Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Så här skapar du exkluderingar och inkluderingar för VMware Carbon Black Cloud

Résumé: VMware Carbon Black-exkluderingar och -inkluderingar kan konfigureras enligt dessa anvisningar.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

VMware Carbon Black använder ryktes- och behörighetsregler för att hantera NGAV-exkluderingar (Next Generation Anti-Virus) i godkända listor och -inkluderingar i förbjudna listor. VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise använder Endpoint Detection and Response (EDR). EDR påverkas också av ryktes- och behörighetsregler. I den här artikeln beskrivs hur du ställer in dessa värden tillsammans med eventuella varningar som kan vara relevanta.


Berörda produkter:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Berörda operativsystem:

Windows
Mac
Linux


 

VMware Carbon Black Onboarding, del 3: Policyer och grupper

Längd: 03:37
Undertext: Finns på flera språk

VMware Carbon Black Cloud använder en kombination av policyer och rykten för att fastställa vilka åtgärder som vidtas.

Klicka på ett ämne nedan om du vill ha mer information.

Policyerna för VMware Carbon Black Cloud Prevention skiljer sig från policyerna för VMware Carbon Black Cloud Standard, Advanced och Enterprise. Klicka på en produkt om du vill ha mer information om den.

VMware Carbon Black Cloud Prevention har en strömlinjeformad metod för behörighetsregler samt blockering och isoleringsregler eftersom den inte använder EDR.

Obs! Ytterligare alternativ ingår i VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise. Information om de ytterligare alternativ som påverkar EDR finns i avsnittet Standard, Advanced och Enterprise i den här artikeln.

Klicka på ett ämne nedan om du vill ha mer information.

Behörighetsregler avgör vilka åtgärder som program på angivna sökvägar kan utföra.

Behörighetsregler är sökvägsbaserade och har företräde framför både blockerings- och isoleringsregler samt rykte.

Så här skapar du en behörighetsregel:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Enforce i den vänstra menyn.

Enforce

  1. Klicka på Policies.

Policyer

  1. Välj den policy som du vill ändra.

Välja en principuppsättning

Obs! I exempelbilderna används Standard som den policy som ska ändras.
  1. Klicka på Prevention i den högra menyn.

Prevention

  1. Klicka för att utöka Permissions.

Behörigheter

  1. Klicka för att utöka Add application path.

Lägg till programsökväg

  1. Fyll i sökvägen för att aktivera en åsidosättning.

Ställa in en förbikoppling

Obs!
  • I exempelbilden används följande sökvägar:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • I det här exemplet påverkar de åtgärder som tillämpas alla filer på alla enheter som innehåller sökvägarna \program files\dell\dell data protection\ och \programdata\dell\dell data protection\.
  • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
  • Miljövariabler som %WINDIR% stöds.
  • En enda asterisk (*) matchar alla tecken i samma katalog.
  • Dubbel asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
  • Exempel:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Välj den åtgärd som ska verkställas.

Välja en åtgärd

Obs!
  • I exempelbilden får åtgärdsförsök olika åtgärder genom att välja antingen Tillåt eller Förbigå.
  • När du väljer Operation Attempt of Performs (utför en åtgärd ) åsidosätts alla andra arbetsförsök och andra alternativ inaktiveras.
  • Åtgärdsdefinitioner:
    • Tillåt – Tillåter beteendet i den angivna sökvägen med information om åtgärden som loggas av VMware Carbon Black Cloud.
    • Bypass – Alla beteenden är tillåtna för angiven sökväg. Ingen information samlas in.
  1. Klicka på Save längst upp till höger eller längst ned på sidan.

Spara

Blockerings- och isoleringsregler är sökvägsbaserade och har företräde framför rykte. Blockerings- och isoleringsregler gör det möjligt för oss att ställa in en åtgärd för att neka eller avsluta när ett visst försök görs.

Så här skapar du en blockerings- och isoleringsregel:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Enforce i den vänstra menyn.

Enforce

  1. Klicka på Policies.

Policyer

  1. Välj den policy som du vill ändra.

Välja en principuppsättning

Obs! I exempelbilderna används Standard som den policy som ska ändras.
  1. Klicka på Prevention i den högra menyn.

Prevention

  1. Klicka för att utöka Blockering och isolering.

Blockering och isolering

  1. Fyll i programmets sökväg för att aktivera en blockerings- och isoleringsregel.

Fylla i en programsökväg

Obs!
  • Exempelbilden använder Excel.exe.
  • De åtgärder som har ställts in gäller för programmet där namnet excel.exe kördes från valfri katalog.
  • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
  • Miljövariabler som %WINDIR% stöds.
  • En enda asterisk (*) matchar alla tecken i samma katalog.
  • Dubbel asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
  • Exempel:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Klicka på Save i det övre högra hörnet.

Spara

Obs! Avsluta processen avslutas när den angivna åtgärden försöker köras.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise tillhandahåller alternativ med behörighetsregler, samt blockerings- och isoleringsregler, på grund av att EDR ingår.

Klicka på ett ämne nedan om du vill ha mer information.

Behörighetsregler avgör vilka åtgärder som program på angivna sökvägar kan utföra.

Behörighetsregler är sökvägsbaserade och har företräde framför både blockerings- och isoleringsregler samt rykte.

Så här skapar du en behörighetsregel:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Enforce i den vänstra menyn.

Enforce

  1. Klicka på Policies.

Policyer

  1. Välj den policy som du vill ändra.

Välja en principuppsättning

Obs! I exempelbilderna används Standard som den policy som ska ändras.
  1. Klicka på Prevention i den högra menyn.

Prevention

  1. Klicka för att utöka Permissions.

Behörigheter

  1. Klicka för att utöka Add application path.

Lägg till programsökväg

  1. Fyll i sökvägen för att aktivera en åsidosättning.

Ange en sökväg

Obs!
  • I exempelbilden används följande sökvägar:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • I det här exemplet påverkar de tillämpade åtgärderna alla filer på alla enheter som innehåller sökvägarna \program files\dell\dell data protection\ och \programdata\dell\dell data protection\.
  • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
  • Miljövariabler som %WINDIR% stöds.
  • En enda asterisk (*) matchar alla tecken i samma katalog.
  • Dubbel asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
  • Exempel:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Välj den åtgärd som ska verkställas.

Välja en åtgärd

Obs!
  • I exempelbilden tilldelas operationsförsök olika åtgärder genom val av antingen Allow, Allow & Log eller Bypass.
  • När operationsförsöket Performs any operation har valts åsidosätter detta alla andra operationsförsök och alla andra alternativ avaktiveras.
  • Alla åtgärder utom Performs any operation kan tillämpas på flera operationsförsök.
  • Åtgärdsdefinitioner:
    • Allow – Tillåter beteendet för angiven sökväg. Inget av det angivna beteendet för sökvägen loggas. Inga data skickas till VMware Carbon Black Cloud.
    • Allow & Log – Tillåter beteendet för angiven sökväg. All aktivitet loggas. Alla data rapporteras till VMware Carbon Black Cloud.
    • Bypass – Alla beteenden är tillåtna för angiven sökväg. Ingen aktivitet loggas. Inga data skickas till VMware Carbon Black Cloud.
  1. Klicka på Confirm längst ner i Permissions för att ställa in policyändringen.

Bekräfta

  1. Klicka på Save i det övre högra hörnet.

Spara

Blockerings- och isoleringsregler är sökvägsbaserade och har företräde framför rykte. Blockerings- och isoleringsregler gör det möjligt för oss att ställa in en åtgärd för att neka eller avsluta när ett visst försök görs.

Så här skapar du en blockerings- och isoleringsregel:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Enforce i den vänstra menyn.

Enforce

  1. Klicka på Policies.

Policyer

  1. Välj den policy som du vill ändra.

Välja en principuppsättning

Obs! I exempelbilderna används Standard som den policy som ska ändras.
  1. Klicka på Prevention i den högra menyn.

Prevention

  1. Klicka för att utöka Blockering och isolering.

Blockering och isolering

  1. Klicka för att utöka Add application path.

Lägg till programsökväg

  1. Fyll i programmets sökväg för att aktivera en blockerings- och isoleringsregel.

Fylla i en programsökväg

Obs!
  • Exempelbilden använder Excel.exe.
  • De åtgärder som har ställts in gäller för programmet där namnet excel.exe kördes från valfri katalog.
  • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
  • Miljövariabler som %WINDIR% stöds.
  • En enda asterisk (*) matchar alla tecken i samma katalog.
  • Dubbel asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
  • Exempel:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Välj vilken åtgärd som ska vidtas när operationsförsöket uppfylls och klicka sedan på Confirm.

Välja en åtgärd

  1. Klicka på Save i det övre högra hörnet.

Spara

Obs!
  • Neka åtgärd hindrar det angivna programmet från att utföra den angivna åtgärden som det försökte utföra.
  • Avsluta processen avslutas när den angivna åtgärden försöker köras.

VMware Carbon Black tilldelar ett rykte till varje fil som körs på en enhet med sensorn installerad. Redan befintliga filer börjar med ett effektivt rykte om LOCAL_WHITE tills de körs eller tills bakgrundsgenomsökningen har bearbetat dem och ger ett mer slutligt rykte.

Välj mellan alternativen Add an Application to the Reputation List eller läs Beskrivning av rykten. Klicka på ett ämne nedan om du vill ha mer information.

En program kan läggas till i rykteslistan via antingen sidan Reputations eller sidan Alerts. Klicka på lämpligt alternativ för mer information.

Så här lägger du till ett program i rykteslistan via sidan Reputations:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Enforce i den vänstra menyn.

Enforce

  1. Klicka på Reputation.

Rykte

En administratör kan lägga till ett program i listan över rykten med hjälp av SHA256-hash- eller IT-verktyget eller signeringscertifikatet. Klicka på lämpligt alternativ för mer information.

Obs! Filerna måste vara kända för VMware Carbon Black Cloud, dvs. vara synliga i miljön, och SHA256-hashen bearbetas av VMware Carbon Black Cloud. Det kan ta en stund efter att nya program först detekteras innan de blir kända för VMware Carbon Black Cloud. Detta kan resultera i att en fil inte direkt sorteras in i listan Approved eller listan Banned.

Så här lägger du till en SHA256-hash manuellt:

  1. Klicka på Add.

Lägga till

  1. Från Add Reputation:
    1. Välj Hash som typ.
    2. Välj antingen Approved List eller Banned List för listan.
    3. Fyll i SHA-256 hash.
    4. Fyll i postens Name.
    5. Fyll i Comments (valfritt).
    6. Klicka på Save.

Menyn Lägg till rykte

Obs!
  • Med en godkänd lista ställs alla berörda och kända filer automatiskt in så att de får ett rykte om sig att vara godkända av företaget.
  • Med InteroperabilitEt-listan ställs alla berörda och kända filer automatiskt in så att de får företagets rykte.

Så här lägger du till ett IT-verktyg manuellt:

  1. Klicka på Add.

Lägga till

  1. Från Add Reputation:
    1. Välj IT Tools som typ.
    2. Fyll i relativ Path of trusted IT tool.
    3. Du kan också välja Include all child processes.
    4. Fyll i Comments (valfritt).
    5. Klicka på Save.

Menyn Lägg till rykte

Obs!
  • IT-verktyg kan endast läggas till i listan Approved. Med Godkänd lista ställs alla berörda och kända filer automatiskt in så att de har ett rykte som lokalt vitt.
  • Alternativet omfattar alla underordnade processer som anger att, om det väljs, alla filer som ignoreras av underordnade processer i det nyligen definierade betrodda IT-verktyget också får det ursprungliga förtroendet.
  • Relativa sökvägar för IT-verktyg indikerar att den definierade sökvägen kan uppfyllas av den definierade sökvägsstrukturen.

Exempel:

I följande exempel är Path of trusted IT tool inställd på:

  • \sharefolder\folder2\application.exe

Om en administratör försöker köra filen på de här platserna lyckas undantaget:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Om en administratör försöker köra filen på de här platserna misslyckas undantaget:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

I de misslyckade exemplen kan sökvägen inte följas fullt ut.

Så här lägger du till ett signeringscertifikat manuellt:

  1. Klicka på Add.

Lägga till

  1. Från Add Reputation:
    1. Välj Certs som typ.
    2. Fyll i fältet Signed by.
    3. Du kan även fylla i Certificate Authority (valfritt).
    4. Fyll i Comments (valfritt).
    5. Klicka på Save.

Menyn Lägg till rykte

Obs!

Så här lägger man till ett program i rykteslistan via sidan Alerts:

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
Obs! [REGION] = klientens region
  1. Logga in på VMware Carbon Black Cloud.

Logga in

  1. Klicka på Alerts.

Varningar

  1. Välj sparrikonen bredvid den varning som du vill godkänna programmet för.

Välja varningen

  1. Klicka på Show all i underavsnittet Remediation.

Visa alla

  1. Klicka för att lägga till filen i antingen listan över godkända eller listan över förbjudna beroende på om hashen är betrodd eller inte.

Lägga till filen i listan med godkännanden eller den godkända listan

Obs! Du kan lägga till signeringscertifikatet så att andra program som delar det här certifikatet läggs till automatiskt i listan över godkända lokala certifikat.
Prioritet Rykte Sökvärde för rykte Beskrivning
1 Ignorera IGNORERA Självkontrollera ryktet som Carbon Black Cloud tilldelar produktfiler och beviljar dem med fullständig behörighet att köras.
  • Högsta prioritet
  • Filer har full behörighet för körning av Carbon Black, vanligtvis Carbon Black-produkter
2 Lista över godkända företag COMPANY_WHITE_LIST En hash läggs till manuellt i Company Approved List via Enforce > Reputations
3 Företagslista COMPANY_BLACK_LIST En hash läggs till manuellt i Company Banned List via Enforce > Reputations
4 Betrodd godkänd lista TRUSTED_WHITE_LIST Godkända av Carbon Black via antingen molnet, en lokal skanning eller bådadera
5 Kända skadliga program KNOWN_MALWARE Icke godkända av Carbon Black via antingen molnet, en lokal skanning eller bådadera
6 Misstänkt/heuristisk programvara SUSPECT_MALWARE HEURISTIC Misstänkt programvara som upptäcks av Carbon Black, men inte nödvändigtvis skadlig
7 Annonsprogram/PUP-program ADWARE PUP Annonsprogram och potentiellt oönskade program som upptäcks av Carbon Black
8 Local White LOCAL_WHITE Filen uppfyller något av följande villkor:
  • Filer som redan fanns före sensorinstallationen
  • Filer som lagts till i Approved List i IT Tools via Enforce > Reputations
  • Filer som lagts till i Approved List i Certs via Enforce > Reputations
9 Lista över allmänt godkända COMMON_WHITE_LIST Filen uppfyller något av följande villkor:
  • Hash finns inte i några kända godkända eller icke godkända listor OCH filen är signerad
  • Hash tidigare analyserad OCH inte på några kända godkända eller icke godkända listor
10 Ej listad/adaptiv godkänd lista NOT_LISTEDADAPTIVE_WHITE_LIST Det angivna ryktet anger att när sensorn kontrollerar programhashen med lokal skanner eller moln kan ingen post hittas om den – den finns inte med i ryktesdatabasen.
  • Moln: Hash har inte tidigare setts
  • Lokal skanner: Inte känd som icke godkänd, konfigurerat i policy
11 Unknown LÖSA Det okända ryktet indikerar att det inte finns något svar från någon av de rykteskällor som sensorn använder.
  • Lägsta prioritet
  • Sensorn observerar filbortfall men har ännu inte något rykte via molnet eller lokal skanner

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Informations supplémentaires

   

Vidéos

 

Produits concernés

VMware Carbon Black
Propriétés de l’article
Numéro d’article: 000182859
Type d’article: How To
Dernière modification: 04 janv. 2023
Version:  32
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.