VMware Carbon Black, yeni nesil anti virüs (NGAV) hariç tutmalarını (onaylanmış listeler) ve dahil etmelerini (engellenmiş listeler) yönetmek için Reputation (Güvenilirlik) ve Permission (İzin) kurallarını kullanır. VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced ve VMware Carbon Black Cloud Enterprise, Uç Nokta Algılama ve Yanıt (EDR) özelliğini kullanır. EDR, Reputation (Güvenilirlik) ve Permission (İzin) kurallarından da etkilenir. Bu makalede yöneticilere, bu değerleri nasıl ayarlayabilecekleri ve dikkat etmeleri gereken önemli noktalar gösterilmektedir.
Etkilenen Ürünler:
VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise
Etkilenen İşletim Sistemleri:
Windows
Mac
Linux
VMware Carbon Black Kurulumu 3. Bölüm: Politikalar ve Gruplar
Süre: 03:37
Açıklamalı altyazılar: Birden çok dilde mevcuttur
VMware Carbon Black Cloud, hangi işlemlerin gerçekleştiğini belirlemek için Politikaları ve Reputation (Güvenilirlik) kurallarını birlikte kullanır.
Daha fazla bilgi için ilgili konuya tıklayın.
VMware Carbon Black Cloud Prevention ilkeleri, VMware Carbon Black Cloud Standard, Advanced ve Enterprise ilkelerinden farklıdır. Daha fazla bilgi için ilgili ürüne tıklayın.
EDR'yi kullanmaması sayesinde VMware Carbon Black Cloud Prevention, Permissions (İzinler) ve Blocking and Isolation (Engelleme ve İzolasyon) Kurallarına yönelik basitleştirilmiş bir yaklaşım sunar.
Not: Ek seçenekler VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced ve VMware Carbon Black Cloud Enterprise'a dahildir. EDR'yi etkileyen ek seçenekler hakkında bilgi için bu makalenin Standard, Advanced ve Enterprise (Standart, Gelişmiş ve Kurumsal) bölümüne bakın.
Daha fazla bilgi için ilgili konuya tıklayın.
İzinler kuralları, belirtilen yollardaki uygulamaların hangi işlemleri gerçekleştirebileceklerini belirler.
İzinler kuralları yol tabanlı olup Blocking and Isolation (Engelleme ve İzolasyon) ve Reputation (Güvenilirlik) kurallarına göre önceliklidir.
Bir İzinler kuralı oluşturmak için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Sol menü bölmesinde Enforce (Zorla) öğesine tıklayın.
- Policies (İlkeler) öğesine tıklayın.
- Değiştirmek istediğiniz politikayı seçin.
Not: Örnek resimlerde, değişiklik yapılmak istenen politika kümesi olarak Standard (Standart) kullanılmaktadır.
- Sağ menü bölmesinde Prevention (Önleme) öğesine tıklayın.
- Permissions (İzinler) öğesine tıklayarak genişletin.
- Add application path (Uygulama yolu ekle) öğesine tıklayarak genişletin.
- Atlamayı ayarlamak için hedeflenen yolu doldurun.
Not:
- Örnek resimde aşağıdaki yollar kullanılır:
*:\program files\dell\dell data protection\**
*:\programdata\dell\dell data protection\**
- Bu örnekte uygulanan eylemler,
\program files\dell\dell data protection\
ve \programdata\dell\dell data protection\
yollarını içeren tüm sürücülerdeki tüm dosyaları etkiler.
- VMware Carbon Black'in İzinler listesinde glob tabanlı biçimlendirme yapısı kullanılır.
%WINDIR%
gibi çevresel değişkenler desteklenir.
- Tek yıldız (*) işareti, aynı dizin içindeki tüm karakterlerle eşleşir.
- Çift yıldız (**) işareti; aynı dizin, birden fazla dizin ve belirtilen konum veya dosyanın üzerindeki veya altındaki tüm dizinlerin içindeki tüm karakterlerle eşleşir.
- Örnekler:
- Windows:
**\powershell.exe
- Mac:
/Users/*/Downloads/**
- Zorla uygulanacak Eylemi seçin.
Not:
- Örnek resimde, işlem girişimlerine Allow (İzin Ver) veya Bypass (Atla) seçilerek farklı eylemler atanır.
- İşlem girişimi olarak Performs any operation (Her türlü işlemi gerçekleştirir) seçildiğinde diğer herhangi bir işlem girişimi geçersiz kılınır ve başka bir seçeneğin belirlenmesi devre dışı bırakılır.
- Eylem tanımları:
- Allow (İzin Ver): Davranışa belirtilen yolda izin verir ve eylemle ilgili bilgiler, VMware Carbon Black Cloud'da günlüğe kaydedilir.
- Bypass (Atla): Belirtilen yolda tüm davranışlara izin verilir. Hiçbir bilgi toplanmaz.
- Sağ üst köşedeki veya sayfanın altındaki Save (Kaydet) öğesine tıklayın.
Blocking (Engelleme) ve Isolation (İzolasyon) kuralları yol tabanlıdır ve Reputation (Güvenilirlik) kurallarına göre önceliklidir. Blocking and Isolation (Engelleme ve İzolasyon) kuralları, belirli bir işleme girişildiğinde bir "Deny operation" (İşlemi reddet) veya "Terminate process" (Süreci sonlandır) eylemini ayarlamaya olanak tanır.
Bir Blocking (Engelleme) ve Isolation (İzolasyon) kuralı oluşturmak için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Sol menü bölmesinde Enforce (Zorla) öğesine tıklayın.
- Policies (İlkeler) öğesine tıklayın.
- Değiştirmek istediğiniz politikayı seçin.
Not: Örnek resimlerde, değişiklik yapılmak istenen politika kümesi olarak Standard (Standart) kullanılmaktadır.
- Sağ menü bölmesinde Prevention (Önleme) öğesine tıklayın.
- Blocking and Isolation (Engelleme ve İzolasyon) öğesine tıklayarak genişletin.
- Blocking (Engelleme) ve Isolation (İzolasyon) kuralının ayarlanacağı uygulama yolunu doldurun.
Not:
- Örnek resimde excel.exe kullanılır.
- Eylem kümesi, herhangi bir dizinden çalıştırılan excel.exe adlı uygulamaya uygulanır.
- VMware Carbon Black'in İzinler listesinde glob tabanlı biçimlendirme yapısı kullanılır.
%WINDIR%
gibi çevresel değişkenler desteklenir.
- Tek yıldız (*) işareti, aynı dizin içindeki tüm karakterlerle eşleşir.
- Çift yıldız (**) işareti; aynı dizin, birden fazla dizin ve belirtilen konum veya dosyanın üzerindeki veya altındaki tüm dizinlerin içindeki tüm karakterlerle eşleşir.
- Örnekler:
- Windows:
**\powershell.exe
- Mac:
/Users/*/Downloads/**
- Sağ üst köşedeki Save (Kaydet) öğesine tıklayın.
Not: Terminate process (Süreci sonlandır) eylemi, belirtilen işlemin çalıştırma girişiminde bulunması halinde süreci sonlandırır.
VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced ve VMware Carbon Black Cloud Enterprise, EDR'nin eklenmesi nedeniyle İzin Kuralları ve Engelleme ve Yalıtım Kuralları ile seçenekler sunar.
Daha fazla bilgi için ilgili konuya tıklayın.
İzinler kuralları, belirtilen yollardaki uygulamaların hangi işlemleri gerçekleştirebileceklerini belirler.
İzinler kuralları yol tabanlı olup Blocking and Isolation (Engelleme ve İzolasyon) ve Reputation (Güvenilirlik) kurallarına göre önceliklidir.
Bir İzinler kuralı oluşturmak için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Sol menü bölmesinde Enforce (Zorla) öğesine tıklayın.
- Policies (İlkeler) öğesine tıklayın.
- Değiştirmek istediğiniz politikayı seçin.
Not: Örnek resimlerde, değişiklik yapılmak istenen politika kümesi olarak Standard (Standart) kullanılmaktadır.
- Sağ menü bölmesinde Prevention (Önleme) öğesine tıklayın.
- Permissions (İzinler) öğesine tıklayarak genişletin.
- Add application path (Uygulama yolu ekle) öğesine tıklayarak genişletin.
- Atlamayı ayarlamak için hedeflenen yolu doldurun.
Not:
- Örnek resimde aşağıdaki yollar kullanılır:
*:\program files\dell\dell data protection\**
*:\programdata\dell\dell data protection\**
- Bu örnekte, uygulanan işlemler \program files\dell\dell data protection\ ve \programdata\dell\dell data protection\ yollarını içeren tüm sürücülerdeki tüm dosyaları etkiler.
- VMware Carbon Black'in İzinler listesinde glob tabanlı biçimlendirme yapısı kullanılır.
- %WINDIR% gibi çevresel değişkenler desteklenir.
- Tek yıldız (*) işareti, aynı dizin içindeki tüm karakterlerle eşleşir.
- Çift yıldız (**) işareti; aynı dizin, birden fazla dizin ve belirtilen konum veya dosyanın üzerindeki veya altındaki tüm dizinlerin içindeki tüm karakterlerle eşleşir.
- Örnekler:
- Windows:
**\powershell.exe
- Mac:
/Users/*/Downloads/**
- Zorla uygulanacak Eylemi seçin.
Not:
- Örnek resimde, işlem girişimlerine Allow (İzin Ver) veya Allow & Log (İzin Ver ve Günlüğe Kaydet) veya Bypass (Atla) seçilerek farklı eylemler atanır.
- İşlem girişimi olarak Performs any operation (Her türlü işlemi gerçekleştirir) seçildiğinde diğer herhangi bir işlem girişimi geçersiz kılınır ve başka bir seçeneğin belirlenmesi devre dışı bırakılır.
- Birden fazla işlem girişimine, Performs any operation (Her türlü işlemi gerçekleştirir) hariç olmak üzere her eylem uygulanabilir.
- Eylem tanımları:
- Allow (İzin Ver): Davranışa belirtilen yolda izin verir; yoldaki belirtilen hiçbir davranış günlüğe kaydedilmez. VMware Carbon Black Cloud'a veri gönderilmez.
- Allow & Log (İzin Ver ve Günlüğe Kaydet): Davranışa belirtilen yolda izin verir; tüm etkinlikler günlüğe kaydedilir. Tüm veriler VMware Carbon Black Cloud'a bildirilir.
- Bypass (Atla): Belirtilen yolda tüm davranışlara izin verilir; günlüğe hiçbir şey kaydedilmez. VMware Carbon Black Cloud'a veri gönderilmez.
- Politika değişikliğini ayarlamak için Permissions (İzinler) kısmının en altındaki Confrm (Onayla) öğesine tıklayın.
- Sağ üst köşedeki Save (Kaydet) öğesine tıklayın.
Blocking (Engelleme) ve Isolation (İzolasyon) kuralları yol tabanlıdır ve Reputation (Güvenilirlik) kurallarına göre önceliklidir. Blocking and Isolation (Engelleme ve İzolasyon) kuralları, belirli bir işleme girişildiğinde bir "Deny operation" (İşlemi reddet) veya "Terminate process" (Süreci sonlandır) eylemini ayarlamaya olanak tanır.
Bir Blocking (Engelleme) ve Isolation (İzolasyon) kuralı oluşturmak için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Sol menü bölmesinde Enforce (Zorla) öğesine tıklayın.
- Policies (İlkeler) öğesine tıklayın.
- Değiştirmek istediğiniz politikayı seçin.
Not: Örnek resimlerde, değişiklik yapılmak istenen politika kümesi olarak Standard (Standart) kullanılmaktadır.
- Sağ menü bölmesinde Prevention (Önleme) öğesine tıklayın.
- Blocking and Isolation (Engelleme ve İzolasyon) öğesine tıklayarak genişletin.
- Add application path (Uygulama yolu ekle) öğesine tıklayarak genişletin.
- Blocking (Engelleme) ve Isolation (İzolasyon) kuralının ayarlanacağı uygulama yolunu doldurun.
Not:
- Örnek resimde excel.exe kullanılır.
- Eylem kümesi, herhangi bir dizinden çalıştırılan excel.exe adlı uygulamaya uygulanır.
- VMware Carbon Black'in İzinler listesinde glob tabanlı biçimlendirme yapısı kullanılır.
%WINDIR%
gibi çevresel değişkenler desteklenir.
- Tek yıldız (*) işareti, aynı dizin içindeki tüm karakterlerle eşleşir.
- Çift yıldız (**) işareti; aynı dizin, birden fazla dizin ve belirtilen konum veya dosyanın üzerindeki veya altındaki tüm dizinlerin içindeki tüm karakterlerle eşleşir.
- Örnekler:
- Windows:
**\powershell.exe
- Mac:
/Users/*/Downloads/**
- İşlem girişimi karşılandığında gerçekleştirilecek Eylemi seçin ve Confirm (Onayla) öğesine tıklayın.
- Sağ üst köşedeki Save (Kaydet) öğesine tıklayın.
Not:
- Deny operation (İşlemi reddet), listelenen uygulamanın belirtilen işlemi (uygulamanın gerçekleştirmeye çalıştığı) gerçekleştirmesini önler.
- Terminate process (Süreci sonlandır) eylemi, belirtilen işlemin çalıştırma girişiminde bulunması halinde süreci sonlandırır.
VMware Carbon Black, sensörün yüklü olduğu aygıtta çalıştırılan her dosyaya bir Reputation (Güvenilirlik) değeri atar. Önceden mevcut olan dosyalar, çalıştırılana kadar veya arka plan taraması bu dosyaları işleyene ve daha kesin bir güvenilirlik değeri verene kadar LOCAL_WHITE adlı geçerli bir güvenilirlik değeriyle başlar.
Bir Uygulamayı Güvenilirlik Listesine Ekleyin veya Güvenilirlik Açıklamalarına bakın. Daha fazla bilgi için ilgili konuya tıklayın.
Uygulamalar, Reputations (Güvenilirlik) sayfası veya Alerts (Uyarılar) sayfasından güvenilirlik listesine eklenebilir. Daha fazla bilgi için ilgili seçeneğe tıklayın.
Bir uygulamayı Reputations (Güvenilirlik) sayfasından güvenilirlik listesine eklemek için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Sol menü bölmesinde Enforce (Zorla) öğesine tıklayın.
- Reputation (Güvenilirlik) öğesine tıklayın.
Yöneticiler bir SHA256 karması, BT aracı veya İmzalama Sertifikası kullanarak uygulamaları Reputation (Güvenilirlik) listesine ekleyebilir. Daha fazla bilgi için ilgili seçeneğe tıklayın.
Not: Dosyalar ortam içinde görünerek ve SHA256 karması VMware Carbon Black Cloud tarafından işlenerek VMware Carbon Black Cloud'un dosyaları öğrenmesi sağlanmalıdır. Yeni uygulamaların, ilk defa algılandıktan sonra VMware Carbon Black Cloud tarafından öğrenilmeleri biraz zaman alabilir. Bu durum, Onaylanmış Listesinin veya Engellenmiş Listesinin etkilenen bir dosyaya hemen atanmamasına neden olabilir.
Manuel olarak bir SHA256 karması eklemek için:
- Ekle öğesine tıklayın.
- Add Reputation (Güvenilirlik Ekle) bölümünden:
- Type (Tür) değeri için Hash (Karma) öğesini seçin.
- List (Liste) öğesi için Approved List (Onaylanmış Listesi) veya Banned List (Engellenmiş Listesi) seçeneğini belirleyin.
- SHA-256 hash (SHA-256 karması) alanını doldurun.
- Name (Ad) alanına giriş için bir ad ekleyin.
- İsteğe bağlı olarak Comments (Yorumlar) alanını doldurun.
- Save (Kaydet) öğesine tıklayın.
Not:
- Approved List (Onaylanmış Listesi), etkilenen ve bilinen herhangi bir dosyayı Company Approved (Şirket Onaylı) güvenilirlik değerine sahip olacak şekilde otomatik olarak ayarlar.
- Banned List (Engellenmiş Listesi), etkilenen ve bilinen herhangi bir dosyayı Company Banned (Şirket Tarafından Engellenmiş) güvenilirlik değerine sahip olacak şekilde otomatik olarak ayarlar.
Manuel olarak bir imzalama sertifikası eklemek için:
- Ekle öğesine tıklayın.
- Add Reputation (Güvenilirlik Ekle) bölümünden:
- Type (Tür) değeri için Certs (Sertifikalar) öğesini seçin.
- Signed by (İmzalayan) alanını doldurun.
- İsteğe bağlı olarak Certificate Authority (Sertifika Yetkilisi) alanını doldurun.
- İsteğe bağlı olarak Comments (Yorumlar) alanını doldurun.
- Save (Kaydet) öğesine tıklayın.
Not:
- Bir imzalama sertifikası yalnızca Approved List (Onaylanmış Listesi) içine eklenebilir. Approved List (Onaylanmış Listesi), etkilenen ve bilinen herhangi bir dosyayı Local White (Yerel Beyaz Liste) güvenilirlik değerine sahip olacak şekilde otomatik olarak ayarlar.
- Güvenilirlik için imzalama sertifikası ekleme hakkında daha fazla bilgi için VMware Carbon Black Cloud Güvenilirlik Listesine İmzalama Sertifikası Ekleme başlıklı makaleye başvurun.
Bir uygulamayı Alerts (Uyarılar) sayfasından güvenilirlik listesine eklemek için:
- Bir web tarayıcıda [BÖLGE].conferdeploy.net adresine gidin.
Not: [BÖLGE] = Kiracının bölgesi
- VMware Carbon Black Cloud'da oturum açın.
- Alerts (Uyarılar) öğesine tıklayın.
- Uygulamayı onaylamak istediğiniz uyarının yanındaki köşeli çift ayracı seçin.
- Remediation (Düzeltme) alt bölümünde Show all (Tümünü göster) öğesine tıklayın.
- Karma değerinin güvenilir olup olmamasına bağlı olarak, dosyayı yasaklanmış listesine ya da onaylanmış listesine eklemek için Add (Ekle) öğesine tıklayın.
Not: İmzalama Sertifikası, bu sertifikayı paylaşan diğer uygulamaların otomatik olarak yerel onaylanmış listesine dahil edilmesi için eklenebilir.
Öncelik |
Reputation (Güvenilirlik) |
Reputation (Güvenilirlik) Arama Değeri |
Açıklama |
1 |
Ignore (Yoksay) |
IGNORE |
Carbon Black Cloud'un ürün dosyalarına atadığı ve bunlara çalışmak için tam izin verdiği otomatik kontrollü bir güvenilirlik değeridir.
- En Yüksek Öncelik
- Dosyalar, Carbon Black (genellikle Carbon Black ürünleri) tarafından çalıştırılmak için tam izne sahiptir
|
2 |
Company Approved List |
COMPANY_WHITE_LIST |
Karmalar, Enforce (Zorla) > Reputations (Güvenilirlik) öğesine gidilerek Şirket Tarafından Onaylanmış Listesine manuel olarak eklenebilir |
3 |
Company Banned List |
COMPANY_BLACK_LIST |
Karmalar, Enforce (Zorla) > Reputations (Güvenilirlik) öğesine gidilerek Şirket Tarafından Engellenmiş Listesine manuel olarak eklenebilir |
4 |
Trusted Approved List |
TRUSTED_WHITE_LIST |
Bulut, yerel tarayıcı veya her ikisi yoluyla Carbon Black tarafından zararsız olduğu bilinir |
5 |
Known Malware (Bilinen Kötü Amaçlı Yazılım) |
KNOWN_MALWARE |
Bulut, yerel tarayıcı veya her ikisi yoluyla Carbon Black tarafından zararlı olduğu bilinir |
6 |
Suspect/Heuristic Malware (Şüpheli/Buluşsal Kötü Amaçlı Yazılım) |
SUSPECT_MALWARE HEURISTIC |
Carbon Black tarafından algılanan ancak kötü amaçlı olmayabilen şüpheli kötü amaçlı yazılım |
7 |
Adware/PUP Malware (Reklam Yazılımı/PUP Kötü Amaçlı Yazılımı) |
ADWARE PUP |
Carbon Black tarafından algılanan Reklam Yazılımı ve Potansiyel Olarak İstenmeyen Programlar |
8 |
Local White (Yerel Beyaz) |
LOCAL_WHITE |
Dosya aşağıdaki koşullardan herhangi birini karşılamıştır:
- Sensörün yüklenmesinden önce mevcut olan dosyalar
- BT Araçlarında Enforce (Zorla) > Reputations (Güvenilirlik) öğesine gidilerek Onaylanmış Listesine eklenen dosyalar
- Sertifikalarda Enforce (Zorla) > Reputations (Güvenilirlik) öğesine gidilerek Onaylanmış Listesine eklenen dosyalar
|
9 |
Common Approved List |
COMMON_WHITE_LIST |
Dosya aşağıdaki koşullardan herhangi birini karşılamıştır:
- Karma, zararsız veya zararlı olduğu bilinen listelerinden herhangi birinde değil VE dosya imzalanmış
- Karma önceden analiz edilmiş VE zararsız veya zararlı olduğu bilinen listelerinden herhangi birinde değil
|
10 |
Not Listed/Adaptive Approved List |
NOT_LISTEDADAPTIVE_WHITE_LIST |
Not Listed (Listelenmemiş) güvenilirlik değeri; sensör, uygulama karmasını Yerel Tarayıcı veya Bulut üzerinden kontrol ettikten sonra bununla ilgili hiçbir kayıt bulunamadığını belirtir. Güvenilirlik veritabanında listelenmemiştir.
- Bulut: Karma daha önce görülmedi
- Yerel tarayıcı: Zararlı olduğu bilinmiyor; politikada yapılandırılmıştır
|
11. |
Unknown |
RESOLVING |
Unknown güvenilirlik değeri, sensörün kullandığı güvenilirlik kaynaklarının hiçbirinden yanıt alınamadığını belirtir.
- En Düşük Öncelik
- Sensör, dosyanın bırakıldığını gözlemlemiştir ancak bulut veya yerel tarayıcıdan güvenilirlik bilgisi henüz gelmemiştir
|
Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.