概述
在使用第三方供应商配置GlobalProtect MDM时，将发送的有效载荷中的VendorConfig密钥是可配置的。

详情
用户可以发送的可用的密钥是：

• 只应用层面 （OnlyAppLevel）
  仅用于iOS 7设备，值为'1'意味着VPN配置配置文件仅是Per-App VPN，而值为'0'意味着配置文件支持设备级VPN以及Per-App VPN。
  在iOS 8中，Per-App VPN和设备级VPN根据配置文件的有效载荷类型被放入设备上独立的VPN配置组，因此不再需要此配置。
• 允许门户配

问题

Hub上的Prisma 云图标对于新用户不可见

环境

Prisma云

步骤

1. 添加用户访问Prisma云需要在3个地方完成。APP账户管理员只能为用户分配/添加角色。
2. 在Prisma Cloud控制台中添加用户，并指定角色和权限。在 设置 > 用户，然后 设置 > 角色 下
   使用这个链接来分配用户的角色和权限。
   该应用程序从Prisma云控制台摄取所有活动用户。选择方块，由用户的电子邮件，所以分配角色的按钮将解锁为蓝色。然后，账户管理员将可以为该用户分配角色等。

1. 在 "sup

解决方案

目录

概述

本文件描述了Palo Alto Networks防火墙上安全策略的基本原理。

所有穿越Palo Alto Networks防火墙数据平面的流量都与安全策略相匹配。这不包括来自防火墙管理界面的流量，因为在默认情况下，这种流量不会通过防火墙的数据平面。防火墙上的安全策略可以使用各种标准来定义，如区域、应用、IP地址、端口、用户和HIP配置文件。防火墙管理员可以定义安全策略以允许或拒绝流量，从区域作为广泛的标准开始，然后用更细化的选项如端口、应用程序和HIP配置文件来微

症状

让我为你解决这个问题。数据包捕获-

管理员在完成安全策略的杰作后几分钟遇到的一个典型情况是：为什么自从安装了新的网络设备后，一些不起眼的应用程序表现得很奇怪。这就是故障排除的开始。

在过去几期中，我们检查了several aspects of how to configure your firewall 并从头开始设置它。

管理员可以使用的更高级的工具之一是执行数据包捕获和查看会话计数器的能力。

注意：文章中讨论的一些细节将导致性能影响。如果你不确定，请与Palo Alt

环境

Global Protect设置

解决办法

本文介绍了在GlobalProtect设置中配置证书的基本知识。请注意，为GlobalProtect部署证书可能有其他方法，本文没有涉及。

1. SSL/TLS服务配置文件 - 指定门户/网关服务器证书，每个门户/网关都需要一个。
2. 证书配置文件（若有）- 由门户/网关用于请求客户端/机器证书。
3. 在终端客户机上安装客户机/机器证书

A. SSL/TLS服务配置文件

在GlobalProtect中，该配置文件用于指定GlobalProtect门户

现象：

• 新租户拥有活跃的Prisma云和计算许可证。
• 用户有系统管理权限。
• 然而，用户无法访问Prisma云计算部分，出现错误 "您的Prisma云计算控制台配置失败。请联系您的Palo Alto Networks客户服务团队"。

环境：

• Prisma Cloud Enterprise Edition (SAAS)

原因：

• 这很可能是租户ID在后台的CSP ID问题。

解决方案：

• 通过PCSUP（JIRA）与工程团队联系，更新面临该问题的相关租户ID的CSP ID。
• 这将更新后台的计算模块以解决这个

总结：

这篇文章描述了BTP警报的情况，它的规则名称如下。
bioc.vulnerable_driver_dropped_$name
bioc.sync.vulnerable_driver_loaded_$name
bioc.sync.vulnerable_driver_by_original_name_loaded_$name
bioc.sync.vulnerable_driver_by_signer_name_loaded_$name
bioc.sync.malicious_driver_by_si

关于Cortex XDR状态和计划维护活动的信息可以在以下网站找到： https://status.paloaltonetworks.com
该页面提供Palo Alto Networks云服务的状态信息。这意味着你也能找到其他云服务的信息，如Cortex数据湖和云身份引擎。

其他信息
状态页面的右上角是订阅更新的选项，它将有以下选项。
当Palo Alto Networks云服务创建、更新或解决一个事件时，获得电子邮件通知。
每当Palo Alto Networks云服务创建或解决一个事件时，获

客户的任何产品功能要求都应该被引导到他们的SE（销售工程师）那里。

新的请求可以被提交和实施，待定的请求可以在下面的链接中查看。 有关功能请求的任何信息都不应与客户分享，任何疑问都应直接向SE提出。

http://intranet2.paloaltonetworks.local/requests/

解决方案

在你按照入门系列的前几篇文章设置了你的防火墙后，你可能需要开始设置服务器。除非你拥有一个足够大的公共IP子网来承载你所有的内部主机，下面的详细信息将指导你如何配置网络地址转换（NAT）或端口地址转换（PAT），使主机可以从外部到达，或使用一个特定的IP去到互联网。

在这一部分中，我将讨论，在确定如何配置NAT或PAT以最好地满足你的需要时，可能会用到的一些情况，并提出一些需要注意的事项。

多对一（Many-to-One），Hide NAT，源NAT（Source NAT

决议
我的防火墙还能做什么？识别用户。

让我们仔细看看有哪些选项可以通过用户的用户名来识别用户，以及可以用这些信息做什么。我们将查看User-ID客户端的配置，并将其与无客户端部署进行比较，设置俘虏式门户，并准备在安全策略中使用组映==射。

准备Windows

在你开始工作之前，请下载用户识别代理。它可以在Support Portal网站的软件更新下找到。下载完安装程序后，我们建议将其安装在你的活动目录服务器上，但如果你喜欢使用不同的服务器，这并不是严格的要求。由于Windows服务器上的U

解决方案

概述

本文介绍了如何创建自定义URL分类列表，在URL过滤配置文件中使用该列表，然后应用在安全策略的步骤。

操作步骤
1.PAN-OS 8.1及以上版本，进入“OBJECTS” > “自定义对象”>“URL类别”并点击“添加”。

2.填写名称、说明并选择类型。 类型分为URL list和Category Match。每行输入一个条目。
注意：URL的列表也可以从文件中导入。

将自定义类别应用于URL过滤配置文件。

1.进入 "Objects">"安全配置文件

解决办法：

我的防火墙还能做什么？自定义应用程序和应用程序覆盖!

根据你的环境，你可能有自定义创建的专有应用程序或你只想用自定义名称识别的流量。你可能正在运行一个通常被Palo Alto Networks防火墙识别为网络浏览的网络服务，使你更难创建报告，或者你可能想将QoS应用于使用共同App-ID的一组特定连接。

为了解决这些问题，你可以创建与流量中的某个签名相匹配的自定义App-ID，或者使用应用程序覆盖来简单地强迫某些会话被识别为你配置的应用程序。

基于签名的自定义应用程序依