Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Como criar exclusões ou inclusões no VMware Carbon Black Cloud

Сводка: As exclusões e inclusões do VMware Carbon Black podem ser configuradas seguindo estas instruções.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

O VMware Carbon Black usa regras de reputação e permissão para lidar com exclusões (listas aprovadas) e inclusões (listas proibidas) de antivírus de última geração (NGAV). O VMware Carbon Black Standard, o VMware Carbon Black Cloud Advanced e o VMware Carbon Black Cloud Enterprise utilizam detecção e resposta de endpoints (EDR). O EDR também é afetado por regras de reputação e permissão. Este artigo orienta os administradores na configuração desses valores juntamente com as ressalvas que possam ser relevantes.


Produtos afetados:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

Sistemas operacionais afetados:

Windows
Mac
Linux


 

Integração do VMware Carbon Black – Parte 3: Políticas e grupos

Duração: 03:37
Legendas: Disponível em vários idiomas

O VMware Carbon Black Cloud usa uma combinação de políticas e reputação para determinar quais operações são realizadas.

Clique no tópico adequado para obter mais informações.

As políticas do VMware Carbon Black Cloud Prevention diferem das políticas do VMware Carbon Black Cloud Standard, Advanced e Enterprise. Clique no produto apropriado para obter mais informações.

O VMware Carbon Black Cloud Prevention oferece uma abordagem simplificada às regras de permissões, bem como às regras de bloqueio e isolamento, pois não utiliza o EDR.

Nota: Mais opções estão incluídas no VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise. Para obter informações sobre as opções adicionais que afetam o EDR, consulte a seção Standard, Advanced e Enterprise deste artigo.

Clique no tópico adequado para obter mais informações.

As regras de permissões determinam quais operações os aplicativos em caminhos especificados podem executar.

As regras de permissões são baseadas em caminhos e têm precedência sobre as regras de bloqueio e isolamento, bem como sobre a reputação.

Para criar uma regra de Permissões:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Policies.

Políticas

  1. Localize o conjunto de políticas que você deseja modificar.

Como selecionar um conjunto de políticas

Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificar.
  1. No painel do menu esquerdo, clique em Prevention.

Prevenção

  1. Clique para expandir Permissions.

Permissões

  1. Clique para expandir Add application path.

Add application path

  1. Preencha o caminho pretendido para definir um desvio.

Como configurar um bypass

Nota:
  • A imagem de exemplo usa os seguintes caminhos:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • Neste exemplo, as ações aplicadas afetam todos os arquivos em todas as unidades que contêm os caminhos \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
  • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
  • Variáveis ambientais como %WINDIR% são compatíveis.
  • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
  • Dois asteriscos (**) correspondem a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
  • Exemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selecione a ação a ser aplicada.

Como selecionar uma ação

Nota:
  • Na imagem de exemplo, as tentativas de operação recebem ações diferentes selecionando Allow ou Bypass.
  • Quando a tentativa de operação Performs any operation é selecionada, ela substitui qualquer outra tentativa de operação e desativa a seleção de qualquer outra opção.
  • Definições de ação:
    • Allow: permite o comportamento no caminho especificado com informações sobre a ação que está sendo registrada pelo VMware Carbon Black Cloud.
    • Bypass - todo o comportamento é permitido no caminho especificado. Nenhuma informação é coletada.
  1. Clique em Save na parte superior direita ou na parte inferior da página.

Save

As regras de bloqueio e isolamento são baseadas em caminhos e têm precedência sobre a reputação. As regras de bloqueio e isolamento permitem definir uma ação "Deny operation" ou "Terminate process" quando se tenta uma operação específica.

Para criar uma regra de bloqueio e isolamento:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Policies.

Políticas

  1. Localize o conjunto de políticas que você deseja modificar.

Como selecionar um conjunto de políticas

Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificar.
  1. No painel do menu esquerdo, clique em Prevention.

Prevenção

  1. Clique para expandir Blocking and Isolation.

Blocking and Isolation

  1. Preencha o caminho do aplicativo para definir uma regra de bloqueio e isolamento.

Como preencher o caminho de um aplicativo

Nota:
  • A imagem de exemplo usa excel.exe.
  • As ações definidas são aplicadas ao aplicativo com o nome excel.exe executado de qualquer diretório.
  • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
  • Variáveis ambientais como %WINDIR% são compatíveis.
  • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
  • Dois asteriscos (**) correspondem a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
  • Exemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Clique em Save na parte superior direita.

Save

Nota: Terminate process vai interromper o processo assim que a operação especificada tentar ser executada.

O VMware Carbon Black Cloud Standard, o VMware Carbon Black Cloud Advanced e o VMware Carbon Black Cloud Enterprise oferecem opções com regras de permissões, bem como regras de bloqueio e isolamento, devido à inclusão do EDR.

Clique no tópico adequado para obter mais informações.

As regras de permissões determinam quais operações os aplicativos em caminhos especificados podem executar.

As regras de permissões são baseadas em caminhos e têm precedência sobre as regras de bloqueio e isolamento, bem como sobre a reputação.

Para criar uma regra de Permissões:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Policies.

Políticas

  1. Localize o conjunto de políticas que você deseja modificar.

Como selecionar um conjunto de políticas

Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificar.
  1. No painel do menu esquerdo, clique em Prevention.

Prevenção

  1. Clique para expandir Permissions.

Permissões

  1. Clique para expandir Add application path.

Add application path

  1. Preencha o caminho pretendido para definir um desvio.

Como preencher um caminho

Nota:
  • A imagem de exemplo usa os seguintes caminhos:
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • Neste exemplo, as ações aplicadas afetarão todos os arquivos em todas as unidades que contêm os caminhos \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
  • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
  • Variáveis ambientais como %WINDIR% são compatíveis.
  • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
  • Dois asteriscos (**) correspondem a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
  • Exemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selecione a ação a ser aplicada.

Como selecionar uma ação

Nota:
  • Na imagem de exemplo, as tentativas de operação recebem ações diferentes selecionando Allow, Allow & Logou Bypass.
  • Quando a tentativa de operação Performs any operation é selecionada, isso substitui qualquer outra tentativa de operação e desativa a seleção de qualquer outra opção.
  • Todas as ações, exceto Performs any operation, podem ser aplicadas a várias tentativas de operação.
  • Definições de ação:
    • Allow - permite o comportamento no caminho especificado; nenhum comportamento especificado no caminho é registrado. Nenhum dado é enviado ao VMware Carbon Black Cloud.
    • Allow & Log - permite o comportamento no caminho especificado; todas as atividades são registradas. Todos os dados são reportados ao VMware Carbon Black Cloud.
    • Bypass - todo o comportamento é permitido no caminho especificado; nada é registrado. Nenhum dado é enviado ao VMware Carbon Black Cloud.
  1. Clique em Confirm na parte inferior de Permissions para definir a alteração de política.

Confirm

  1. Clique em Save na parte superior direita.

Save

As regras de bloqueio e isolamento são baseadas em caminhos e têm precedência sobre a reputação. As regras de bloqueio e isolamento permitem definir uma ação "Deny operation" ou "Terminate process" quando se tenta uma operação específica.

Para criar uma regra de bloqueio e isolamento:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Policies.

Políticas

  1. Localize o conjunto de políticas que você deseja modificar.

Como selecionar um conjunto de políticas

Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificar.
  1. No painel do menu esquerdo, clique em Prevention.

Prevenção

  1. Clique para expandir Blocking and Isolation.

Blocking and Isolation

  1. Clique para expandir Add application path.

Add application path

  1. Preencha o caminho do aplicativo para definir uma regra de bloqueio e isolamento.

Como preencher o caminho de um aplicativo

Nota:
  • A imagem de exemplo usa excel.exe.
  • As ações definidas são aplicadas ao aplicativo com o nome excel.exe executado de qualquer diretório.
  • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
  • Variáveis ambientais como %WINDIR% são compatíveis.
  • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
  • Dois asteriscos (**) correspondem a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
  • Exemplos:
    • Windows: **\powershell.exe
    • Mac: /Users/*/Downloads/**
  1. Selecione a ação a ser tomada quando a tentativa de operação for atendida e clique em Confirm.

Como selecionar uma ação

  1. Clique em Save na parte superior direita.

Save

Nota:
  • A opção Deny operation impede que o aplicativo listado realize a operação especificada que ele tentou executar.
  • Terminate process interrompe o processo assim que a operação especificada tentar ser executada.

O VMware Carbon Black atribui uma reputação a cada arquivo executado em um dispositivo com o sensor instalado. Os arquivos pré-existentes começam com uma reputação efetiva de LOCAL_WHITE até serem executados ou até que a verificação em segundo plano os processe e proporcione uma reputação mais definitiva.

Adicione um aplicativo à lista de reputação ou consulte as descrições de reputação. Clique no tópico adequado para obter mais informações.

Um aplicativo pode ser adicionado à lista de reputação por meio da página Reputations ou da página Alerts. Para obter mais informações, clique na opção adequada.

Para adicionar um aplicativo à lista de reputações por meio da página Reputations:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. No painel do menu esquerdo, clique em Enforce.

Enforce

  1. Clique em Reputation.

Reputação

Um administrador pode adicionar um aplicativo à lista de reputação usando o Hash SHA256, uma ferramenta de TI ou um certificado de assinatura. Para obter mais informações, clique na opção adequada.

Nota: Os arquivos devem ser conhecidos pelo VMware Carbon Black Cloud sendo vistos no ambiente, e o hash SHA256 sendo processado pelo VMware Carbon Black Cloud. Os novos aplicativos podem levar algum tempo após sua primeira detecção antes de serem conhecidos pelo VMware Carbon Black Cloud. Isso pode fazer com que a lista aprovada ou a lista proibida não seja imediatamente atribuída a um arquivo afetado.

Para adicionar manualmente um hash SHA256:

  1. Clique em Add.

Add

  1. Em Add Reputation:
    1. Selecione Hash para Type.
    2. Selecione Approved List ou Banned List para List.
    3. Preencha o campo SHA-256 hash.
    4. Preencha o campo Name para a entrada.
    5. Como opção, preencha Comments.
    6. Clique em Save.

Menu Add reputation

Nota:
  • Approved List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Company Approved.
  • Banned List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Company Banned.

Para adicionar manualmente uma ferramenta de TI:

  1. Clique em Add.

Add

  1. Em Add Reputation:
    1. Selecione IT Tools para o Type.
    2. Preencha o respectivo Path of trusted IT tool.
    3. Como opção, selecione Include all child processes.
    4. Como opção, preencha Comments.
    5. Clique em Save.

Menu Add reputation

Nota:
  • As ferramentas de TI só podem ser adicionadas à Approved List. Approved List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Local White.
  • A opção Include all child processes nota que, se selecionada, todos os arquivos descartados por processos secundários da ferramenta de TI confiável recém-definida também recebem a confiança inicial.
  • Caminhos relativos para ferramentas de TI indicam que o caminho definido pode ser cumprido pelo caminho definido.

Exemplo:

Para os exemplos a seguir, o caminho da ferramenta de TI confiável é definido como:

  • \sharefolder\folder2\application.exe

Se um administrador tentar executar o arquivo nesses locais, a exclusão será bem-sucedida:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Se um administrador tentar executar o arquivo nesses locais, a exclusão apresentará falha:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Nos exemplos com falha, o caminho não pode ser totalmente cumprido.

Para adicionar manualmente um certificado de assinatura:

  1. Clique em Add.

Add

  1. Em Add Reputation:
    1. Selecione Certs para Type.
    2. Preencha o campo Signed by.
    3. Como opção, preencha a Certificate Authority.
    4. Como opção, preencha Comments.
    5. Clique em Save.

Menu Add reputation

Nota:

Para adicionar um aplicativo à lista de reputações por meio da página Alerts:

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
Nota: [REGION] = região do grupo de usuários
  1. Faça login no VMware Carbon Black Cloud.

Fazer login

  1. Clique em Alerts.

Alertas

  1. Selecione a seta ao lado do alerta para o qual você deseja aprovar o aplicativo.

Como selecionar o alerta

  1. Clique em Show all na subseção Remediation.

Show all

  1. Clique para adicionar o arquivo à lista proibida ou à lista aprovada, dependendo se o hash for confiável ou não.

Como adicionar o arquivo à lista proibida ou à lista aprovada

Nota: O Certificado de assinatura pode ser adicionado para que outros aplicativos que compartilham este certificado sejam adicionados automaticamente à lista local aprovada.
Prioridade Reputação Valor da pesquisa de reputação Descrição
1 Ignore IGNORE Faz a autoverificação da reputação atribuída pelo Carbon Black Cloud aos arquivos do produto e concede a eles total permissão para serem executados.
  • Highest Priority
  • Os arquivos têm permissões completas para serem executados pelo Carbon Black, normalmente produtos Carbon Black
2 Lista de empresas aprovadas COMPANY_WHITE_LIST Hashes adicionados manualmente à Company Approved List, acessando Enforce > Reputations
3 Lista de empresas proibidas COMPANY_BLACK_LIST Hashes adicionados manualmente à Company Banned List acessando Enforce > Reputations
4 Lista de aprovados confiáveis TRUSTED_WHITE_LIST Conhecido como bom pelo Carbon Black na nuvem, no scanner local ou em ambos
5 Malware conhecido KNOWN_MALWARE Conhecido como ruim pelo Carbon Black na nuvem, no scanner local ou em ambos
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware suspeito que é detectado pelo Carbon Black, mas não é necessariamente mal-intencionado
7 Adware/PUP Malware ADWARE PUP Adware e programas potencialmente indesejados detectados pelo Carbon Black
8 Local White LOCAL_WHITE O arquivo atendeu a qualquer uma das seguintes condições:
  • Arquivos preexistentes antes da instalação do sensor
  • Arquivos adicionados à Approved List em IT Tools acessando Enforce > Reputations
  • Arquivos adicionados à Approved List em Certs acessando Enforce > Reputations
9 Lista comum aprovada COMMON_WHITE_LIST O arquivo atendeu a qualquer uma das seguintes condições:
  • O hash não está em nenhuma lista conhecida como boa ou ruim E o arquivo está assinado
  • O hash foi analisado previamente E não está em nenhuma lista conhecida como boa ou ruim
10 Não listado/Lista de aprovados adaptáveis NOT_LISTEDADAPTIVE_WHITE_LIST A reputação Não listado indica que, após o sensor ter verificado o hash do aplicativo com um scanner local ou com o Cloud, nenhum registro foi encontrado sobre ele – não está listado no banco de dados de reputações.
  • Nuvem: Hash não visto anteriormente
  • Local scanner: Não é conhecido como ruim; configurado na política
11 Desconhecido RESOLVING A reputação Desconhecido indica que não há resposta de qualquer uma das fontes de reputação que o sensor usa.
  • Lowest Priority
  • O sensor constata o descarte do arquivo, mas ainda não tem reputação da nuvem ou do scanner local

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Дополнительная информация

   

Видео

 

Затронутые продукты

VMware Carbon Black
Свойства статьи
Номер статьи: 000182859
Тип статьи: How To
Последнее изменение: 04 Jan 2023
Версия:  32
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.