Passa al contenuto principale
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti

Come utilizzare il firewall basato su host di VMware Carbon Black Cloud

Riepilogo: VMware Carbon Black Host-Based Firewall viene utilizzato configurando le regole del firewall.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.

Istruzioni


Prodotti interessati:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Versioni interessate:

  • Sensore Windows 3.9 o versione successiva

Sistemi operativi interessati:

  • Windows

Nota: Per ulteriori informazioni sulle versioni di VMware Carbon Black Cloud, fare riferimento a What are the Differences Between VMware Carbon Black Cloud Versions( Quali sono le differenze tra le versioni di VMware Carbon Black Cloud).

Regole del firewall basato su host

Una regola del firewall è costituita da un'azione e da un object. Le azioni disponibili sono:

  • Consentire: Consente il traffico di rete
  • Block: Blocca il traffico di rete
  • Blocco e avviso: Blocca il traffico di rete e invia un avviso alla pagina Alerts

Le regole del firewall si basano sulla valutazione dei seguenti tipi di object:

  • Locale (computer client)
  • Remoto (computer che comunica con il computer client)
Nota: L'host locale è sempre il computer client installato dal sensore. L'host remoto è qualsiasi computer o dispositivo con cui comunica. Questa espressione della relazione host è indipendente dalla direzione del traffico.
  • Intervalli di indirizzi IP e subnet
  • Intervalli di porte o porte
  • Protocollo (TCP, UDP, ICMP)
  • Direzione (in entrata e in uscita)
  • Applicazione, determinata dal percorso del file

Le regole del firewall possono essere combinate in un gruppo di regole firewall. Un gruppo di regole firewall è un set logico di regole firewall che semplifica la gestione di più regole singole in un singolo gruppo con uno scopo condiviso (ad esempio, più regole per controllare l'accesso ai server FTP).

I gruppi di regole e le regole sono definiti nelle policy e le policy vengono assegnate agli asset.

Precedenza delle regole

Quando si creano e si applicano regole, tenere presente il seguente ordine di precedenza:

  • Le regole di bypass hanno la precedenza su tutte le altre regole. Per questo motivo, le regole firewall basate su host hanno una precedenza inferiore rispetto alle regole di bypass.
  • Le regole del firewall basato su host hanno una priorità superiore rispetto alle regole di autorizzazione impostate su Consenti o Consenti & Log.
Nota: Una regola Di esclusione delle autorizzazioni a livello di processo non solo ignora il processo specificato dalla regola, ma ignora anche eventuali processi figlio.

Le condizioni del sensore esistenti possono influire sull'applicazione delle regole. Ad esempio, il sensore può essere in modalità bypass o messa in quarantena oppure le applicazioni possono essere bloccate. Il firewall basato su host di Carbon Black Cloud mantiene l'azione prevista della regola come specificato dall'utente, anche se la regola può intraprendere un'azione effettiva diversa quando viene applicata in base alla condizione del sensore.

Ad esempio:

Modalità sensore Azione del firewall basata su host prevista Autorizzazione o regola di blocco e isolamento prevista Azione effettiva Riepilogo
Quarantine Qualsiasi Qualsiasi Blocco Le regole dei blocchi di quarantena sostituiscono le regole e le autorizzazioni del firewall basate su host.
Bypass Qualsiasi Qualsiasi Allow Poiché il sensore è in modalità bypass, la regola firewall basata su host non è efficace.
Attivo Qualsiasi Bypass livello processo Allow I processi ignorati e i relativi blocchi non sono bloccati dalle regole del firewall basato su host.
Attivo Blocco Consenti, Consenti & Registro Blocco Le regole del firewall basato su host hanno la precedenza sulle regole di autorizzazione non bypass.
Attivo Allow Blocco Blocco Il firewall basato su host che consente una connessione non impedisce l'applicazione di una regola di blocco e isolamento della rete tramite una comunicazione.

Utilizzo del firewall basato su host di Carbon Black Cloud

Questa sezione fornisce una panoramica generale su come creare ed eseguire regole del firewall.

  1. Selezionare un criterio a cui aggiungere regole del firewall.
  2. Impostare la regola predefinita (Consenti tutti o Blocca tutti).
  3. Creare un gruppo di regole e popolarlo con regole del firewall.
  4. Visualizzare, creare e modificare i gruppi di regole e le regole in base alle necessità.
  5. Impostare Firewall basato su host su Abilitato nella scheda Sensore.
  6. Testare le regole.
Nota: È possibile testare una regola solo quando il relativo stato è impostato su Disabilitato.
  1. Rivedere il risultato delle regole. I dati delle regole di test vengono visualizzati nella pagina Indagini.
  2. Modificare le regole in base alle necessità e ripetere il test fino a quando le regole non sono eseguite come previsto.
  3. Interrompere le regole di test verificate per l'esecuzione come previsto e impostare lo stato su Abilitato.
  4. Se è stata disabilitata durante le modifiche, impostare Firewall basato su host su Abilitato nella scheda Sensor .
  5. Visualizzare gli eventi e gli avvisi relativi al firewall rispettivamente nelle pagine Indagini e Avvisi.
  6. Continuare a modificare le regole in base alle necessità. Associazione di gruppi di regole ordinati (classificati) alle policy di sicurezza; i gruppi di regole possono essere riutilizzati tra le policy di sicurezza.
    • Le regole vengono valutate in ordine di precedenza definita dall'utente.
    • Possibilità di testare le regole prima dell'applicazione.
    • Conteggio dei comportamenti bloccati dal criterio Firewall basato su host.
    • Visibilità sul livello di sicurezza degli asset tramite le pagine Alerts and Investigate nella console carbon black cloud.
Nota: L'add-on Firewall basato su host di Carbon Black Cloud richiede il sensore Windows v3.9 e versioni successive.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Prodotti interessati

VMware Carbon Black
Proprietà dell'articolo
Numero articolo: 000214381
Tipo di articolo: How To
Ultima modifica: 31 mag 2023
Versione:  2
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.