Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Slik oppretter du utelatelser eller inkluderinger for VMware Carbon Black Cloud

Shrnutí: Du kan konfigurere utelatelser og inkluderinger i VMware Carbon Black ved å følge disse instruksjonene.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

VMware Carbon Black bruker regler for omdømme og tillatelse til å håndtere utelatelser (godkjente lister) og inkluderinger (svartelister) for neste generasjons antivirusprogrammer (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise bruker endpoint detection and response (EDR). EDR påvirkes også av regler for omdømme og tillatelse. Denne artikkelen leder administratorer gjennom å angi disse verdiene sammen med eventuelle begrensninger som kan være relevante.


Berørte produkter:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Berørte operativsystemer:

Windows
Mac
Linux


 

VMware Carbon Black-tilføying del 3: Policyer og grupper

Varighet: 03:37
Undertekster: Tilgjengelig på flere språk

VMware Carbon Black Cloud bruker en kombinasjon av policyer og omdømme for å bestemme hvilke operasjoner som skjer.

Klikk på det aktuelle emnet for å få mer informasjon.

VMware Carbon Black Cloud Prevention-policyer avviker fra retningslinjene for VMware Carbon Black Cloud Standard, Advanced og Enterprise. Klikk på det aktuelle produktet for mer informasjon.

VMware Carbon Black Cloud Prevention gir en strømlinjeformet tilnærming til tillatelsesregler samt blokkerings- og isoleringsregler fordi den ikke bruker EDR.

Merk: Ytterligere alternativer er inkludert i VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise. Hvis du vil ha informasjon om tilleggsalternativene som påvirker EDR, kan du se delen Standard, Avansert og Enterprise i denne artikkelen.

Klikk på det aktuelle emnet for å få mer informasjon.

Tillatelser bestemmer hvilke operasjoner applikasjoner kan utføre på angitte baner.

Tillatelsene er banebaserte og overstyrer både blokkerings- og isoleringsregler i tillegg til omdømme.

Slik oppretter du en tillatelsesregel:

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Enforce (Håndheve) i venstre menyrute.

Håndheve

  1. Klikk på Policies (Policyer).

Policyer

  1. Finn policysettet du vil endre.

Velge et policysett

Merk: Eksempelbildene bruker Standard som policysettet som skal endres.
  1. Klikk på Prevention (Forebygging) i høyre menyrute.

Forebygging

  1. Klikk for å vise Permissions (Tillatelser).

Tillatelser

  1. Klikk for å utvide Add application path (Legg til applikasjonsbane).

Legg til applikasjonsbane

  1. Fylle ut den tiltenkte banen for å sette inn en omgåelse.

Angi en omgåelse

Merk:
  • Eksempelbildet bruker følgende baner:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • I dette eksemplet påvirker handlingene som brukes, alle filer på alle stasjoner som inneholder banene \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
  • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
  • Miljøvariabler som %WINDIR% støttes.
  • Én enkelt stjerne (*) samsvarer med alle tegn i samme katalog.
  • Doble stjerne (**) samsvarer med alle tegn i samme katalog, flere kataloger og alle kataloger ovenfor eller under den angitte plasseringen eller filen.
  • Eksempler:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Velg handlingen som skal håndheves.

Velge en handling

Merk:
  • I eksempelbildet får operasjonsforsøk forskjellige handlinger ved å velge enten Allow (Tillat ) eller Bypass (Forbikoble).
  • Når operasjonsforsøket på Performs any operation (Utfør en operasjon ) er valgt, overstyrer dette alle andre operasjonsforsøk og deaktiverer valget av et annet alternativ.
  • Handlingsdefinisjoner:
    • Allow (Tillat ) – Tillater atferden i den angitte banen med informasjon om handlingen som logges av VMware Carbon Black Cloud.
    • Bypass (Omgåelse) – All atferd er tillatt i den angitte banen. Ingen informasjon samles inn.
  1. Klikk på Save (Lagre ) øverst til høyre, eller nederst på siden.

Lagre

Blokkerings- og isoleringsregler er banebasert, og de overstyrer omdømme. Blokkerings- og isoleringsregler gjør det mulig for oss å angi en "Deny operation" eller "Terminate process" (Avslutt prosess) når en bestemt operasjon forsøkes.

Slik oppretter du en blokkerings- og isoleringsregel:

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Enforce (Håndheve) i venstre menyrute.

Håndheve

  1. Klikk på Policies (Policyer).

Policyer

  1. Finn policysettet du vil endre.

Velge et policysett

Merk: Eksempelbildene bruker Standard som policysettet som skal endres.
  1. Klikk på Prevention (Forebygging) i høyre menyrute.

Forebygging

  1. Klikk for å utvide blokkering og isolering.

Blokkering og isolering

  1. Fyll ut banen til applikasjonen for å angi en blokkerings- og isoleringsregel.

Fylle ut en applikasjonsbane

Merk:
  • Eksempelbildet bruker excel.exe.
  • Det angitte handlingssettet gjelder for applikasjonen der navnet excel.exe kjørte fra en hvilken som helst katalog.
  • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
  • Miljøvariabler som %WINDIR% støttes.
  • Én enkelt stjerne (*) samsvarer med alle tegn i samme katalog.
  • Doble stjerne (**) samsvarer med alle tegn i samme katalog, flere kataloger og alle kataloger ovenfor eller under den angitte plasseringen eller filen.
  • Eksempler:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Klikk på Save (Lagre) øverst til høyre.

Lagre

Merk: Avslutte prosessen avsluttes når den angitte operasjonen prøver å kjøre.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise gir alternativer med tillatelsesregler, i tillegg til blokkerings- og isoleringsregler på grunn av inkludering av EDR.

Klikk på det aktuelle emnet for å få mer informasjon.

Tillatelser bestemmer hvilke operasjoner applikasjoner kan utføre på angitte baner.

Tillatelsene er banebaserte og overstyrer både blokkerings- og isoleringsregler i tillegg til omdømme.

Slik oppretter du en tillatelsesregel:

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Enforce (Håndheve) i venstre menyrute.

Håndheve

  1. Klikk på Policies (Policyer).

Policyer

  1. Finn policysettet du vil endre.

Velge et policysett

Merk: Eksempelbildene bruker Standard som policysettet som skal endres.
  1. Klikk på Prevention (Forebygging) i høyre menyrute.

Forebygging

  1. Klikk for å vise Permissions (Tillatelser).

Tillatelser

  1. Klikk for å utvide Add application path (Legg til applikasjonsbane).

Legg til applikasjonsbane

  1. Fylle ut den tiltenkte banen for å sette inn en omgåelse.

Fylle ut en bane

Merk:
  • Eksempelbildet bruker følgende baner:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • I dette eksemplet påvirker handlingene som brukes, alle filer på alle stasjoner som inneholder banene \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
  • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
  • Miljøvariabler som %WINDIR% støttes.
  • Én enkelt stjerne (*) samsvarer med alle tegn i samme katalog.
  • Doble stjerne (**) samsvarer med alle tegn i samme katalog, flere kataloger og alle kataloger ovenfor eller under den angitte plasseringen eller filen.
  • Eksempler:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Velg handlingen som skal håndheves.

Velge en handling

Merk:
  • I eksempelbildet gis forsøk på operasjoner forskjellige handlinger ved å velge enten Allow (Tillat), Allow & Log (Tillat og loggfør) eller Bypass (Omgå).
  • Når operasjonsforsøket Perform any operation (Utfør enhver operasjon) er valgt, overstyrer dette alle andre operasjonsforsøk og deaktiverer valg av andre alternativer.
  • Hver handling bortsett fra Perform any operation (Utfør enhver operasjon) kan brukes på flere operasjonsforsøk.
  • Handlingsdefinisjoner:
    • Allow (Tillat) – Tillater atferden i angitt bane, ingen av de angitte atferdene på banen blir logget. Ingen data sendes til VMware Carbon Black Cloud.
    • Allow & Log (Tillat og loggfør) – Tillater atferden i angitt bane, all aktivitet logges. Alle data rapporteres til VMware Carbon Black Cloud.
    • Bypass (Omgåelse) – All atferd er tillatt i den angitte banen, ingenting blir logget. Ingen data sendes til VMware Carbon Black Cloud.
  1. Klikk på Confirm (Bekreft ) nederst i Permissions (Tillatelser) for å angi policyendringen.

Bekrefte

  1. Klikk på Save (Lagre) øverst til høyre.

Lagre

Blokkerings- og isoleringsregler er banebasert, og de overstyrer omdømme. Blokkerings- og isoleringsregler gjør det mulig for oss å angi en "Deny operation" eller "Terminate process" (Avslutt prosess) når en bestemt operasjon forsøkes.

Slik oppretter du en blokkerings- og isoleringsregel:

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Enforce (Håndheve) i venstre menyrute.

Håndheve

  1. Klikk på Policies (Policyer).

Policyer

  1. Finn policysettet du vil endre.

Velge et policysett

Merk: Eksempelbildene bruker Standard som policysettet som skal endres.
  1. Klikk på Prevention (Forebygging) i høyre menyrute.

Forebygging

  1. Klikk for å utvide blokkering og isolering.

Blokkering og isolering

  1. Klikk for å utvide Add application path (Legg til applikasjonsbane).

Legg til applikasjonsbane

  1. Fyll ut banen til applikasjonen for å angi en blokkerings- og isoleringsregel.

Fylle ut en applikasjonsbane

Merk:
  • Eksempelbildet bruker excel.exe.
  • Det angitte handlingssettet gjelder for applikasjonen der navnet excel.exe kjørte fra en hvilken som helst katalog.
  • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
  • Miljøvariabler som %WINDIR% støttes.
  • Én enkelt stjerne (*) samsvarer med alle tegn i samme katalog.
  • Doble stjerne (**) samsvarer med alle tegn i samme katalog, flere kataloger og alle kataloger ovenfor eller under den angitte plasseringen eller filen.
  • Eksempler:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Velg Action (Handling) som skal utføres når operasjonsforsøket er oppfylt, og klikk deretter på Confirm (Bekreft).

Velge en handling

  1. Klikk på Save (Lagre) øverst til høyre.

Lagre

Merk:
  • Deny operation prevents the listed application from performing the specified operation that it attempted to perform (Avslåingsoperasjon hindrer den oppførte applikasjonen i å utføre den angitte operasjonen som den forsøkte å utføre).
  • Avslutte prosessen avsluttes når den angitte operasjonen prøver å kjøre.

VMware Carbon Black tilordner omdømme til hver fil som kjøres på en enhet med sensoren installert. Eksisterende filer begynner med et effektivt omdømme for LOCAL_WHITE til de kjøres eller til bakgrunnsskanningen har behandlet dem og gir et mer endelig omdømme.

Du kan enten Add an Application to the Reputation List (Legge til en applikasjon i omdømmelisten) eller se Reputation Descriptions (Omdømmebeskrivelser). Klikk på det aktuelle emnet for å få mer informasjon.

En applikasjon kan legges til i omdømmelisten enten på siden Reputations (Omdømmer) eller på siden Alerts (Varsler). Klikk på det aktuelle alternativet for mer informasjon.

Legge til en applikasjon i omdømmelisten via siden Reputations (Omdømmer):

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Enforce (Håndheve) i venstre menyrute.

Håndheve

  1. Klikk på Reputation (Omdømme).

Omdømme

En administrator kan legge til en applikasjon i omdømmelisten ved hjelp av SHA256 Hash, IT-verktøy eller signeringssertifikat. Klikk på det aktuelle alternativet for mer informasjon.

Merk: Filer må være kjent for VMware Carbon Black Cloud ved å bli sett i miljøet, og SHA256-hashkoden behandles av VMware Carbon Black Cloud. Det kan ta litt tid før nye applikasjoner blir kjent av VMware Carbon Black Cloud etter første påvisning. Dette kan føre til at godkjent-listen eller svartelisten ikke umiddelbart blir tilordnet en berørt fil.

Slik legger du til en SHA256-hashkode manuelt:

  1. Klikk på Add (Legg til).

Legg til

  1. Fra Add Reputation (Legg til omdømme):
    1. Velg Hash som type.
    2. Velg enten godkjent-listen eller svartelisten som liste.
    3. Fyll ut SHA-256 hash.
    4. Angi et Name (Navn) for oppføringen.
    5. Alternativt kan du fylle ut Comments (Kommentarer).
    6. Klikk på Save (Lagre).

Legg til omdømmemeny

Merk:
  • Godkjent liste angir automatisk at alle berørte og kjente filer skal ha et omdømme for virksomhetsgodkjent.
  • Utestengt liste angir automatisk at alle berørte og kjente filer skal ha et omdømme til selskapet utestengt.

Slik legger du til et IT-verktøy manuelt:

  1. Klikk på Add (Legg til).

Legg til

  1. Fra Add Reputation (Legg til omdømme):
    1. Velg IT Tools (IT-verktøy) som type.
    2. Fylle ut den relative banen til det klarerte IT-verktøyet.
    3. Alternativt kan du velge Include all child processes (Inkluder alle underordnede prosesser).
    4. Alternativt kan du fylle ut Comments (Kommentarer).
    5. Klikk på Save (Lagre).

Legg til omdømmemeny

Merk:
  • IT-verktøy kan bare legges til i godkjent-listen. Godkjent liste angir automatisk at alle berørte og kjente filer skal ha omdømmet til Local White.
  • Alternativet Inkluder alle underordnede prosesser . Hvis dette alternativet er valgt, vil alle filer som droppes av underordnede prosesser i det nylig definerte klarerte IT-verktøyet, også motta den første klareringen.
  • Relative baner for IT-verktøy viser at den definerte banen kan oppfylles av den definerte banebeskrivelsen.

Eksempel:

I følgende eksempler er banen til det klarerte IT-verktøyet angitt til:

  • \sharefolder\folder2\application.exe

Hvis en administrator forsøker å kjøre filen på disse plasseringene, lykkes utelatelsen:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Hvis en administrator forsøker å kjøre filen på disse plasseringene, mislykkes utelatelsen:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

I de mislykkede eksemplene kan ikke banen fullføres helt.

Slik legger du til et signeringssertifikat manuelt:

  1. Klikk på Add (Legg til).

Legg til

  1. Fra Add Reputation (Legg til omdømme):
    1. Velg Certs (Sertifikater) som type.
    2. Fylle ut feltet Signed by (Signert av).
    3. Alternativt kan du fylle ut Certificate Authority (Sertifiseringsinstans).
    4. Alternativt kan du fylle ut Comments (Kommentarer).
    5. Klikk på Save (Lagre).

Legg til omdømmemeny

Merk:

Legge til en applikasjon i omdømmelisten via siden Alerts (Varsler):

  1. Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
  1. Logg på VMware Carbon Black Cloud.

Logg på

  1. Klikk på Alerts (Varsler).

Varsler

  1. Velg vinkeltegnet ved siden av varselet du vil bruke til å godkjenne applikasjonen.

Velge varselet

  1. Klikk på Show all (Vis alle) under avsnittet Remediation (Utbedring).

Vis alle

  1. Klikk for å legge til filen enten i svartelisten eller på godkjent-listen, avhengig av om hashkoden er uklarert eller klarert.

Legge til filen i listen over utestengte eller godkjente

Merk: Signeringssertifikatet kan legges til slik at andre applikasjoner som deler dette sertifikatet, legges automatisk til i listen som er godkjent lokalt.
Prioritet Omdømme Verdi for omdømmesøk Beskrivelse
1 Ignorer IGNORERE Selvsjekk omdømme som Carbon Black Cloud tilordner produktfiler og gir dem full tillatelse til å kjøre.
  • Høyeste prioritet
  • Filer har alle tillatelser til å kjøre av Carbon Black, vanligvis Carbon Black-produkter
2 Liste over virksomhetsgodkjent COMPANY_WHITE_LIST Hash-koder lagt manuelt til i virksomhetens godkjent-liste ved å gå til Enforce (Håndheve) > Reputation (Omdømme)
3 Liste over virksomheter som er utestengt COMPANY_BLACK_LIST Hash-koder lagt manuelt til i virksomhetens svarteliste ved å gå til Enforce (Håndheve) > Reputation (Omdømme)
4 Liste over klarerte godkjente TRUSTED_WHITE_LIST Kjent som pålitelig av Carbon Black enten fra nettskyen, lokal skanner eller begge deler.
5 Kjent skadelig programvare KNOWN_MALWARE Kjent som skadelig av Carbon Black enten fra nettskyen, lokal skanner eller begge deler.
6 Mistenkt/heuristisk skadelig programvare SUSPECT_MALWARE HEURISTISK Mistenkt skadelig programvare som oppdages av Carbon Black, men som ikke nødvendigvis er skadelig
7 Reklame/PUP skadelig programvare ADWARE-PUP Reklameprogrammer og potensielt uønskede programmer som oppdages av Carbon Black
8 Godkjent lokalt LOCAL_WHITE Filen har oppfylt noen av følgende betingelser:
  • Filer som allerede eksisterer før sensoren installeres
  • Filer som legges til i godkjent-listen i IT-verktøy ved å gå til Enforce (Håndheve) > Reputation (Omdømme)
  • Filer som legges til i godkjent-listen i sertifikater ved å gå til Enforce (Håndheve) > Reputation (Omdømme)
9 Liste over godkjente fellesgodkjent COMMON_WHITE_LIST Filen har oppfylt noen av følgende betingelser:
  • Hashkoden er ikke på noen kjent godkjent-liste eller kjent svarteliste, OG filen er signert
  • Hashkoden er tidligere analysert og ikke på noen kjent godkjent-liste eller kjent svarteliste
10 Liste over ikke oppført/adaptiv godkjent NOT_LISTEDADAPTIVE_WHITE_LIST Omdømmet som ikke er oppført, indikerer at når sensoren sjekker applikasjonshash med lokal skanner eller sky, finner du ingen post om det – den er ikke oppført i omdømmedatabasen.
  • Nettsky: Hash-kode som ikke er sett tidligere
  • Lokal skanner: Ikke kjent som skadelig, konfigurert i policy
11 Ukjent LØSE Det ukjente omdømmet indikerer at det ikke er noen respons fra noen av omdømmekildene sensoren bruker.
  • Laveste prioritet
  • Sensoren observerer fildropp, men den har ennå ikke noe omdømme i nettskyen eller den lokale skanneren

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Další informace

   

Videa

 

Dotčené produkty

VMware Carbon Black
Vlastnosti článku
Číslo článku: 000182859
Typ článku: How To
Poslední úprava: 04 Jan 2023
Verze:  32
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.