Zu den Hauptinhalten
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.

Cómo crear exclusiones o inclusiones para VMware Carbon Black Cloud

Zusammenfassung: Las exclusiones e inclusiones de VMware Carbon Black se pueden configurar siguiendo estas instrucciones.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.

Weisungen

VMware Carbon Black utiliza reglas de reputación y permisos para manejar exclusiones (listas aprobadas) e inclusiones (listas prohibidas) de antivirus de última generación (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise utilizan detección y respuesta de terminales (EDR). EDR también se ve afectada por las reglas de reputación y permisos. Este artículo sirve de orientación para que los administradores puedan ajustar estos valores junto con cualquier advertencia que pueda ser pertinente.


Productos afectados:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Sistemas operativos afectados:

Windows
Mac
Linux


 

Incorporación de VMware Carbon Black parte 3: Políticas y grupos

Duración: 03:37
Subtítulos: Disponible en varios idiomas

VMware Carbon Black Cloud utiliza una combinación de políticas y reputación para determinar qué operaciones tienen lugar.

Haga clic en el tema correspondiente para obtener más información.

Las políticas de VMware Carbon Black Cloud Prevention difieren de las políticas de VMware Carbon Black Cloud Standard, Advanced y Enterprise. Haga clic en el producto correspondiente para obtener más información.

VMware Carbon Black Cloud Prevention proporciona un enfoque optimizado de las reglas de permisos, así como reglas de bloqueo y aislamiento, ya que no utiliza EDR.

Nota: Se incluyen opciones adicionales dentro de VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise. Para obtener información sobre las opciones adicionales que afectan a EDR, consulte la sección Standard, Advanced y Enterprise de este artículo.

Haga clic en el tema correspondiente para obtener más información.

Las reglas de permisos determinan las operaciones que pueden realizar las aplicaciones en las rutas especificadas.

Las reglas de permisos se basan en rutas y prevalece por sobre las reglas de bloqueo y aislamiento, además de la reputación.

Para crear una regla de permisos:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. En el panel de menú izquierdo, haga clic en Enforce.

Enforce

  1. Haga clic en Policies.

Políticas

  1. Seleccione el conjunto de políticas que desea modificar.

Selección de un conjunto de políticas

Nota: Las imágenes de ejemplo usan Standard como el conjunto de políticas elegido para modificar.
  1. En el panel de menú derecho, haga clic en Prevention.

Prevención

  1. Haga clic para ampliar Permissions.

Permisos

  1. Haga clic para ampliar Add application path.

Add application path

  1. Complete la ruta prevista en la cual establecer una omisión.

Ajuste de una omisión

Nota:
  • La imagen de ejemplo utiliza las siguientes rutas:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • En este ejemplo, las acciones que se aplican afectan a todos los archivos de todas las unidades que contienen las rutas \program files\dell\dell data protection\ y \programdata\dell\dell data protection\.
  • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
  • Soporta variables de entorno como %WINDIR%.
  • Un único asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
  • Los asteriscos dobles (**) hacen coincidir a todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o posteriores a la ubicación o el archivo especificados.
  • Ejemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Seleccione la acción que se aplicará.

Selección de una acción

Nota:
  • En la imagen de ejemplo, los intentos de operación reciben acciones diferentes mediante la selección de Allow o Bypass.
  • Cuando se selecciona el intento de operación Performs any operation, esto reemplaza a cualquier otro intento de operación y desactiva la selección de cualquier otra opción.
  • Definiciones de acción:
    • Allow: permite el comportamiento en la ruta de acceso especificada y VMware Carbon Black Cloud registra información sobre la acción.
    • Bypass: se permite todo comportamiento en la ruta especificada. No se recopila información.
  1. Haga clic en Save en la esquina superior derecha o en la parte inferior de la página.

Guardar

Las reglas de bloqueo y aislamiento se basan en rutas y prevalece por sobre la reputación. Las reglas de bloqueo y aislamiento nos permiten establecer una acción del tipo “Deny operation” o “Terminate process” cuando se intenta realizar una operación específica.

Para crear una regla de bloqueo y aislamiento:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. En el panel de menú izquierdo, haga clic en Enforce.

Enforce

  1. Haga clic en Policies.

Políticas

  1. Seleccione el conjunto de políticas que desea modificar.

Selección de un conjunto de políticas

Nota: Las imágenes de ejemplo usan Standard como el conjunto de políticas elegido para modificar.
  1. En el panel de menú derecho, haga clic en Prevention.

Prevención

  1. Haga clic para ampliar Blocking and Isolation.

Blocking and Isolation

  1. Complete la ruta de la aplicación en la cual configurar una regla de bloqueo y aislamiento.

Completar una ruta de aplicación

Nota:
  • La imagen de ejemplo utiliza excel.exe.
  • El conjunto de acciones se emplea en la aplicación con el nombre excel.exe ejecutado desde cualquier directorio.
  • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
  • Soporta variables de entorno como %WINDIR%.
  • Un único asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
  • Los asteriscos dobles (**) hacen coincidir a todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o posteriores a la ubicación o el archivo especificados.
  • Ejemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Haga clic en Save en la parte superior derecha.

Guardar

Nota: Terminate process interrumpe el proceso una vez que se intenta ejecutar la operación especificada.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise proporcionan opciones con reglas de permisos, así como reglas de bloqueo y aislamiento, debido a la inclusión de EDR.

Haga clic en el tema correspondiente para obtener más información.

Las reglas de permisos determinan las operaciones que pueden realizar las aplicaciones en las rutas especificadas.

Las reglas de permisos se basan en rutas y prevalece por sobre las reglas de bloqueo y aislamiento, además de la reputación.

Para crear una regla de permisos:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. En el panel de menú izquierdo, haga clic en Enforce.

Enforce

  1. Haga clic en Policies.

Políticas

  1. Seleccione el conjunto de políticas que desea modificar.

Selección de un conjunto de políticas

Nota: Las imágenes de ejemplo usan Standard como el conjunto de políticas elegido para modificar.
  1. En el panel de menú derecho, haga clic en Prevention.

Prevención

  1. Haga clic para ampliar Permissions.

Permisos

  1. Haga clic para ampliar Add application path.

Add application path

  1. Complete la ruta prevista en la cual establecer una omisión.

Ingreso de una ruta

Nota:
  • La imagen de ejemplo utiliza las siguientes rutas:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • En este ejemplo, las acciones que se aplican afectan a todos los archivos de todas las unidades que contengan las rutas \program files\dell\dell data protection\ y \programdata\dell\dell data protection\.
  • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
  • Se admiten variables de entorno como %WINDIR%.
  • Un único asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
  • Los asteriscos dobles (**) hacen coincidir a todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o posteriores a la ubicación o el archivo especificados.
  • Ejemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Seleccione la acción que se aplicará.

Selección de una acción

Nota:
  • En la imagen de ejemplo, los intentos de operación reciben acciones diferentes si selecciona Allow, Allow & Log o Bypass.
  • Cuando se selecciona el intento de operación Performs any operation, esto reemplaza a cualquier otro intento de operación y desactiva la selección de cualquier otra opción.
  • Todas las acciones, excepto Performs any operation, se pueden aplicar a varios intentos de operación.
  • Definiciones de acción:
    • Allow: permite el comportamiento en la ruta especificada, no se registra nada del comportamiento especificado en la ruta. No se envían datos a VMware Carbon Black Cloud.
    • Allow & Log: permite el comportamiento en la ruta especificada; se registra toda la actividad. Todos los datos se informan a VMware Carbon Black Cloud.
    • Bypass: se permite todo comportamiento en la ruta especificada; no se registra nada. No se envían datos a VMware Carbon Black Cloud.
  1. Haga clic en Confirm en la parte inferior de Permissions para establecer el cambio de política.

Confirmar

  1. Haga clic en Save en la parte superior derecha.

Guardar

Las reglas de bloqueo y aislamiento se basan en rutas y prevalece por sobre la reputación. Las reglas de bloqueo y aislamiento nos permiten establecer una acción del tipo “Deny operation” o “Terminate process” cuando se intenta realizar una operación específica.

Para crear una regla de bloqueo y aislamiento:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. En el panel de menú izquierdo, haga clic en Enforce.

Enforce

  1. Haga clic en Policies.

Políticas

  1. Seleccione el conjunto de políticas que desea modificar.

Selección de un conjunto de políticas

Nota: Las imágenes de ejemplo usan Standard como el conjunto de políticas elegido para modificar.
  1. En el panel de menú derecho, haga clic en Prevention.

Prevención

  1. Haga clic para ampliar Blocking and Isolation.

Blocking and Isolation

  1. Haga clic para ampliar Add application path.

Add application path

  1. Complete la ruta de la aplicación en la cual configurar una regla de bloqueo y aislamiento.

Completar una ruta de aplicación

Nota:
  • La imagen de ejemplo utiliza excel.exe.
  • El conjunto de acciones se emplea en la aplicación con el nombre excel.exe ejecutado desde cualquier directorio.
  • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
  • Soporta variables de entorno como %WINDIR%.
  • Un único asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
  • Los asteriscos dobles (**) hacen coincidir a todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o posteriores a la ubicación o el archivo especificados.
  • Ejemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Seleccione la acción que se realizará cuando ocurre el intento de operación y, luego, haga clic en Confirm.

Selección de una acción

  1. Haga clic en Save en la parte superior derecha.

Guardar

Nota:
  • Deny operation impide que la aplicación enumerada realice la operación especificada que intentó realizar.
  • Terminate process interrumpe el proceso una vez que se intenta ejecutar la operación especificada.

VMware Carbon Black asigna una reputación a cada archivo que se ejecute en un dispositivo con el sensor instalado. Los archivos preexistentes comienzan con una reputación real de LOCAL_WHITE hasta que se ejecuten o hasta que el escaneo en segundo plano los haya procesado y brinde una reputación más definitiva.

Consulte Agregue una aplicación a la lista de reputación o Descripciones de reputación. Haga clic en el tema correspondiente para obtener más información.

Se puede agregar una aplicación a la lista de reputación mediante la página Reputations o la página Alerts. Haga clic en la opción correspondiente para obtener más información.

Para agregar una aplicación a la lista de reputación a través de la página Reputations:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. En el panel de menú izquierdo, haga clic en Enforce.

Enforce

  1. Haga clic en Reputation.

Reputación

Un administrador puede agregar una aplicación a la lista de reputación mediante un hash SHA256, una herramienta de TI o un certificado de firma. Haga clic en la opción correspondiente para obtener más información.

Nota: VMware Carbon Black Cloud debe conocer los archivos detectándolos en el entorno y procesando el hash SHA256. Las nuevas aplicaciones pueden tardar algún tiempo después de su primera detección antes de que VMware Carbon Black Cloud las reconozca. Esto puede hacer que la lista prohibida o la lista aprobada no se asignen inmediatamente a un archivo afectado.

Para agregar manualmente un hash SHA256:

  1. Haga clic en Add (Agregar).

Agregar

  1. Desde Add Reputation:
    1. Seleccione Hash como tipo.
    2. Seleccione Approved List o Banned List para elegir la lista.
    3. Complete el hash SHA-256.
    4. Complete un nombre para la entrada.
    5. Opcionalmente, ingrese comentarios.
    6. Haga clic en Save.

Menú Add Reputation

Nota:
  • Approved List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Company Approved.
  • Banned List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Company Banned.

Para agregar manualmente una herramienta de TI:

  1. Haga clic en Add (Agregar).

Agregar

  1. Desde Add Reputation:
    1. Seleccione IT Tools como tipo.
    2. Complete la ruta de la herramienta de TI de confianza correspondiente.
    3. De manera opcional, seleccione Include all child processes.
    4. Opcionalmente, ingrese comentarios.
    5. Haga clic en Save.

Menú Add Reputation

Nota:
  • Las herramientas de TI solo se pueden agregar a la lista aprobada. Approved List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Local White.
  • Si se selecciona la opción Include all child processes, todos los archivos utilizados por los procesos secundarios de la herramienta de TI de confianza recién definida también reciben la confianza inicial.
  • Las rutas relativas para las herramientas de TI indican que la ruta de acceso definida se puede completar con las rutas definidas.

Ejemplo:

En los siguientes ejemplos, la ruta de la herramienta de TI de confianza se establece como lo siguiente:

  • \sharefolder\folder2\application.exe

Si un administrador intenta ejecutar el archivo en estas ubicaciones, la exclusión se realiza correctamente:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Si un administrador intenta ejecutar el archivo en estas ubicaciones, la exclusión falla:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

En los ejemplos fallidos, la ruta de acceso no se puede ingresar por completo.

Para agregar manualmente un certificado de firma:

  1. Haga clic en Add (Agregar).

Agregar

  1. Desde Add Reputation:
    1. Seleccione Certs como tipo.
    2. Complete el campo Signed by.
    3. De manera opcional, complete la autoridad de certificación.
    4. De manera opcional, ingrese comentarios.
    5. Haga clic en Save.

Menú Add Reputation

Nota:

Para agregar una aplicación a la lista de reputación a través de la página Alerts:

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
Nota: [REGION] = Región del grupo de usuarios
  1. Inicie sesión en VMware Carbon Black Cloud.

Inicio de sesión

  1. Haga clic en Alerts.

Alerts

  1. Seleccione la flecha descendente junto a la alerta en la cual desea aprobar la aplicación.

Selección de la alerta

  1. Haga clic en Show all en la subsección Remediation.

Mostrar todo

  1. Haga clic en esta opción para agregar el archivo a la lista aprobada o la lista prohibida en función de si el hash es de confianza o no.

Adición del archivo a la lista prohibida o a la lista aprobada

Nota: El certificado de firma se puede agregar para que otras aplicaciones que comparten este certificado se agreguen automáticamente a la lista local aprobada.
Prioridad Reputación Valor de búsqueda de reputación Descripción
1 Omitir OMITIR Comprobación automática de la reputación que Carbon Black Cloud asigna a los archivos de productos y les otorga permisos completos de ejecución.
  • Highest Priority
  • Carbon Black otorga permisos completos de ejecución a los archivos; por lo general, son productos de carbono negro
2 Lista aprobada por la empresa COMPANY_WHITE_LIST Los hashes se agregan manualmente a la lista aprobada por la empresa; para ello, se usa Enforce > Reputations
3 Lista prohibida por la empresa COMPANY_BLACK_LIST Los hashes se agregan manualmente a la lista prohibida por la empresa; para ello, se usa Enforce > Reputations
4 Lista aprobada de confianza TRUSTED_WHITE_LIST Aprobado y conocido por Carbon Black, ya sea desde la nube, un escaneo local o ambos
5 Malware conocidos KNOWN_MALWARE Rechazado y conocido por Carbon Black, ya sea desde la nube, un escaneo local o ambos
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware sospechoso detectado por Carbon Black, pero que no es necesariamente malicioso
7 Adware/PUP Malware ADWARE PUP Adware y programas potencialmente no deseados que son detectados por Carbon Black
8 Local White LOCAL_WHITE El archivo cumple con cualquiera de las siguientes condiciones:
  • Archivos preexistentes antes de la instalación del sensor
  • Archivos agregados a la lista aprobada en herramientas de TI mediante Enforce > Reputations
  • Archivos agregados a la lista aprobada en los certificados mediante Enforce > Reputations
9 Lista aprobada común COMMON_WHITE_LIST El archivo cumple con cualquiera de las siguientes condiciones:
  • El hash no se encuentra en ninguna lista aprobada o prohibida conocida Y el archivo está firmado
  • El hash fue analizado anteriormente Y no se encuentra en ninguna lista aprobada o prohibida conocida
10 Lista no enumerada/lista aprobada adaptable NOT_LISTEDADAPTIVE_WHITE_LIST La reputación Not Listed indica que, después de que el sensor revisa el hash de la aplicación con el escáner local o la nube, no se puede encontrar ningún registro al respecto: no aparece en la base de datos de reputaciones.
  • Servicio en la nube: El hash no se observó anteriormente
  • Escaneo local: No está en una lista prohibida conocida y está configurado en la política
11 Unknown EN PROCESO DE RESOLUCIÓN La reputación Unknown indica que no hay respuesta de ninguna de las fuentes de reputación que utiliza el sensor.
  • Prioridad más baja
  • El sensor observa el uso de archivos, pero aún no tiene una reputación de la nube o el escaneo local

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Weitere Informationen

   

Videos

 

Betroffene Produkte

VMware Carbon Black
Artikeleigenschaften
Artikelnummer: 000182859
Artikeltyp: How To
Zuletzt geändert: 04 Jän. 2023
Version:  32
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.