Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Jak vytvořit výjimky nebo zahrnutí v konzoli VMware Carbon Black Cloud

Shrnutí: Podle následujících pokynů lze v konzoli VMware Carbon Black nakonfigurovat výjimky a zahrnutí.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

Konzole VMware Carbon Black používá pravidla reputace a oprávnění ke zpracování výjimek antivirové ochrany nové generace NGAV (schválené seznamy) a zahrnutí (zakázané seznamy). Konzole VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise používají funkci rozpoznávání a reakce koncových bodů (EDR). Funkce EDR je také ovlivněna pravidly reputace a oprávnění. Tento článek provede správce nastavením těchto hodnot a případnými relevantními překážkami.


Dotčené produkty:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Dotčené operační systémy:

Windows
Mac
Linux


 

Představení konzole VMware Carbon Black, 3. část: Zásady a skupiny

Délka: 3:37
Titulky: K dispozici ve více jazycích

Konzole VMware Carbon Black Cloud využívá kombinaci zásadreputace k určení toho, jaké operace budou provedeny.

Další informace získáte po kliknutí na příslušné téma.

Zásady VMware Carbon Black Cloud Prevention se liší od zásad VMware Carbon Black Cloud Standard, Advanced a Enterprise. Další informace získáte po kliknutí na příslušný produkt.

Konzole VMware Carbon Black Cloud Prevention poskytuje zjednodušený přístup k pravidlům oprávnění a také k pravidlům blokování a izolace, protože nepoužívá funkci EDR.

Poznámka: Další možnosti jsou obsaženy v konzolích VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise. Informace o dalších možnostech, které ovlivňují funkci EDR, naleznete v části Standard, Advanced a Enterprise tohoto článku.

Další informace získáte po kliknutí na příslušné téma.

Pravidla oprávnění určují, jako operace mohou aplikace na určených cestách provádět.

Pravidla oprávnění jsou založena na cestě a mají přednost před pravidly blokování, izolace a reputace.

Vytvoření pravidla oprávnění:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlásit se

  1. V levém podokně klikněte na položku Enforce.

Enforce

  1. Klikněte na položku Policies.

Policies

  1. Vyberte zásadu, kterou chcete změnit.

Výběr sady zásad

Poznámka: Na ukázkových obrázcích je k úpravě vybrána sada zásad Standard.
  1. V pravém podokně klikněte na položku Prevention.

Prevention

  1. Kliknutím rozbalte položku Permissions.

Oprávnění

  1. Kliknutím rozbalte možnost Add application path.

Add application path

  1. Vyplňte požadovanou cestu, pro kterou chcete nastavit oprávnění.

Nastavení obejití

Poznámka:
  • Na ukázkovém obrázku jsou uvedeny následující cesty:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • V tomto příkladu mají použité akce vliv na všechny soubory na všech discích, které obsahují cesty \program files\dell\dell data protection\\programdata\dell\dell data protection\.
  • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
  • Jsou podporovány proměnné prostředí, jako je %WINDIR%.
  • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
  • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad zadaným umístěním nebo souborem nebo pod nimi.
  • Příklady:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. V části Action vyberte akci, kterou chcete vynutit.

Výběr akce

Poznámka:
  • Na ukázkovém obrázku je zobrazeno, jak výběrem možnosti Allow nebo Bypass dojde k přiřazení různých akcí k pokusům o operaci.
  • Je-li vybrán pokus o operaci Performs any operation, dojde k přepsání jakéhokoliv jiného pokusu o operaci a zakázání výběru jakékoli jiné možnosti.
  • Definice akcí:
    • Allow – Umožňuje chování v zadané cestě a konzole VMware Carbon Black Cloud zaprotokoluje informace o akci.
    • Bypass – V zadané cestě je povoleno veškeré chování. Nejsou shromažďovány žádné informace.
  1. Klikněte na tlačítko Save vpravo nahoře nebo v dolní části stránky.

Save

Pravidla blokování a izolace jsou založena na cestě a mají přednost před reputací. Pravidla blokování a izolace umožňují nastavit akci „Deny operation“ nebo „Terminate process“, když se pokusíte o konkrétní operaci.

Vytvoření pravidla blokování a izolace:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlášení

  1. V levém podokně klikněte na položku Enforce.

Enforce

  1. Klikněte na položku Policies.

Policies

  1. Vyberte zásadu, kterou chcete změnit.

Výběr sady zásad

Poznámka: Na ukázkových obrázcích je k úpravě vybrána sada zásad Standard.
  1. V pravém podokně klikněte na položku Prevention.

Prevention

  1. Kliknutím rozbalte položku Blocking and Isolation.

Blocking and Isolation

  1. Vyplňte cestu aplikace, pro kterou chcete nastavit pravidlo blokování a izolace.

Vyplnění cesty aplikace

Poznámka:
  • Na ukázkovém obrázku je uveden soubor excel.exe.
  • Sada akcí platí pro aplikaci s názvem excel.exe spuštěnou z libovolného adresáře.
  • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
  • Jsou podporovány proměnné prostředí, jako je %WINDIR%.
  • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
  • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad zadaným umístěním nebo souborem nebo pod nimi.
  • Příklady:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Klikněte na tlačítko Save v pravém horním rohu.

Save

Poznámka: Akce Terminate process ukončí proces, jakmile se zadaná operace pokusí spustit.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise nabízejí možnosti s pravidly oprávnění a také pravidla blokování a izolace z důvodu zahrnutí EDR.

Další informace získáte po kliknutí na příslušné téma.

Pravidla oprávnění určují, jako operace mohou aplikace na určených cestách provádět.

Pravidla oprávnění jsou založena na cestě a mají přednost před pravidly blokování, izolace a reputace.

Vytvoření pravidla oprávnění:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlásit se

  1. V levém podokně klikněte na položku Enforce.

Enforce

  1. Klikněte na položku Policies.

Policies

  1. Vyberte zásadu, kterou chcete změnit.

Výběr sady zásad

Poznámka: Na ukázkových obrázcích je k úpravě vybrána sada zásad Standard.
  1. V pravém podokně klikněte na položku Prevention.

Prevention

  1. Kliknutím rozbalte položku Permissions.

Oprávnění

  1. Kliknutím rozbalte možnost Add application path.

Add application path

  1. Vyplňte požadovanou cestu, pro kterou chcete nastavit oprávnění.

Vyplnění cesty

Poznámka:
  • Na ukázkovém obrázku jsou uvedeny následující cesty:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • V tomto příkladu budou mít provedené akce vliv na všechny soubory na všech jednotkách obsahujících cesty \program files\dell\dell data protection\ a \programdata\dell\dell data protection\.
  • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
  • Jsou podporovány proměnné prostředí, jako je %WINDIR%.
  • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
  • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad zadaným umístěním nebo souborem nebo pod nimi.
  • Příklady:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. V části Action vyberte akci, kterou chcete vynutit.

Výběr akce

Poznámka:
  • Na ukázkovém obrázku je zobrazeno, jak výběrem možnosti Allow, Allow & Log nebo Bypass dojde k přiřazení různých akcí k pokusům o operaci.
  • Je-li vybrán pokus o operaci Performs any operation, dojde k přepsání jakéhokoliv jiného pokusu o operaci a zakázání výběru jakékoli jiné možnosti.
  • Každá akce kromě Performs any operation může být použita pro více pokusů o operaci.
  • Definice akcí:
    • Allow – Umožňuje chování v zadané cestě, přičemž žádné z tohoto chování není zaprotokolováno. Do konzole VMware Carbon Black Cloud se neodešlou žádná data.
    • Allow & Log – Umožňuje chování v zadané cestě, zaprotokolují se všechny aktivity. Do konzole VMware Carbon Black Cloud se odešlou všechna data.
    • Bypass – V zadané cestě je povoleno veškeré chování, nic se neprotokoluje. Do konzole VMware Carbon Black Cloud se neodešlou žádná data.
  1. Kliknutím na možnost Confirm ve spodní části stránky Permissions nastavíte změnu zásad.

Confirm

  1. Klikněte na tlačítko Save v pravém horním rohu.

Save

Pravidla blokování a izolace jsou založena na cestě a mají přednost před reputací. Pravidla blokování a izolace umožňují nastavit akci „Deny operation“ nebo „Terminate process“, když se pokusíte o konkrétní operaci.

Vytvoření pravidla blokování a izolace:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlásit se

  1. V levém podokně klikněte na položku Enforce.

Enforce

  1. Klikněte na položku Policies.

Policies

  1. Vyberte zásadu, kterou chcete změnit.

Výběr sady zásad

Poznámka: Na ukázkových obrázcích je k úpravě vybrána sada zásad Standard.
  1. V pravém podokně klikněte na položku Prevention.

Prevention

  1. Kliknutím rozbalte položku Blocking and Isolation.

Blocking and Isolation

  1. Kliknutím rozbalte možnost Add application path.

Add application path

  1. Vyplňte cestu aplikace, pro kterou chcete nastavit pravidlo blokování a izolace.

Vyplnění cesty aplikace

Poznámka:
  • Na ukázkovém obrázku je uveden soubor excel.exe.
  • Sada akcí platí pro aplikaci s názvem excel.exe spuštěnou z libovolného adresáře.
  • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
  • Jsou podporovány proměnné prostředí, jako je %WINDIR%.
  • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
  • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad zadaným umístěním nebo souborem nebo pod nimi.
  • Příklady:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. V části Action vyberte akci, která má být provedena při pokusu o operaci, a klikněte na tlačítko Confirm.

Výběr akce

  1. Klikněte na tlačítko Save v pravém horním rohu.

Save

Poznámka:
  • Akce Deny operation zabrání uvedené aplikaci v provedení zadané operace.
  • Akce Terminate process ukončí proces, jakmile se zadaná operace pokusí spustit.

Konzole VMware Carbon Black přiřadí reputaci každému souboru spuštěnému v zařízení s nainstalovaným snímačem. Předem připravené soubory mají nejdříve efektivní reputací LOCAL_WHITE, dokud je nespustíte nebo dokud je nezpracuje skenování na pozadí a soubory nezískají konečnou reputaci.

Můžete přidat aplikaci do seznamu reputace pomocí možnosti Add an Application to the Reputation List nebo si přečtěte popisy reputace v části Popisy reputace. Další informace získáte po kliknutí na příslušné téma.

Aplikace může být přidána na seznam reputace prostřednictvím stránky Reputations nebo Alerts. Další informace získáte po kliknutí na příslušnou možnost.

Přidání aplikace na seznam reputací prostřednictvím stránky Reputations:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlásit se

  1. V levém podokně klikněte na položku Enforce.

Enforce

  1. Klikněte na možnost Reputation.

Reputace

Správce může přidat aplikaci do seznamu reputací pomocí hashe SHA256, IT nástroje nebo podpisového certifikátu. Další informace získáte po kliknutí na příslušnou možnost.

Poznámka: Soubory musí být známé konzoli VMware Carbon Black Cloud, což znamená, že jsou viditelné v prostředí a hash SHA256 je zpracován konzolí VMware Carbon Black Cloud. Než se nové aplikace stanou známými pro konzoli VMware Carbon Black Cloud, může to po prvotním rozpoznání chvíli trvat. To může vést k tomu, že seznam Approved List nebo Banned List nebude okamžitě přiřazen k dotčenému souboru.

Ruční přidání hashe SHA256:

  1. Klikněte na tlačítko Add.

Přidání

  1. V nabídce Add Reputation:
    1. V poli Type vyberte možnost Hash.
    2. V poli List vyberte možnost Approved List nebo Banned List.
    3. Zadejte hash SHA-256.
    4. Do pole Name zadejte název položky.
    5. Volitelně můžete do pole Comments uvést komentář.
    6. Klikněte na tlačítko Save.

Nabídka Add Reputation

Poznámka:
  • Možnost Approved List automaticky nastaví reputaci všech dotčených a známých souborů na Company Approved.
  • Možnost Banned List automaticky nastaví reputaci všech dotčených a známých souborů na Company Banned.

Ruční přidání IT nástroje:

  1. Klikněte na tlačítko Add.

Přidání

  1. V nabídce Add Reputation:
    1. V poli Type vyberte možnost IT Tools.
    2. Do pole Path of trusted IT tool vyplňte relativní cestu důvěryhodného IT nástroje.
    3. Volitelně můžete vybrat možnost Include all child processes.
    4. Volitelně můžete do pole Comments uvést komentář.
    5. Klikněte na tlačítko Save.

Nabídka Add Reputation

Poznámka:
  • IT nástroje lze přidat pouze do seznamu Approved List. Možnost Approved List automaticky nastaví reputaci všech dotčených a známých souborů na Local White.
  • Upozorňujeme, že výběrem možnosti Include all child processes obdrží počáteční důvěru také všechny soubory zahozené podřízenými procesy nově definovaného důvěryhodného IT nástroje.
  • Relativní cesty pro IT nástroje lze určit definovanou cestou.

Příklad:

V následujících příkladech je cesta důvěryhodného IT nástroje nastavena na:

  • \sharefolder\folder2\application.exe

Pokud se správce pokusí soubor spustit v těchto umístěních, vyloučení proběhne úspěšně:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Pokud se správce pokusí spustit soubor v těchto umístěních, vyloučení selže:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

V neúspěšných příkladech nelze cestu najít.

Ruční přidání podpisového certifikátu:

  1. Klikněte na tlačítko Add.

Přidání

  1. V nabídce Add Reputation:
    1. V poli Type vyberte možnost Certs.
    2. Vyplňte pole Signed by.
    3. Volitelně můžete do pole Certificate Authority zadat certifikační autoritu.
    4. Volitelně můžete do pole Comments uvést komentář.
    5. Klikněte na tlačítko Save.

Nabídka Add Reputation

Poznámka:

Přidání aplikace na seznam reputací prostřednictvím stránky Alerts:

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
Poznámka: [REGION] = region nájemce
  1. Přihlaste se do konzole VMware Carbon Black Cloud.

Přihlásit se

  1. Klikněte na položku Alerts.

Alerts

  1. Vyberte šipku vedle výstrahy, pro kterou chcete aplikaci schválit.

Výběr výstrahy

  1. Klikněte na možnost Show All v podčásti Remediation.

Show all

  1. Kliknutím na tlačítko Add přidejte soubor na seznam Banned List nebo Approved List podle toho, zda je hash nedůvěryhodný či důvěryhodný.

Přidání souboru na seznam zakázaných nebo schválených položek

Poznámka: Podpisový certifikát lze přidat tak, aby ostatní aplikace, které tento certifikát sdílejí, byly automaticky přidány na místní seznam schválených položek.
Priorita Reputace Hodnota vyhledání reputace Popis
1 Ignore IGNORE Vlastní kontrola reputace, kterou služba Carbon Black Cloud přiřazuje souborům produktů a uděluje jim plné oprávnění ke spuštění.
  • Nejvyšší priorita
  • Soubory mají plná oprávnění ke spuštění od konzole Carbon Black, obvykle produkty Carbon Black.
2 Company Approved List COMPANY_WHITE_LIST Hashe ručně přidané na seznam Company Approved List pomocí možnosti Enforce > Reputations.
3 Company Banned List COMPANY_BLACK_LIST Hashe ručně přidané na seznam Company Banned List pomocí možnosti Enforce > Reputations.
4 Trusted Approved List TRUSTED_WHITE_LIST Položky z cloudu, místního skeneru nebo obou dvou, kterým konzole Carbon Black důvěřuje.
5 Known Malware KNOWN_MALWARE Položky z cloudu, místního skeneru nebo obou dvou, kterým konzole Carbon Black nedůvěřuje.
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Podezřelý malware rozpoznaný konzolí Carbon Black, který však nemusí být nutně škodlivý.
7 Adware/PUP Malware ADWARE PUP Adware a potenciálně nežádoucí programy rozpoznané konzolí Carbon Black.
8 Local White LOCAL_WHITE Soubor splnil některou z následujících podmínek:
  • Přítomnost souborů před instalací snímače.
  • Soubory byly přidány na seznam Approved List v nabídce IT Tools pomocí možností Enforce > Reputations.
  • Soubory byly přidány na seznam Approved List v nabídce Certs pomocí možností Enforce > Reputations.
9 Common Approved List COMMON_WHITE_LIST Soubor splnil některou z následujících podmínek:
  • Hash není uveden na žádném seznamu důvěryhodných či nedůvěryhodných položek a soubor je podepsán.
  • Hash již byl analyzován, není však na žádném seznamu důvěryhodných či nedůvěryhodných položek.
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST Reputace Not Listed znamená, že jakmile snímač zkontroluje hash aplikace pomocí místního skeneru nebo cloudu, není možné nalézt žádný záznam – není uveden v databázi reputace.
  • Cloud: Hash se vyskytl poprvé.
  • Místní skener: Není nedůvěryhodný, nakonfigurován v zásadách.
11 Unknown RESOLVING Reputace Unknown znamená, že neexistuje žádná odpověď z žádného zdroje reputace, který snímač používá.
  • Nejnižší priorita
  • Snímač sleduje pokles souborů, ale zatím nemá přiřazenou reputaci z cloudu nebo místního skeneru.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Další informace

   

Videa

 

Dotčené produkty

VMware Carbon Black
Vlastnosti článku
Číslo článku: 000182859
Typ článku: How To
Poslední úprava: 04 Jan 2023
Verze:  32
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.