Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

如何為 VMware Carbon Black Cloud 建立排除項目或包含項目

Summary: 您可以依照下列指示,設定 VMware Carbon Black 的排除項目和包含項目。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

VMware Carbon Black 使用聲譽和權限規則來處理新一代防毒軟體 (NGAV) 排除項目 (核准清單) 與包含項目 (禁止清單)。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 使用端點偵測與回應 (EDR)。EDR 也會受到聲譽和權限規則影響。本文會引導系統管理員設定這些值,以及可能相關的任何注意事項。


受影響的產品:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

受影響的作業系統:

Windows
Mac
Linux


 

VMware Carbon Black 導入第 3 部份:原則與群組

持續時間:03:37
關閉標題:提供多種語言版本

VMware Carbon Black Cloud 使用原則聲譽的結合來決定要進行哪些操作。

如需詳細資訊,請按一下適當的主題。

VMware Carbon Black Cloud 預防 原則與 VMware Carbon Black Cloud Standard、Advanced 及 Enterprise的政策不同。如需詳細資訊,請按一下適當的產品。

VMware Carbon Black Cloud Prevention 提供權限規則以及封鎖和隔離規則簡化的方法,因為它不會使用 EDR。

注意:其他選項包含在 VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 以及 VMware Carbon Black Cloud Enterprise 中。如需影響 EDR 的其他選項相關資訊,請參閱本文的 Standard、Advanced, 和 Enterprise 一節。

如需詳細資訊,請按一下適當的主題。

權限規則決定在指定路徑可執行的作業應用程式。

權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。

若要建立權限規則:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下原則

原則

  1. 選取您要修改的原則集合。

選取一個原則集合

注意:範例影像使用 Standard 作為所選要修改的原則集合。
  1. 在右側功能表窗格中,按一下 Prevention

Prevention

  1. 按一下以展開權限

權限

  1. 按一下以展開新增應用程式路徑

新增應用程式路徑

  1. 填入預期的路徑,以設定略過開啟。

設定略過

注意:
  • 範例影像使用下列路徑:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • 在此範例中,套用的動作會影響包含路徑 \program files\dell\dell data protection\\programdata\dell\dell data protection\ 所有磁碟機上的所有檔案。
  • VMware Carbon Black 的權限清單採用 glob 型格式化結構。
  • 支援像是 %WINDIR% 等環境變數。
  • 一個星號 (*) 與同一目錄中的所有字元相符。
  • 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
  • 範例:
    • Windows:**\powershell.exe
    • Mac:/Users/*/Downloads/**
  1. 選擇要強制執行的動作

選取動作

注意:
  • 在範例影像中,選取允許略過時,會以不同的動作進行操作嘗試。
  • 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
  • 動作定義:
    • 允許 - 允許在指定路徑中的行為,包含關於 VMware Carbon Black Cloud 所記錄動作的資訊。
    • 略過 - 允許在指定路徑中的所有行為。不會收集任何資訊。
  1. 在頁面右上方或底部按一下儲存

儲存

封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。

若要建立封鎖與隔離規則:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下原則

原則

  1. 選取您要修改的原則集合。

選取一個原則集合

注意:範例影像使用 Standard 作為所選要修改的原則集合。
  1. 在右側功能表窗格中,按一下 Prevention

Prevention

  1. 按一下以展開封鎖和隔離

封鎖與隔離

  1. 填入應用程式路徑,以設定封鎖和隔離規則開啟。

填入應用程式路徑

注意:
  • 範例影像使用的是 excel.exe。
  • 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
  • VMware Carbon Black 的權限清單採用 glob 型格式化結構。
  • 支援像是 %WINDIR% 等環境變數。
  • 一個星號 (*) 與同一目錄中的所有字元相符。
  • 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
  • 範例:
    • Windows:**\powershell.exe
    • Mac:/Users/*/Downloads/**
  1. 按一下右上角的儲存

儲存

注意:一旦指定的操作嘗試執行,終止程序就會結束程序。

由於包含 EDR,VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 提供許可權 規則以及 封鎖與隔離規則的選項。

如需詳細資訊,請按一下適當的主題。

權限規則決定在指定路徑可執行的作業應用程式。

權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。

若要建立權限規則:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下原則

原則

  1. 選取您要修改的原則集合。

選取一個原則集合

注意:範例影像使用 Standard 作為所選要修改的原則集合。
  1. 在右側功能表窗格中,按一下 Prevention

Prevention

  1. 按一下以展開權限

權限

  1. 按一下以展開新增應用程式路徑

新增應用程式路徑

  1. 填入預期的路徑,以設定略過開啟。

填入路徑

注意:
  • 範例影像使用下列路徑:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • 在此範例中,套用的動作會影響到包括路徑 \program files\dell\dell data protection\ 和 \programdata\dell\dell data protection\ 的所有磁碟機上的所有檔案。
  • VMware Carbon Black 的權限清單採用 glob 型格式化結構。
  • 支援像是 %WINDIR% 等環境變數。
  • 一個星號 (*) 與同一目錄中的所有字元相符。
  • 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
  • 範例:
    • Windows:**\powershell.exe
    • Mac:/Users/*/Downloads/**
  1. 選擇要強制執行的動作

選取動作

注意:
  • 在範例影像中,選取允許允許和記錄略過時,會以不同的動作進行操作嘗試。
  • 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
  • 執行任何操作以外的每個動作都可套用到多項操作嘗試。
  • 動作定義:
    • 允許 - 允許在指定路徑中的行為;未記錄路徑的任何指定行為。沒有任何資料傳送至 VMware Carbon Black Cloud。
    • 允許和記錄 - 允許指定路徑中的行為;所有活動都會記錄下來。所有資料都會報告至 VMware Carbon Black Cloud。
    • 略過 - 允許在指定路徑中的所有行為;未記錄任何內容。沒有任何資料傳送至 VMware Carbon Black Cloud。
  1. 按一下權限底部的確認,以設定原則變更。

確認

  1. 按一下右上角的儲存

儲存

封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。

若要建立封鎖與隔離規則:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下原則

原則

  1. 選取您要修改的原則集合。

選取一個原則集合

注意:範例影像使用 Standard 作為所選要修改的原則集合。
  1. 在右側功能表窗格中,按一下 Prevention

Prevention

  1. 按一下以展開封鎖和隔離

封鎖與隔離

  1. 按一下以展開新增應用程式路徑

新增應用程式路徑

  1. 填入應用程式路徑,以設定封鎖和隔離規則開啟。

填入應用程式路徑

注意:
  • 範例影像使用的是 excel.exe。
  • 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
  • VMware Carbon Black 的權限清單採用 glob 型格式化結構。
  • 支援像是 %WINDIR% 等環境變數。
  • 一個星號 (*) 與同一目錄中的所有字元相符。
  • 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
  • 範例:
    • Windows:**\powershell.exe
    • Mac:/Users/*/Downloads/**
  1. 選取要在符合操作嘗試時採取的動作,然後按一下確認

選取動作

  1. 按一下右上角的儲存

儲存

注意:
  • 拒絕操作會防止列出的應用程式執行其嘗試執行的指定操作。
  • 一旦指定的操作嘗試執行,終止程序就會結束程序。

VMware Carbon Black 會指派一個聲譽至每個已在安裝了感應器的裝置上執行的檔案。預先存在的檔案會以 LOCAL_WHITE 的有效聲譽開始,直到執行為止,或直到背景掃描已處理完成,並提供更明確的聲譽。

將應用程式新增至聲譽清單或參考聲譽說明。如需詳細資訊,請按一下適當的主題。

您可以透過聲譽頁面警示頁面,將應用程式新增至聲譽清單中。如需詳細資訊,請按一下適當的選項。

若要透過聲譽頁面將應用程式新增至聲譽清單:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 在左側功能表窗格中,按一下強制執行

強制執行

  1. 按一下聲譽

聲譽

系統管理員可使用 SHA256 雜湊IT 工具簽署認證,將應用程式新增至聲譽清單。如需詳細資訊,請按一下適當的選項。

注意:VMware Carbon Black Cloud 必須透過顯示檔案的方式知道在環境中的檔案,且必須由 VMware Carbon Black Cloud 處理 SHA256 雜湊。在第一次偵測到新的應用程式之後,VMware Carbon Black Cloud 可能需要一段時間才會知道其存在。這可能會導致核准清單禁止清單不會立即指派至受影響的檔案。

若要手動新增 SHA256 雜湊:

  1. 按一下新增

新增

  1. 從新增聲譽:
    1. 選取類型的雜湊
    2. 為清單選取核准清單禁止清單
    3. 填入 SHA-256 雜湊
    4. 填入項目的名稱
    5. 或者,填入註解
    6. 按一下儲存

新增聲譽功能表

注意:
  • 核准清單會自動設定任何受影響和已知的檔案,以擁有公司核准的聲譽。
  • 禁止清單會自動設定任何受影響和已知的檔案,以擁有公司禁止的聲譽。

若要手動新增 IT 工具:

  1. 按一下新增

新增

  1. 從新增聲譽:
    1. 選取類型的 IT 工具
    2. 填入相關的受信任 IT 工具的路徑
    3. 或者,選取包含所有子處理程序
    4. 或者,填入註解
    5. 按一下儲存

新增聲譽功能表

注意:
  • IT 工具只能新增至核准清單核准清單會自動設定任何受影響和已知的檔案,以擁有本機白名單的聲譽。
  • 此選項包含所有子處理程序備註,如果選取此選項,所有由新定義的受信任 IT 工具的子處理程序放下的檔案,也會收到初始信任。
  • IT 工具的相對路徑表示定義的路徑可由定義的路徑設計來完成。

範例:

在下列範例中,受信任 IT 工具的路徑設為:

  • \sharefolder\folder2\application.exe

如果系統管理員嘗試在這些位置執行檔案,則排除專案 會成功

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

如果系統管理員嘗試在這些位置執行檔案,則排除 專案會失敗

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

在失敗的範例中,路徑無法完全滿足。

若要手動新增簽署認證:

  1. 按一下新增

新增

  1. 從新增聲譽:
    1. 選取類型的認證
    2. 填入簽署者欄位。
    3. 或者,填入認證機構
    4. 或者,填入註解
    5. 按一下儲存

新增聲譽功能表

注意:

若要透過警示頁面將應用程式新增至聲譽清單:

  1. 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
  1. 登入 VMware Carbon Black Cloud。

登入

  1. 按一下警示

警示

  1. 選取您要核准應用程式的警示旁邊的 V 形箭號。

選取警示

  1. 在「補救」小節中,按一下全部顯示

全部顯示

  1. 按一下以將檔案新增至禁止清單或核准清單,視雜湊為不受信任或受信任而定。

將檔案新增至禁止清單或核准清單

注意:您可以新增簽署認證,讓共用此認證的其他應用程式自動新增至本機核准清單。
優先順序 聲譽 聲譽搜尋值 描述名稱
1 略過 略過 Carbon Black Cloud 指派給產品檔案的自我檢查聲譽,並授予他們完整的執行權限。
  • 最高優先順序
  • 檔案具有由 Carbon Black執行的完整權限 (通常為 Carbon Black 產品)
2 公司核准清單 COMPANY_WHITE_LIST 前往強制執行 > 聲譽,手動新增到公司核准清單中的雜湊
3 公司禁止清單 COMPANY_BLACK_LIST 前往強制執行 > 聲譽,手動新增到公司禁止清單中的雜湊
4 信任的核准清單 TRUSTED_WHITE_LIST Carbon Black 從雲端、本機掃描器或兩者中已知良好
5 已知的惡意軟體 KNOWN_MALWARE Carbon Black 從雲端、本機掃描器或兩者中已知不良
6 可疑/啟發式惡意軟體 SUSPECT_MALWARE HEURISTIC Carbon Black 偵測到的可疑惡意軟體,但不一定是惡意的
7 廣告軟體/PUP 惡意軟體 廣告軟體 PUP Carbon Black 偵測到的廣告軟體和可能不需要的程式
8 本機白名單 LOCAL_WHITE 檔案已符合下列任何條件:
  • 感應器安裝前已預先存在的檔案
  • 前往強制執行 > 聲譽,新增到 IT 工具中核准清單上的檔案
  • 前往強制執行 > 聲譽,新增到認證中核准清單上的檔案
9 常見核准清單 COMMON_WHITE_LIST 檔案已符合下列任何條件:
  • 雜湊不在任何已知良好或已知不良清單中「且」檔案已簽名
  • 先前分析過的雜湊「且」不在任何已知良好或已知不良清單中
10 未列出/可自我調整核准清單 NOT_LISTEDADAPTIVE_WHITE_LIST 未列出的聲譽表示感應器檢查本機掃描器或雲端的應用程式雜湊後,找不到其任何相關記錄,也未列在聲譽資料庫中。
  • 雲端:先前未見過的雜湊
  • 本機掃描器:非已知不良,在原則中設定
11 未知 解決中 未知的聲譽表示感應器使用的任何聲譽來源均無回應。
  • 最低優先順序
  • 感應器觀察到檔案置放,但還沒有雲端或本機掃描器的聲譽

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 04 Jan 2023
Version:  32
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.