿尔托 Firewall .
- PAN-OS 7.1及以上。
Resolution
软件作为服务 (SaaS) 提供程序使用户能够访问云中的服务。 在 PAN-OS 7.1 之前,管理员只能报告与 SaaS 有关的总体方面。
SaaS 应用程序最初都是"未经批准的",因为 tag 应用程序上没有。 A 预先定义的 tag "已批准"是配置的,可以在 SaaS 应用程序中选择。 尽管可以对任何应用程序进行标记, 但 saas 报告中将只包括 saas 应用程序。 需要的配置非常少,报告将在升级到 PAN-OS 7.1 时运行。 报告中的所有内容都将显示为未经。 事后添加"已批准 tag "(或将其删除)将更改报告,因为它针对当前标记的应用程序列表实时运行。
可以筛选应用程序列表, 以仅显示已标记的应用程序或选择特性 SaaS 作为筛选器。
通过选择复选框和从底部选项中选择操作,应用程序也可以当场标记 tag 。
应用程序也可以从 CLI
> configure
# set application-tag dropbox tag Sanctioned
# commit
使用情况报告可以创建自
A 需要考虑的警告很少:
- 标签不会传播到其他虚拟系统:如果应用程序在vsys2上被批准, 它不会自动成为 vsys1上的认可。
- 对单个 vsys 运行报告将使报告结果缩小到该 vsys。
- 运行 "所有" 虚拟系统的报告将运行, 但会产生警告:
- Panorama
- 如果 Panorama 管理设备早于 PAN-OS 7.1,则不会将其包含在聚合报告中。
- 如果将 SaaS 报告推至 PAN-OS 7.1 之前的设备,则将忽略该配置的一部分。
- 在运行报告时 Panorama ,仅使用标记 的 Panorama 应用程序(因为每个 firewall 应用程序可能具有不同的应用程序组标记)。
- 提交 变化
- 批准的应用程序列表需要在提交时同步到所有日志收集器。
- 更改应用程序 tag 需要承诺才能生效。
- 迁移
- 预定义的 SaaS 报告是新的, 将被降级脚本删除。
- 添加到应用程序中的标记将在降级时被删除。