Prodotti interessati:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versioni interessate:
- Sensore Windows 3.9 o versione successiva
Sistemi operativi interessati:
Regole del firewall basato su host
Una regola del firewall è costituita da un'azione e da un object. Le azioni disponibili sono:
- Consentire: Consente il traffico di rete
- Block: Blocca il traffico di rete
- Blocco e avviso: Blocca il traffico di rete e invia un avviso alla pagina Alerts
Le regole del firewall si basano sulla valutazione dei seguenti tipi di object:
- Locale (computer client)
- Remoto (computer che comunica con il computer client)
Nota: L'host locale è sempre il computer client installato dal sensore. L'host remoto è qualsiasi computer o dispositivo con cui comunica. Questa espressione della relazione host è indipendente dalla direzione del traffico.
- Intervalli di indirizzi IP e subnet
- Intervalli di porte o porte
- Protocollo (TCP, UDP, ICMP)
- Direzione (in entrata e in uscita)
- Applicazione, determinata dal percorso del file
Le regole del firewall possono essere combinate in un gruppo di regole firewall. Un gruppo di regole firewall è un set logico di regole firewall che semplifica la gestione di più regole singole in un singolo gruppo con uno scopo condiviso (ad esempio, più regole per controllare l'accesso ai server FTP).
I gruppi di regole e le regole sono definiti nelle policy e le policy vengono assegnate agli asset.
Precedenza delle regole
Quando si creano e si applicano regole, tenere presente il seguente ordine di precedenza:
- Le regole di bypass hanno la precedenza su tutte le altre regole. Per questo motivo, le regole firewall basate su host hanno una precedenza inferiore rispetto alle regole di bypass.
- Le regole del firewall basato su host hanno una priorità superiore rispetto alle regole di autorizzazione impostate su Consenti o Consenti & Log.
Nota: Una regola Di esclusione delle autorizzazioni a livello di processo non solo ignora il processo specificato dalla regola, ma ignora anche eventuali processi figlio.
Le condizioni del sensore esistenti possono influire sull'applicazione delle regole. Ad esempio, il sensore può essere in modalità bypass o messa in quarantena oppure le applicazioni possono essere bloccate. Il firewall basato su host di Carbon Black Cloud mantiene l'azione prevista della regola come specificato dall'utente, anche se la regola può intraprendere un'azione effettiva diversa quando viene applicata in base alla condizione del sensore.
Ad esempio:
| Modalità sensore |
Azione del firewall basata su host prevista |
Autorizzazione o regola di blocco e isolamento prevista |
Azione effettiva |
Riepilogo |
| Quarantine |
Qualsiasi |
Qualsiasi |
Blocco |
Le regole dei blocchi di quarantena sostituiscono le regole e le autorizzazioni del firewall basate su host. |
| Bypass |
Qualsiasi |
Qualsiasi |
Allow |
Poiché il sensore è in modalità bypass, la regola firewall basata su host non è efficace. |
| Attivo |
Qualsiasi |
Bypass livello processo |
Allow |
I processi ignorati e i relativi blocchi non sono bloccati dalle regole del firewall basato su host. |
| Attivo |
Blocco |
Consenti, Consenti & Registro |
Blocco |
Le regole del firewall basato su host hanno la precedenza sulle regole di autorizzazione non bypass. |
| Attivo |
Allow |
Blocco |
Blocco |
Il firewall basato su host che consente una connessione non impedisce l'applicazione di una regola di blocco e isolamento della rete tramite una comunicazione. |
Utilizzo del firewall basato su host di Carbon Black Cloud
Questa sezione fornisce una panoramica generale su come creare ed eseguire regole del firewall.
- Selezionare un criterio a cui aggiungere regole del firewall.
- Impostare la regola predefinita (Consenti tutti o Blocca tutti).
- Creare un gruppo di regole e popolarlo con regole del firewall.
- Visualizzare, creare e modificare i gruppi di regole e le regole in base alle necessità.
- Impostare Firewall basato su host su Abilitato nella scheda Sensore.
- Testare le regole.
Nota: È possibile testare una regola solo quando il relativo stato è impostato su Disabilitato.
- Rivedere il risultato delle regole. I dati delle regole di test vengono visualizzati nella pagina Indagini.
- Modificare le regole in base alle necessità e ripetere il test fino a quando le regole non sono eseguite come previsto.
- Interrompere le regole di test verificate per l'esecuzione come previsto e impostare lo stato su Abilitato.
- Se è stata disabilitata durante le modifiche, impostare Firewall basato su host su Abilitato nella scheda Sensor .
- Visualizzare gli eventi e gli avvisi relativi al firewall rispettivamente nelle pagine Indagini e Avvisi.
- Continuare a modificare le regole in base alle necessità. Associazione di gruppi di regole ordinati (classificati) alle policy di sicurezza; i gruppi di regole possono essere riutilizzati tra le policy di sicurezza.
- Le regole vengono valutate in ordine di precedenza definita dall'utente.
- Possibilità di testare le regole prima dell'applicazione.
- Conteggio dei comportamenti bloccati dal criterio Firewall basato su host.
- Visibilità sul livello di sicurezza degli asset tramite le pagine Alerts and Investigate nella console carbon black cloud.
Nota: L'add-on Firewall basato su host di Carbon Black Cloud richiede il sensore Windows v3.9 e versioni successive.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.