文章編號: 000182859
如何為 VMware Carbon Black Cloud 建立排除項目或包含項目
摘要: 您可以依照下列指示,設定 VMware Carbon Black 的排除項目和包含項目。
文章內容
說明
VMware Carbon Black 使用聲譽和權限規則來處理新一代防毒軟體 (NGAV) 排除項目 (核准清單) 與包含項目 (禁止清單)。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 使用端點偵測與回應 (EDR)。EDR 也會受到聲譽和權限規則影響。本文會引導系統管理員設定這些值,以及可能相關的任何注意事項。
受影響的產品:
VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise
受影響的作業系統:
Windows
Mac
Linux
VMware Carbon Black 導入第 3 部份:原則與群組
持續時間:03:37
關閉標題:提供多種語言版本
VMware Carbon Black Cloud 使用原則與聲譽的結合來決定要進行哪些操作。
如需詳細資訊,請按一下適當的主題。
VMware Carbon Black Cloud 預防 原則與 VMware Carbon Black Cloud Standard、Advanced 及 Enterprise的政策不同。如需詳細資訊,請按一下適當的產品。
VMware Carbon Black Cloud Prevention 提供權限規則以及封鎖和隔離規則簡化的方法,因為它不會使用 EDR。
注意:其他選項包含在 VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 以及 VMware Carbon Black Cloud Enterprise 中。如需影響 EDR 的其他選項相關資訊,請參閱本文的 Standard、Advanced, 和 Enterprise 一節。
如需詳細資訊,請按一下適當的主題。
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
若要建立權限規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:
- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響包含路徑
\program files\dell\dell data protection\和\programdata\dell\dell data protection\所有磁碟機上的所有檔案。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選擇要強制執行的動作。
注意:
- 在範例影像中,選取允許或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 動作定義:
- 允許 - 允許在指定路徑中的行為,包含關於 VMware Carbon Black Cloud 所記錄動作的資訊。
- 略過 - 允許在指定路徑中的所有行為。不會收集任何資訊。
- 在頁面右上方或底部按一下儲存。
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
若要建立封鎖與隔離規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:
- 範例影像使用的是 excel.exe。
- 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 按一下右上角的儲存。
注意:一旦指定的操作嘗試執行,終止程序就會結束程序。
由於包含 EDR,VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 提供許可權 規則以及 封鎖與隔離規則的選項。
如需詳細資訊,請按一下適當的主題。
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
若要建立權限規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:
- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包括路徑 \program files\dell\dell data protection\ 和 \programdata\dell\dell data protection\ 的所有磁碟機上的所有檔案。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是 %WINDIR% 等環境變數。
- 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選擇要強制執行的動作。
注意:
- 在範例影像中,選取允許、允許和記錄或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 除執行任何操作以外的每個動作都可套用到多項操作嘗試。
- 動作定義:
- 允許 - 允許在指定路徑中的行為;未記錄路徑的任何指定行為。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 允許和記錄 - 允許指定路徑中的行為;所有活動都會記錄下來。所有資料都會報告至 VMware Carbon Black Cloud。
- 略過 - 允許在指定路徑中的所有行為;未記錄任何內容。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 按一下權限底部的確認,以設定原則變更。
- 按一下右上角的儲存。
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
若要建立封鎖與隔離規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 按一下以展開新增應用程式路徑。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:
- 範例影像使用的是 excel.exe。
- 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選取要在符合操作嘗試時採取的動作,然後按一下確認。
- 按一下右上角的儲存。
注意:
- 拒絕操作會防止列出的應用程式執行其嘗試執行的指定操作。
- 一旦指定的操作嘗試執行,終止程序就會結束程序。
VMware Carbon Black 會指派一個聲譽至每個已在安裝了感應器的裝置上執行的檔案。預先存在的檔案會以 LOCAL_WHITE 的有效聲譽開始,直到執行為止,或直到背景掃描已處理完成,並提供更明確的聲譽。
請將應用程式新增至聲譽清單或參考聲譽說明。如需詳細資訊,請按一下適當的主題。
您可以透過聲譽頁面或警示頁面,將應用程式新增至聲譽清單中。如需詳細資訊,請按一下適當的選項。
若要透過聲譽頁面將應用程式新增至聲譽清單:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下聲譽。
系統管理員可使用 SHA256 雜湊、IT 工具或簽署認證,將應用程式新增至聲譽清單。如需詳細資訊,請按一下適當的選項。
注意:VMware Carbon Black Cloud 必須透過顯示檔案的方式知道在環境中的檔案,且必須由 VMware Carbon Black Cloud 處理 SHA256 雜湊。在第一次偵測到新的應用程式之後,VMware Carbon Black Cloud 可能需要一段時間才會知道其存在。這可能會導致核准清單或禁止清單不會立即指派至受影響的檔案。
若要手動新增 SHA256 雜湊:
- 按一下新增。
- 從新增聲譽:
- 選取類型的雜湊。
- 為清單選取核准清單或禁止清單。
- 填入 SHA-256 雜湊。
- 填入項目的名稱。
- 或者,填入註解。
- 按一下儲存。
注意:
- 核准清單會自動設定任何受影響和已知的檔案,以擁有公司核准的聲譽。
- 禁止清單會自動設定任何受影響和已知的檔案,以擁有公司禁止的聲譽。
若要手動新增 IT 工具:
- 按一下新增。
- 從新增聲譽:
- 選取類型的 IT 工具。
- 填入相關的受信任 IT 工具的路徑。
- 或者,選取包含所有子處理程序。
- 或者,填入註解。
- 按一下儲存。
注意:
- IT 工具只能新增至核准清單。核准清單會自動設定任何受影響和已知的檔案,以擁有本機白名單的聲譽。
- 此選項包含所有子處理程序備註,如果選取此選項,所有由新定義的受信任 IT 工具的子處理程序放下的檔案,也會收到初始信任。
- IT 工具的相對路徑表示定義的路徑可由定義的路徑設計來完成。
範例:
在下列範例中,受信任 IT 工具的路徑設為:
\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,則排除專案 會成功:
\\server\tools\sharefolder\folder2\application.exeD:\ITTools\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,則排除 專案會失敗:
E:\folder2\application.exeH:\sharefolder\application.exe
在失敗的範例中,路徑無法完全滿足。
若要手動新增簽署認證:
- 按一下新增。
- 從新增聲譽:
- 選取類型的認證。
- 填入簽署者欄位。
- 或者,填入認證機構。
- 或者,填入註解。
- 按一下儲存。
注意:
- 簽署認證只能新增至核准清單。核准清單會自動設定任何受影響和已知的檔案,以擁有本機白名單的聲譽。
- 如需新增聲譽簽署認證的詳細資訊,請參閱如何將簽署認證新增至 VMware Carbon Black Cloud 聲譽清單。
若要透過警示頁面將應用程式新增至聲譽清單:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 按一下警示。
- 選取您要核准應用程式的警示旁邊的 V 形箭號。
- 在「補救」小節中,按一下全部顯示。
- 按一下以將檔案新增至禁止清單或核准清單,視雜湊為不受信任或受信任而定。
注意:您可以新增簽署認證,讓共用此認證的其他應用程式自動新增至本機核准清單。
| 優先順序 | 聲譽 | 聲譽搜尋值 | 描述名稱 |
|---|---|---|---|
| 1 | 略過 | 略過 | Carbon Black Cloud 指派給產品檔案的自我檢查聲譽,並授予他們完整的執行權限。
|
| 2 | 公司核准清單 | COMPANY_WHITE_LIST | 前往強制執行 > 聲譽,手動新增到公司核准清單中的雜湊 |
| 3 | 公司禁止清單 | COMPANY_BLACK_LIST | 前往強制執行 > 聲譽,手動新增到公司禁止清單中的雜湊 |
| 4 | 信任的核准清單 | TRUSTED_WHITE_LIST | Carbon Black 從雲端、本機掃描器或兩者中已知良好 |
| 5 | 已知的惡意軟體 | KNOWN_MALWARE | Carbon Black 從雲端、本機掃描器或兩者中已知不良 |
| 6 | 可疑/啟發式惡意軟體 | SUSPECT_MALWARE HEURISTIC | Carbon Black 偵測到的可疑惡意軟體,但不一定是惡意的 |
| 7 | 廣告軟體/PUP 惡意軟體 | 廣告軟體 PUP | Carbon Black 偵測到的廣告軟體和可能不需要的程式 |
| 8 | 本機白名單 | LOCAL_WHITE | 檔案已符合下列任何條件:
|
| 9 | 常見核准清單 | COMMON_WHITE_LIST | 檔案已符合下列任何條件:
|
| 10 | 未列出/可自我調整核准清單 | NOT_LISTEDADAPTIVE_WHITE_LIST | 未列出的聲譽表示感應器檢查本機掃描器或雲端的應用程式雜湊後,找不到其任何相關記錄,也未列在聲譽資料庫中。
|
| 11 | 未知 | 解決中 | 未知的聲譽表示感應器使用的任何聲譽來源均無回應。
|
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
其他資訊
影片
文章屬性
受影響的產品
VMware Carbon Black
上次發佈日期
04 1月 2023
版本
32
文章類型
How To