Produtos afetados:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versões afetadas:
- Sensor do Windows 3.9 ou superior
Sistemas operacionais afetados:
Regras de firewall baseadas em host
Uma regra de firewall é composta por uma ação e um objeto. As ações disponíveis são:
- Permitir: Permite o tráfego de rede
- Ação Block: Bloqueia o tráfego de rede
- Bloco e alerta: Bloqueia o tráfego de rede e envia um alerta para a página Alerts
As regras de firewall são baseadas na avaliação dos seguintes tipos de objetos:
- Local (computador cliente)
- Remoto (computador que se comunica com o computador cliente)
Nota: O host local é sempre o computador cliente instalado por sensor. O host remoto é qualquer computador ou dispositivo com o qual se comunica. Essa expressão da relação do host é independente da direção do tráfego.
- Endereço IP e intervalos de sub-rede
- Faixas de portas ou portas
- Protocolo (TCP, UDP, ICMP)
- Direção (entrada e saída)
- Aplicativo, determinado pelo caminho do arquivo
As regras de firewall podem ser combinadas no que é chamado de grupo de regras de firewall. Um grupo de regras de firewall é um conjunto lógico de regras de firewall que simplifica o gerenciamento de várias regras individuais em um único grupo que tem uma finalidade compartilhada (por exemplo, várias regras para controlar o acesso aos servidores FTP).
Os grupos de regras e regras são definidos em políticas, e as políticas são atribuídas aos ativos.
Precedência da regra
Ao criar e aplicar regras, lembre-se da seguinte ordem de precedência:
- As regras de bypass têm precedência sobre todas as outras regras. Por isso, as regras de Firewall baseadas em host têm precedência menor do que as regras bypass.
- As regras de Firewall baseadas em host têm precedência maior do que as regras permissions definidas como Allow ou Allow & Log.
Nota: Uma regra bypass de permissão no nível do processo não apenas ignora o processo especificado pela regra, mas também ignora qualquer um de seus processos filhos.
As condições existentes do sensor podem afetar a imposição de regras. Por exemplo, o sensor pode estar no modo de bypass ou em quarentena, ou os aplicativos podem ser bloqueados. O Firewall baseado em host do Carbon Black Cloud mantém a ação pretendida da regra, conforme especificado pelo usuário, embora a regra possa tomar uma ação real diferente quando ela for imposta com base na condição do sensor.
Por exemplo:
| Modo sensor |
Ação de firewall baseada em host pretendida |
Permissão pretendida ou regra de bloqueio e isolamento |
Ação real |
Resumo |
| Quarentena |
Qualquer um |
Qualquer um |
Bloquear |
As regras de block de quarentena substituem as regras e a permissão do Firewall baseado em host. |
| Ignorar |
Qualquer um |
Qualquer um |
Permitir |
Como o sensor está no modo bypass, a regra firewall baseado em host é ineficaz. |
| Ativa |
Qualquer um |
Ignorar o nível do processo |
Permitir |
Processos ignorados e seus descendentes não são bloqueados por regras de firewall baseadas em host. |
| Ativa |
Bloquear |
Permitir, Permitir e Registrar |
Bloquear |
As regras de firewall baseadas em host têm precedência sobre regras de permissão não ignorada. |
| Ativa |
Permitir |
Bloquear |
Bloquear |
O firewall baseado em host que permite uma conexão não impede que uma regra de bloqueio e isolamento de rede seja imposta. |
Usando o Firewall baseado em host do Carbon Black Cloud
Esta seção fornece uma visão geral de alto nível sobre como criar e executar regras de firewall.
- Selecione uma política à qual adicionar regras de firewall.
- Defina a regra padrão (Allow all ouBlock all).
- Crie um grupo de regras e preencha-o com regras de firewall.
- Visualize, crie e modifique grupos de regras e regras conforme necessário.
- Alterne Firewall baseado em host para Ativado na guia Sensor.
- Teste as regras.
Nota: Você só pode testar uma regra quando seu status estiver definido como Disabled.
- Analise o resultado das regras. Os dados da regra de teste são exibidos na página Investigar.
- Modifique as regras conforme necessário e teste novamente até que as regras executem conforme o esperado.
- Interrompa as regras de teste que são verificadas para serem executadas conforme o esperado e defina seu statuscomo Enabled.
- Se você tiver desabilitado isso durante as modificações, alterne Firewall baseado em host para Ativado naguia Sensor.
- Visualize eventos e alertas relacionados ao firewall nas páginas Investigate e Alerts, respectivamente.
- Continue modificando as regras conforme necessário. Associação de grupos de regras ordenados (classificados) a políticas de segurança; grupos de regras podem ser reutilizadas em políticas de segurança.
- As regras são avaliadas em ordem de precedência definida pelo usuário.
- Capacidade de testar regras antes da imposição.
- Contagem de comportamentos bloqueados pela política de firewall baseado em host.
- Visibilidade da postura de segurança dos ativos por meio das páginas Alerts e Investigate no console do Carbon Black Cloud.
Nota: O complemento firewall baseado em host do Carbon Black Cloud requer o sensor do Windows v3.9 e superior.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.