Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Come creare esclusioni o inclusioni per VMware Carbon Black Cloud

Résumé: è possibile configurare le esclusioni e le inclusioni di VMware Carbon Black attenendosi a queste istruzioni.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

VMware Carbon Black utilizza Reputation e regole Permissions per gestire le esclusioni (Approved List) e le inclusioni (Banned List) NGAV (Next Generation Anti-Virus). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise utilizzano la funzionalità EDR (Endpoint Detection and Response). Tale funzionalità EDR è influenzata anche da Reputation e regole Permissions. Questo articolo illustra agli amministratori come impostare questi valori unitamente ad alcune avvertenze importanti.


Prodotti interessati:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Sistemi operativi interessati:

Windows
Mac
Linux


 

VMware Carbon Black Onboarding Parte 3: policy e gruppi

Durata: 03:37
Sottotitoli: Disponibile in più lingue

VMware Carbon Black Cloud utilizza una combinazione di opzioni Policies e Reputation per determinare le operazioni da eseguire.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Le policy di VMware Carbon Black Cloud Prevention sono diverse da quelle di VMware Carbon Black Cloud Standard, Advanced ed Enterprise. Per maggiori informazioni, cliccare sul prodotto appropriato.

La funzione Prevention di VMware Carbon Black Cloud fornisce un approccio semplificato alle regole Permissions e alle regole Blocking and Isolation in quanto non utilizza la funzionalità EDR.

Nota: in VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise sono incluse ulteriori opzioni. Per informazioni sulle opzioni aggiuntive che influiscono sulla funzionalità EDR, fare riferimento alla sezione Standard, Advanced ed Enterprise di questo articolo.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Le regole Permissions determinano le operazioni che le applicazioni possono eseguire nei percorsi specificati.

Tali regole si basano sul percorso e hanno la precedenza sulle regole Blocking and Isolation e su Reputation.

Per creare una regola Permissions:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Nel riquadro a sinistra, cliccare su Enforce.

Enforce

  1. Cliccare su Policies.

Policies

  1. Selezionare il set di policy che si desidera modificare.

Selezione di un set di policy

Nota: le immagini di esempio utilizzano Standard come set di policy selezionato per la modifica.
  1. Nel riquadro a destra, cliccare su Prevention.

Prevention

  1. Cliccare per espandere Permissions.

Autorizzazioni

  1. Cliccare per espandere Add application path.

Add application path

  1. Specificare il percorso previsto su cui impostare un bypass.

Impostazione di un bypass

Nota:
  • L'immagine di esempio utilizza i seguenti percorsi:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • In questo esempio, le azioni applicate hanno effetto su tutti i file di tutte le unità contenenti i percorsi \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
  • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
  • Le variabili ambientali come %WINDIR% sono supportate.
  • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
  • Gli asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
  • Esempi:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selezionare l'azione da applicare.

Selezione di un'azione

Nota:
  • Nell'immagine di esempio, ai tentativi di operazione vengono assegnate azioni diverse selezionando Allow o Bypass.
  • Quando si seleziona il tentativo di operazione Performs any operation, viene eseguito l'override di qualsiasi altro tentativo di operazione e viene disabilitata la selezione di eventuali altre opzioni.
  • Definizione delle azioni:
    • Allow: consente il comportamento nel percorso specificato con informazioni sull'azione registrate da VMware Carbon Black Cloud.
    • Bypass: il comportamento è consentito nel percorso specificato. Non vengono raccolte informazioni.
  1. Cliccare su Save in alto a destra o in fondo alla pagina.

Save

Le regole Blocking and Isolation sono basate sul percorso e hanno la precedenza su Reputation. Le regole Blocking and Isolation consentono di impostare un'azione "Deny operation" o "Terminate process" quando viene tentata un'operazione specifica.

Per creare una regola Blocking and Isolation:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Nel riquadro a sinistra, cliccare su Enforce.

Enforce

  1. Cliccare su Policies.

Policies

  1. Selezionare il set di policy che si desidera modificare.

Selezione di un set di policy

Nota: le immagini di esempio utilizzano Standard come set di policy selezionato per la modifica.
  1. Nel riquadro a destra, cliccare su Prevention.

Prevention

  1. Cliccare per espandere Blocking and Isolation.

Blocking and Isolation

  1. Specificare il percorso dell'applicazione su cui impostare una regola Blocking and Isolation.

Specifica di un percorso dell'applicazione

Nota:
  • L'immagine di esempio utilizza excel.exe.
  • Le azioni impostate si applicano all'applicazione con il nome excel.exe eseguita da qualsiasi directory.
  • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
  • Le variabili ambientali come %WINDIR% sono supportate.
  • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
  • Gli asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
  • Esempi:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Cliccare su Save in alto a destra.

Save

Nota: Terminate process termina il processo quando viene tentata l'esecuzione dell'operazione specificata.

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise offrono opzioni con regole di autorizzazione, nonché regole di blocco e isolamento, grazie all'inclusione di EDR.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Le regole Permissions determinano le operazioni che le applicazioni possono eseguire nei percorsi specificati.

Tali regole si basano sul percorso e hanno la precedenza sulle regole Blocking and Isolation e su Reputation.

Per creare una regola Permissions:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Nel riquadro a sinistra, cliccare su Enforce.

Enforce

  1. Cliccare su Policies.

Policies

  1. Selezionare il set di policy che si desidera modificare.

Selezione di un set di policy

Nota: le immagini di esempio utilizzano Standard come set di policy selezionato per la modifica.
  1. Nel riquadro a destra, cliccare su Prevention.

Prevention

  1. Cliccare per espandere Permissions.

Autorizzazioni

  1. Cliccare per espandere Add application path.

Add application path

  1. Specificare il percorso previsto su cui impostare un bypass.

Specifica di un percorso

Nota:
  • L'immagine di esempio utilizza i seguenti percorsi:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • In questo esempio, le azioni applicate hanno effetto su tutti i file di tutte le unità contenenti i percorsi \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
  • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
  • Le variabili ambientali come %WINDIR% sono supportate.
  • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
  • Gli asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
  • Esempi:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selezionare l'azione da applicare.

Selezione di un'azione

Nota:
  • Nell'immagine di esempio, ai tentativi di operazione vengono assegnate azioni diverse selezionando Allow, Allow & Log o Bypass.
  • Quando si seleziona il tentativo di operazione Performs any operation, viene eseguito l'override di qualsiasi altro tentativo di operazione e viene disabilitata la selezione di eventuali altre opzioni.
  • Ogni azione, ad eccezione di Performs any operation, può essere applicata a più tentativi di operazione.
  • Definizione delle azioni:
    • Allow: consente il comportamento nel percorso specificato; non viene registrato alcun comportamento specificato nel percorso. Nessun dato viene inviato a VMware Carbon Black Cloud.
    • Allow & Log: consente il comportamento nel percorso specificato; viene registrata tutta l'attività. Tutti i dati vengono inviati a VMware Carbon Black Cloud.
    • Bypass: il comportamento è consentito nel percorso specificato; non viene registrato nulla. Nessun dato viene inviato a VMware Carbon Black Cloud.
  1. Cliccare su Confirm in fondo a Permissions per impostare la modifica della policy.

Confirm

  1. Cliccare su Save in alto a destra.

Save

Le regole Blocking and Isolation sono basate sul percorso e hanno la precedenza su Reputation. Le regole Blocking and Isolation consentono di impostare un'azione "Deny operation" o "Terminate process" quando viene tentata un'operazione specifica.

Per creare una regola Blocking and Isolation:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Nel riquadro a sinistra, cliccare su Enforce.

Enforce

  1. Cliccare su Policies.

Policies

  1. Selezionare il set di policy che si desidera modificare.

Selezione di un set di policy

Nota: le immagini di esempio utilizzano Standard come set di policy selezionato per la modifica.
  1. Nel riquadro a destra, cliccare su Prevention.

Prevention

  1. Cliccare per espandere Blocking and Isolation.

Blocking and Isolation

  1. Cliccare per espandere Add application path.

Add application path

  1. Specificare il percorso dell'applicazione su cui impostare una regola Blocking and Isolation.

Specifica di un percorso dell'applicazione

Nota:
  • L'immagine di esempio utilizza excel.exe.
  • Le azioni impostate si applicano all'applicazione con il nome excel.exe eseguita da qualsiasi directory.
  • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
  • Le variabili ambientali come %WINDIR% sono supportate.
  • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
  • Gli asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
  • Esempi:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selezionare l'azione da eseguire quando il tentativo di operazione è soddisfatto, quindi cliccare su Confirm.

Selezione di un'azione

  1. Cliccare su Save in alto a destra.

Save

Nota:
  • Deny operation impedisce all'applicazione elencata di eseguire l'operazione specificata che ha tentato di eseguire.
  • Terminate process termina il processo quando viene tentata l'esecuzione dell'operazione specificata.

VMware Carbon Black assegna una "reputazione" a ogni file eseguito su un dispositivo con il sensore installato. I file preesistenti iniziano con una reputazione effettiva LOCAL_WHITE finché non vengono eseguiti o fino a quando la scansione in background non li elabora e assegna loro una reputazione più definitiva.

Aggiungere un'applicazione all'elenco Reputation o fare riferimento a Descrizione delle Reputation. Cliccare sull'argomento appropriato per ulteriori informazioni.

È possibile aggiungere un'applicazione all'elenco Reputation tramite la pagina Reputation o la pagina Alerts. Per maggiori informazioni, cliccare sull'opzione appropriata.

Per aggiungere un'applicazione all'elenco Reputation tramite la pagina Reputation:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Nel riquadro a sinistra, cliccare su Enforce.

Enforce

  1. Cliccare su Reputation.

Reputation

Un amministratore può aggiungere un'applicazione all'elenco Reputation utilizzando un hash SHA256, uno strumento IT o un certificato di firma. Per maggiori informazioni, cliccare sull'opzione appropriata.

Nota: i file devono essere noti a VMware Carbon Black Cloud all'interno dell'ambiente e l'hash SHA256 deve essere elaborato da VMware Carbon Black Cloud. Le nuove applicazioni potrebbero richiedere un certo tempo dopo il loro primo rilevamento prima di essere riconosciute da VMware Carbon Black Cloud. Di conseguenza è possibile che a un file interessato non venga immediata assegnato un Approved List o un Banned List.

Per aggiungere manualmente un hash SHA256:

  1. Cliccare su Add.

Aggiungi

  1. In Add Reputation:
    1. Selezionare Hash per Type.
    2. Selezionare Approved List o Banned List per List.
    3. Compilare il campo SHA-256.
    4. Compilare il campo Name.
    5. Se si desidera, compilare il campo Comments.
    6. Cliccare su Save.

Menu Add reputation

Nota:
  • Approved List imposta automaticamente ogni file interessato e noto con una reputazione Company Approved.
  • Banned List imposta automaticamente ogni file interessato e noto con una reputazione Company Banned.

Per aggiungere manualmente uno strumento IT:

  1. Cliccare su Add.

Aggiungi

  1. In Add Reputation:
    1. Selezionare IT Tools per Type.
    2. Compilare il relativo campo Path of trusted IT tool.
    3. Se si desidera, selezionare Include all child processes.
    4. Se si desidera, compilare il campo Comments.
    5. Cliccare su Save.

Menu Add reputation

Nota:
  • gli strumenti IT possono essere aggiunti solo in Approved List. Approved List imposta automaticamente ogni file interessato e noto con una reputazione Local White.
  • Se si seleziona l'opzione Include all child processes, anche tutti i file rilasciati dai processi figlio dello strumento IT appena definito attendibile ricevono l'attendibilità iniziale.
  • I relativi percorsi per gli strumenti IT indicano che il percorso definito deve essere rispettato.

Esempio:

Per gli esempi seguenti, il campo Path of trusted IT tool è impostato su:

  • \sharefolder\folder2\application.exe

Se un amministratore tenta di eseguire il file in queste posizioni, l'esclusione ha esito positivo:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Se un amministratore tenta di eseguire il file in queste posizioni, l'esclusione non riesce:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Negli esempi di esclusione non riuscita, il percorso non può essere interamente rispettato.

Per aggiungere manualmente un certificato di firma:

  1. Cliccare su Add.

Aggiungi

  1. In Add Reputation:
    1. Selezionare Certs per Type.
    2. Compilare il campo Signed by.
    3. Se si desidera, compilare il campo Certificate Authority.
    4. Se si desidera, compilare il campo Comments.
    5. Cliccare su Save.

Menu Add reputation

Nota:

Per aggiungere un'applicazione all'elenco Reputation tramite la pagina Alerts:

  1. In un web browser, accedere a [REGION].conferdeploy.net.
Nota: [REGION] = regione del tenant
  1. Accedere a VMware Carbon Black Cloud.

Informazioni di accesso

  1. Cliccare su Alerts.

Alerts

  1. Selezionare la freccia di espansione accanto all'avviso per il quale si desidera approvare l'applicazione.

Selezione dell'avviso

  1. Cliccare su Show all nella sottosezione Remediation.

Show all

  1. Cliccare su Add per aggiungere il file in Banned List o in Approved List a seconda che l'hash sia non attendibile o attendibile.

Aggiunta del file all'elenco Banned List o all'elenco Approved List

Nota: è possibile aggiungere il certificato di firma in modo che le altre applicazioni che condividono questo certificato vengano aggiunte automaticamente nell'elenco Approved List locale.
Priorità Reputation Valore di ricerca Reputation Descrizione
1 Ignore IGNORE Reputazione verificata autonomamente che Carbon Black Cloud assegna ai file di prodotto e a cui concede autorizzazioni complete di esecuzione.
  • Priorità massima
  • I file dispongono di autorizzazioni di esecuzione complete da parte di Carbon Black, in genere prodotti Carbon Black
2 Company Approved List COMPANY_WHITE_LIST Hash aggiunti manualmente in Company Approved List selezionando Enforce > Reputations
3 Company Banned List COMPANY_BLACK_LIST Hash aggiunti manualmente in Company Banned List selezionando Enforce > Reputations
4 Trusted Approved List TRUSTED_WHITE_LIST File privi di minacce note rilevati da Carbon Black tramite cloud, scansione locale o entrambi
5 Known Malware KNOWN_MALWARE File dannosi noti rilevati da Carbon Black tramite cloud, scansione locale o entrambi
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware sospetto rilevato da Carbon Black, ma non necessariamente dannoso
7 Malware adware/PUP ADWARE PUP Adware e programmi potenzialmente indesiderati rilevati da Carbon Black
8 Local White LOCAL_WHITE Il file ha soddisfatto una delle seguenti condizioni:
  • File esistenti prima dell'installazione del sensore
  • File aggiunti in Approved List in IT Tools selezionando Enforce > Reputations
  • File aggiunti in Approved List in Certs selezionando Enforce > Reputations
9 Common Approved List COMMON_WHITE_LIST Il file ha soddisfatto una delle seguenti condizioni:
  • Hash non presente in alcun elenco di hash privi di minacce note o di hash dannosi noti E il file è firmato
  • Hash precedentemente analizzato E non presente in alcun elenco di hash privi di minacce note o di hash dannosi noti
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST La reputazione Not Listed indica che, dopo che controllo dell'hash dell'applicazione da parte del sensore tramite scansione locale o cloud, non è stato trovato alcun record al riguardo, ovvero non è presente nel database di reputazione.
  • Cloud: hash non rilevato in precedenza
  • Scansione locale: Non dannoso noto, configurato in una policy
11 Unknown RESOLVING La reputazione Unknown indica che non vi è alcuna risposta da parte di nessuna delle fonti di reputazione utilizzate dal sensore.
  • Priorità minima
  • Il sensore osserva il rilascio del file ma non dispone ancora di una reputazione tramite cloud o scansione locale

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Informations supplémentaires

   

Vidéos

 

Produits concernés

VMware Carbon Black
Propriétés de l’article
Numéro d’article: 000182859
Type d’article: How To
Dernière modification: 04 janv. 2023
Version:  32
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.