Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Poisjättöjen ja sisällytysten luominen VMware Carbon Black Cloud -ympäristössä

Summary: VMware Carbon Black -poisjätöt ja sisällytykset voidaan määrittää näiden ohjeiden mukaisesti.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

VMware Carbon Black käyttää maine- ja käyttöoikeussääntöjä seuraavan sukupolven virustorjunnan (NGAV) poisjättöjen (hyväksyttyjen luettelot) ja sisällytysten (kiellettyjen luettelot) käsittelyyn. VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced ja VMware Carbon Black Cloud Enterprise käyttävät päätepisteiden tunnistusta ja reagointia (EDR). EDR:ään vaikuttavat myös maine- ja käyttöoikeussäännöt. Tässä artikkelissa järjestelmänvalvojat voivat määrittää nämä arvot ja mahdolliset olennaiset hälytykset.


Tuotteet, joita asia koskee:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Käyttöjärjestelmät, joita asia koskee:

Windows
Mac
Linux


 

VMware Carbon Black -asennusosa 3: Käytännöt ja ryhmät

Kesto: 3.37
Tekstitys: Saatavana useilla kielillä

VMware Carbon Black Cloud käyttää käytäntöjen ja maineen yhdistelmää määrittääkseen, mitä toimintoja suoritetaan.

Katso lisätietoja valitsemalla asianmukainen aihe.

VMware Carbon Black Cloud Prevention -käytännöt poikkeavat VMware Carbon Black Cloud Standard- , Advanced- ja Enterprise-käytännöistä. Katso lisätietoja valitsemalla asianmukainen tuote.

VMware Carbon Black Cloud Prevention tarjoaa virtaviivaisen lähestymistavan käyttöoikeussääntöihin sekä esto- ja eristyssääntöihin, koska se ei käytä EDR:ää.

Huomautus: VMware Carbon Black Cloud Standard-, VMware Carbon Black Cloud Advanced- ja VMware Carbon Black Cloud Enterprise -tuki sisältää lisävaihtoehtoja. Lisätietoja EDR:ään vaikuttavista lisäasetuksista on tämän artikkelin Standard, Advanced, and Enterprise -osiossa.

Katso lisätietoja valitsemalla asianmukainen aihe.

Käyttöoikeussäännöt määrittävät, mitä toimintoja sovellukset määritetyillä poluilla voivat suorittaa.

Käyttöoikeussäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia esto-, eristys- ja mainesääntöihin nähden.

Käyttöoikeussäännön luominen:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu sisään

  1. Valitse vasemmassa valikkoruudussa Enforce.

Ota käyttöön

  1. Valitse Policies.

Käytännöt

  1. Valitse käytäntö, jota haluat muokata:

Käytäntöjoukon valitseminen

Huomautus: Esimerkkikuvissa Standard-käytäntö on valittu muokattavaksi.
  1. Valitse oikeassa valikkoruudussa Prevention.

Estäminen

  1. Suurenna napsauttamalla Permissions.

Käyttöoikeudet

  1. Suurenna napsauttamalla Add application path.

Lisää sovelluspolku

  1. Määritä suunniteltu polku ohituksen asettamiseen.

Ohituksen määrittäminen

Huomautus:
  • Esimerkkikuvassa käytetään seuraavia polkuja:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • Tässä esimerkissä käytettävät toiminnot vaikuttavat kaikkiin polkuja sisältävien asemien kaikkiin tiedostoihin\program files\dell\dell data protection\.\programdata\dell\dell data protection\
  • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
  • Tuetaan esimerkiksi %WINDIR% ympäristömuuttujia.
  • Yksittäinen tähti (*) vastaa kaikkia saman hakemiston merkkejä.
  • Kaksi tähtiä (**) vastaavat kaikkia merkkejä samassa hakemistossa, useissa hakemistoissa ja kaikissa määritetyn sijainnin tai tiedoston ylä- tai alapuolella olevissa hakemistoissa.
  • Esimerkkejä:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Valitse käyttöön otettava Action .

Toiminnon valitseminen

Huomautus:
  • Esimerkissä toimintoyritykset voidaan suorittaa eri toiminnoilla valitsemalla Allow (Salli ) tai Bypass (Ohita).
  • Kun toiminto yrittää suorittaa minkä tahansa toiminnon , se ohittaa kaikki muut yritykset ja poistaa käytöstä muiden vaihtoehtojen valinnan.
  • Toimintojen määritelmät:
    • Allow sallii määritetyn polun toiminnan siten, että VMware Carbon Black Cloud kirjaa tiedot toiminnosta.
    • Bypass – kaikki toiminta on sallittu määritetyllä polulla. Tietoja ei kerätä.
  1. Valitse Save sivun oikeasta yläkulmasta tai alareunasta.

Save

Esto- ja eristyssäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia mainesääntöihin nähden. Esto- ja eristyssäännöillä voi määrittää Estä- tai Lopeta prosessi -toiminnon, kun tiettyä toimintoa yritetään.

Esto- ja eristyssäännön luominen:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu

  1. Valitse vasemmassa valikkoruudussa Enforce.

Ota käyttöön

  1. Valitse Policies.

Käytännöt

  1. Valitse käytäntö, jota haluat muokata:

Käytäntöjoukon valitseminen

Huomautus: Esimerkkikuvissa Standard-käytäntö on valittu muokattavaksi.
  1. Valitse oikeassa valikkoruudussa Prevention.

Estäminen

  1. Suurenna napsauttamalla Blocking and Isolation.

Esto ja eristys

  1. Aseta esto- ja eristyssääntö määrittämällä sovelluspolku.

Sovelluspolun täyttäminen

Huomautus:
  • Esimerkkikuvassa käytetään nimeä excel.exe.
  • Määritetyt toiminnot koskevat missä tahansa hakemistossa suoritettua sovellusta, jonka nimi on excel.exe.
  • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
  • Tuetaan esimerkiksi %WINDIR% ympäristömuuttujia.
  • Yksittäinen tähti (*) vastaa kaikkia saman hakemiston merkkejä.
  • Kaksi tähtiä (**) vastaavat kaikkia merkkejä samassa hakemistossa, useissa hakemistoissa ja kaikissa määritetyn sijainnin tai tiedoston ylä- tai alapuolella olevissa hakemistoissa.
  • Esimerkkejä:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Valitse oikeasta yläkulmasta Save.

Save

Huomautus: Terminate process lopettaa prosessin, kun määritetty toiminto on suoritettu.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced ja VMware Carbon Black Cloud Enterprise tarjoavat vaihtoehdot käyttöoikeussäännöillä sekä esto- ja eristyssäännöillä EDR:n sisällyttämisen vuoksi.

Katso lisätietoja valitsemalla asianmukainen aihe.

Käyttöoikeussäännöt määrittävät, mitä toimintoja sovellukset määritetyillä poluilla voivat suorittaa.

Käyttöoikeussäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia esto-, eristys- ja mainesääntöihin nähden.

Käyttöoikeussäännön luominen:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu sisään

  1. Valitse vasemmassa valikkoruudussa Enforce.

Ota käyttöön

  1. Valitse Policies.

Käytännöt

  1. Valitse käytäntö, jota haluat muokata:

Käytäntöjoukon valitseminen

Huomautus: Esimerkkikuvissa Standard-käytäntö on valittu muokattavaksi.
  1. Valitse oikeassa valikkoruudussa Prevention.

Estäminen

  1. Suurenna napsauttamalla Permissions.

Käyttöoikeudet

  1. Suurenna napsauttamalla Add application path.

Lisää sovelluspolku

  1. Määritä suunniteltu polku ohituksen asettamiseen.

Polun asentaminen

Huomautus:
  • Esimerkkikuvassa käytetään seuraavia polkuja:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • Tässä esimerkissä tehdyt toiminnot vaikuttavat kaikkiin tiedostoihin asemilla, jotka sisältävät polut \program files\dell\dell data protection\ ja \programdata\dell\dell data protection\.
  • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
  • Laite tukee ympäristömuuttujia, kuten %WINDIR%.
  • Yksittäinen tähti (*) vastaa kaikkia saman hakemiston merkkejä.
  • Kaksi tähtiä (**) vastaavat kaikkia merkkejä samassa hakemistossa, useissa hakemistoissa ja kaikissa määritetyn sijainnin tai tiedoston ylä- tai alapuolella olevissa hakemistoissa.
  • Esimerkkejä:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Valitse käyttöön otettava Action .

Toiminnon valitseminen

Huomautus:
  • Esimerkkikuvassa eri toimintoja voidaan käyttää valitsemalla Allow, Allow & Log tai Bypass.
  • Kun Performs any operation on valittuna, tämä ohittaa minkä tahansa muun yritettävän toiminnon ja poistaa muiden vaihtoehtojen valinnan käytöstä.
  • Kaikki toiminnot lukuun ottamatta toimintoa Performs any operation -toimintoa, voidaan ottaa käyttöön useilla eri käyttöyrityskerroilla.
  • Toimintojen määritelmät:
    • Allow sallii toiminnan määritetyllä polulla. Mitään polun määritetyistä toimista ei kirjata. VMware Carbon Black Cloudiin ei lähetetä tietoja.
    • Allow & Log mahdollistaa määritetyn polun käytön. Kaikki toiminnot kirjataan. Kaikki tiedot raportoidaan VMware Carbon Black Cloudiin.
    • Bypass sallii kaikki toiminnot määritetyssä polussa. Mitään ei kirjata. VMware Carbon Black Cloudiin ei lähetetä tietoja.
  1. Vahvista käytännön muutos valitsemalla Confirm kohdastaPermissions.

Vahvista

  1. Valitse oikeasta yläkulmasta Save.

Save

Esto- ja eristyssäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia mainesääntöihin nähden. Esto- ja eristyssäännöillä voi määrittää Estä- tai Lopeta prosessi -toiminnon, kun tiettyä toimintoa yritetään.

Esto- ja eristyssäännön luominen:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu sisään

  1. Valitse vasemmassa valikkoruudussa Enforce.

Ota käyttöön

  1. Valitse Policies.

Käytännöt

  1. Valitse käytäntö, jota haluat muokata:

Käytäntöjoukon valitseminen

Huomautus: Esimerkkikuvissa Standard-käytäntö on valittu muokattavaksi.
  1. Valitse oikeassa valikkoruudussa Prevention.

Estäminen

  1. Suurenna napsauttamalla Blocking and Isolation.

Esto ja eristys

  1. Suurenna napsauttamalla Add application path.

Lisää sovelluspolku

  1. Aseta esto- ja eristyssääntö määrittämällä sovelluspolku.

Sovelluspolun täyttäminen

Huomautus:
  • Esimerkkikuvassa käytetään nimeä excel.exe.
  • Määritetyt toiminnot koskevat missä tahansa hakemistossa suoritettua sovellusta, jonka nimi on excel.exe.
  • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
  • Tuetaan esimerkiksi %WINDIR% ympäristömuuttujia.
  • Yksittäinen tähti (*) vastaa kaikkia saman hakemiston merkkejä.
  • Kaksi tähtiä (**) vastaavat kaikkia merkkejä samassa hakemistossa, useissa hakemistoissa ja kaikissa määritetyn sijainnin tai tiedoston ylä- tai alapuolella olevissa hakemistoissa.
  • Esimerkkejä:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Valitse suoritettava Action, kun toimenpidettä yritetään, ja valitse sitten Confirm.

Toiminnon valitseminen

  1. Valitse oikeasta yläkulmasta Save.

Save

Huomautus:
  • Deny operation estää luettelon sovellusta suorittamasta määritettyä toimintoa, jota se yritti suorittaa.
  • Terminate process lopettaa prosessin, kun määritetty toiminto on suoritettu.

VMware Carbon Black määrittää maineen jokaiselle tiedostolle, joka toimii laitteella, johon on asennettu anturi. Olemassa olevien tiedostojen maine on LOCAL_WHITE, kunnes ne saavat paremman maineen suorittamisen tai taustatarkistuksen jälkeen.

Voit joko lisätä sovelluksen maineluetteloon tai käyttää maineen kuvauksia. Katso lisätietoja valitsemalla asianmukainen aihe.

Sovellus voidaan lisätä maineluetteloon joko kohdassa Reputations page tai Alerts Page. Katso lisätietoja valitsemalla asianmukainen vaihtoehto.

Lisää sovellus maineluetteloon:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu sisään

  1. Valitse vasemmassa valikkoruudussa Enforce.

Ota käyttöön

  1. Valitse Reputation.

Maine

Järjestelmänvalvoja voi lisätä sovelluksen maineluetteloon KÄYTTÄMÄLLÄ SHA256-hajautusarvoa, IT-työkalua tai allekirjoitusvarmentetta. Katso lisätietoja valitsemalla asianmukainen vaihtoehto.

Huomautus: Tiedostojen on oltava VMware Carbon Black Cloudin tiedossa siten, että ne näkyvät ympäristössä ja VMware Carbon Black Cloud käsittelee SHA256-hajautusarvon. Uusien sovellusten ensimmäisestä havaitsemisesta saattaa kulua jonkin aikaa, ennen kuin ne ovat VMware Carbon Black Cloudin tiedossa. Tämä voi johtaa siihen, että Approved List tai Banned List ei välity heti tiedostoon, jota ongelma koskee.

SHA256-hajautusarvon lisääminen manuaalisesti:

  1. Valitse Add.

Lisääminen

  1. Add Reputation -kohdasta:
    1. Valitse Hash.
    2. Valitse joko Approved List tai Banned List.
    3. Määritä SHA-256-palvelin.
    4. Määritä Name.
    5. Lisää halutessasi Comments.
    6. Valitse Save.

Add Reputation -valikko

Huomautus:
  • Hyväksytty luettelo määrittää automaattisesti kaikki kyseiset ja tunnetut tiedostot, joilla on yrityksen maine.
  • Kiellettyjen luettelot määrittävät automaattisesti kaikki kyseiset ja tunnetut tiedostot, joiden maine yrityksen kohdalla on kielletty.

IT-työkalun lisääminen manuaalisesti:

  1. Valitse Add.

Lisääminen

  1. Add Reputation -kohdasta:
    1. Valitse IT-työkalut.
    2. Lisää suhteellinen Path of trusted IT tool.
    3. Voit myös valita Include all child processes.
    4. Lisää halutessasi Comments.
    5. Valitse Save.

Add Reputation -valikko

Huomautus:
  • IT-työkalut voidaan lisätä vain kohtaan Approved List. Hyväksytty luettelo määrittää automaattisesti kaikki tiedostot, joita ongelma koskee, ja tunnetut tiedostot, joilla on paikallisen valkoisen maine.
  • Kun vaihtoehto Include all child processes on valittuna, kaikki äskettäin määritellyn luotetun IT-työkalun aliprosessien tallentamat tiedostot saavat myös alkuperäisen luottamuksen.
  • IT-työkalujen suhteelliset polut osoittavat, että määritetty polku voidaan toteuttaa määritetyllä polulla.

Esimerkki:

Seuraavissa esimerkeissä luotetun IT-työkalun polku on:

  • \sharefolder\folder2\application.exe

Jos järjestelmänvalvoja yrittää suorittaa tiedoston näissä sijainneissa, poikkeus onnistuu:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Jos järjestelmänvalvoja yrittää suorittaa tiedoston näissä sijainneissa, poikkeus epäonnistuu:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Epäonnistuneissa esimerkeissä polkua ei voida toteuttaa kokonaan.

Allekirjoitusvarmenteen lisääminen manuaalisesti:

  1. Valitse Add.

Lisääminen

  1. Add Reputation -kohdasta:
    1. Valitse Certs.
    2. Määritä kohta Signed by.
    3. Lisää halutessasi Certificate Authority.
    4. Voit myös kirjoittaa Comments.
    5. Valitse Save.

Add Reputation -valikko

Huomautus:

Sovelluksen lisääminen maineluetteloon Alerts-sivulla:

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
  1. Kirjaudu VMware Carbon Black Cloudiin.

Kirjaudu sisään

  1. Valitse Alerts.

Alerts

  1. Valitse nuolikuva sen hälytyksen vierestä, jonka haluat hyväksyä.

Ilmoituksen valitseminen

  1. Valitse Show all Remediation-alakohdasta.

Näytä kaikki

  1. Valitse Add ja lisää tiedosto joko estettyjen tai hyväksyttyjen luetteloon sen mukaan, onko hajautusarvo epäluotettava vai luotettu.

Tiedoston lisääminen kiellettyjen luetteloon tai hyväksyttyjen luetteloon

Huomautus: allekirjoitusvarmenne voidaan lisätä siten, että muut tämän varmenteen jakavat sovellukset lisätään automaattisesti paikalliseen hyväksyttyjen luetteloon.
Prioriteetti Maine Mainehaun arvo Kuvaus
1 Ohitus OHITA Tarkista, että Carbon Black Cloud määrittää sen tuotetiedostoille, ja anna heille täydet käyttöoikeudet suorittamiseen.
  • Korkein prioriteetti
  • Tiedostoilla on täydet oikeudet käyttää Carbon Black -tuotteita
2 Yrityksen hyväksytty luettelo COMPANY_WHITE_LIST Hajautusarvot lisätään manuaalisesti yrityksen hyväksyttyjen luetteloon valitsemalla Enforce > Reputations
3 Yrityksen kiellettyjen luettelo COMPANY_BLACK_LIST Hajautusarvot lisätään manuaalisesti yrityksen estettyjen listalle valitsemalla Enforce > Reputations
4 Luotettujen hyväksyttyjen luettelo TRUSTED_WHITE_LIST Carbon Blackin hyväksi tunnistama joko pilvipalvelusta, paikallisesta skannerista tai molemmista
5 Tunnettu haittaohjelma KNOWN_MALWARE Carbon Blackin huonoksi tunnistama joko pilvipalvelusta, paikallisesta skannerista tai molemmista
6 Epäilyttävät/heuristiset haittaohjelmat SUSPECT_MALWARE HEURISTINEN Carbon Blackin havaitsemat epäilyttävät haittaohjelmat, jotka eivät välttämättä ole haitallisilta.
7 Mainos-/PUP-haittaohjelma ADWARE PUP Carbon Blackin havaitsemat mainoshaittaohjelmat ja mahdollisesti ei-toivotut ohjelmat
8 Local White LOCAL_WHITE Tiedosto on täyttänyt jonkin seuraavista ehdoista:
  • Tiedostot, jotka on luotu ennen anturin asentamista
  • Tiedostot, jotka on lisätty hyväksyttyjen luetteloon IT-työkaluissa valitsemalla Enforce > Reputations
  • Tiedostot, jotka on lisätty hyväksyttyjen luetteloon kohdassa Certs valitsemalla Enforce > Reputations.
9 Yleinen hyväksytty luettelo COMMON_WHITE_LIST Tiedosto on täyttänyt jonkin seuraavista ehdoista:
  • Hajautusarvo ei ole missään tunnettujen hyvien tai huonojen luetteloissa JA tiedosto on allekirjoitettu.
  • Hajautusarvo on analysoitu aiemmin JA ei ole missään tunnettujen hyvien tai huonojen luetteloissa
10 Ei luettelossa /mukautuva hyväksytty luettelo NOT_LISTEDADAPTIVE_WHITE_LIST Not Listed -maine osoittaa, että kun anturi tarkistaa sovelluksen hajautusarvon paikallisella skannerilla tai pilvellä, siitä ei löydy tietuetta – se ei näy mainetietokannassa.
  • Pilvi: Hajautusarvoa ei ole nähty aiemmin
  • Paikallinen skanneri: Ei tunnetusti huono, määritetty käytännöissä
11 Tuntematon RATKAISTA Tuntematon maine tarkoittaa, että anturin käyttämät mainelähteet eivät reagoi.
  • Matalin prioriteetti
  • Anturi havaitsee tiedoston tallennuksen, mutta sillä ei ole vielä mainetta pilvipalvelusta tai paikallisesta skannerista

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 04 Jan 2023
Version:  32
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.