跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。

VMware Carbon Black Cloudの除外またはインクルージョンを作成する方法

摘要: 以下の手順に従って、VMware Carbon Blackの除外とインクルージョンを構成できます。

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容


說明

VMware Carbon Blackは、次世代のウイルス対策(NGAV)の除外(承認リスト)とインクルージョン(禁止リスト)を処理するために、レピュテーションと権限のルールを使用します。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterpriseは、エンドポイントでの検出と対応(EDR)を利用します。EDRは、レピュテーションと権限のルールにも影響します。この記事では、管理者がこれらの値と、関連する可能性のあるすべての注意事項を設定する方法について説明します。


対象製品:

VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise

対象オペレーティング システム:

Windows
Mac
Linux


 

VMware Carbon Blackオンボーディング パート3:ポリシーとグループ

再生時間:3:37
字幕:複数の言語で使用できます

VMware Carbon Black Cloudは、ポリシーレピュテーションの組み合わせを使用して、どのような操作を実行するかを決定します。

詳細については、該当するトピックをクリックしてください。

VMware Carbon Black Cloud Prevention ポリシーは、VMware Carbon Black Cloud Standard、Advanced、Enterpriseのポリシーとは異なります。詳細については、該当する製品をクリックしてください。

VMware Carbon Black Cloud Preventionを使用することで、権限ルールブロックと分離のルールに対して合理化されたアプローチを提供します。これはEDRを使用しないためです。

注:VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterprise内に追加のオプションが含まれています。EDRに影響するその他のオプションの詳細については、この記事の「Standard、Advanced、Enterprise」セクションを参照してください。

詳細については、該当するトピックをクリックしてください。

権限ルールは、指定されたパスで実行できる操作アプリケーションを決定します。

権限ルールはパスベースであり、ブロックと分離の両方のルールと、レピュテーションよりも優先されます。

権限ルールを作成するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. 左ペインで、[Enforce]をクリックします。

Enforce

  1. Policies]をクリックします。

Policies

  1. 変更するポリシー セットを選択します。

ポリシー セットの選択

注:イメージの例では、変更するために選択されたポリシー セットとしてStandardが使用されています。
  1. 右側のメニュー ペインで、[Prevention]をクリックします。

防止

  1. Permissions]をクリックして展開します。

権限

  1. Add application path]をクリックして展開します。

アプリケーション パスの追加

  1. バイパスをオンに設定する目的のパスを入力します。

バイパスの設定

注:
  • イメージの例では、次のパスを使用しています。
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • この例では、適用されるアクションは、\program files\dell\dell data protection\および\programdata\dell\dell data protection\の各パスを含むすべてのドライブ上のすべてのファイルに影響します。
  • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
  • %WINDIR%などの環境変数がサポートされています。
  • 単一のアスタリスク(*)は、同じディレクトリー内のすべての文字と一致します。
  • ダブル アスタリスク(**)は、同じディレクトリー内のすべての文字、複数のディレクトリー、および指定された場所またはファイルの上位または下位のすべてのディレクトリーと一致します。
  • 例:
    • Windowsの場合:**\powershell.exe
    • Macの場合:/Users/*/Downloads/**
  1. 実施する[Action]を選択します。

アクションの選択

注:
  • 画像の例では、[Allow]または[Bypass]のどちらを選択しているかにより、操作の試行のアクションが異なります。
  • Performs any operation]の操作試行が選択されている場合、これは他の操作の試行よりも優先され、その他のオプションの選択は無効になります。
  • アクションの定義:
    • Allow - 指定されたパスの動作を、VMware Carbon Black Cloudによってログに記録されているアクションの情報とともに許可します。
    • Bypass - 指定されたパスですべての動作が許可されます。情報は収集されません。
  1. 右上またはページの下部にある[保存]をクリックします。

保存

ブロックと分離のルールはパスベースであり、レピュテーションよりも優先されます。ブロックと分離のルールを使用すると、特定の操作を試行したときに「Deny operation」アクションまたは「Terminate process」アクションを設定できます。

ブロックと分離のルールを作成するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. 左ペインで、[Enforce]をクリックします。

Enforce

  1. Policies]をクリックします。

Policies

  1. 変更するポリシー セットを選択します。

ポリシー セットの選択

注:イメージの例では、変更するために選択されたポリシー セットとしてStandardが使用されています。
  1. 右側のメニュー ペインで、[Prevention]をクリックします。

防止

  1. Blocking and Isolation]をクリックして展開します。

ブロックと分離

  1. ブロックと分離のルールを設定するには、アプリケーション パスを入力します。

アプリケーション パスの入力

注:
  • イメージの例では、excel.exeを使用しています。
  • 設定したアクションはアプリケーションに適用され、excel.exeは任意のディレクトリーから実行されます。
  • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
  • %WINDIR%などの環境変数がサポートされています。
  • 単一のアスタリスク(*)は、同じディレクトリー内のすべての文字と一致します。
  • ダブル アスタリスク(**)は、同じディレクトリー内のすべての文字、複数のディレクトリー、および指定された場所またはファイルの上位または下位のすべてのディレクトリーと一致します。
  • 例:
    • Windowsの場合:**\powershell.exe
    • Macの場合:/Users/*/Downloads/**
  1. 右上にある[保存]をクリックします。

保存

注:Terminate process]は、指定された操作が実行を試みると、プロセスが終了します。

VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterpriseは、EDRが含まれているため、 権限ルールに加え、 ブロックおよび分離ルールを備えたオプションを提供します。

詳細については、該当するトピックをクリックしてください。

権限ルールは、指定されたパスで実行できる操作アプリケーションを決定します。

権限ルールはパスベースであり、ブロックと分離の両方のルールと、レピュテーションよりも優先されます。

権限ルールを作成するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. 左ペインで、[Enforce]をクリックします。

Enforce

  1. Policies]をクリックします。

Policies

  1. 変更するポリシー セットを選択します。

ポリシー セットの選択

注:イメージの例では、変更するために選択されたポリシー セットとしてStandardが使用されています。
  1. 右側のメニュー ペインで、[Prevention]をクリックします。

防止

  1. Permissions]をクリックして展開します。

権限

  1. Add application path]をクリックして展開します。

アプリケーション パスの追加

  1. バイパスをオンに設定する目的のパスを入力します。

パスの入力

注:
  • イメージの例では、次のパスを使用しています。
    • *:\program files\dell\dell data protection\**
    • *:\programdata\dell\dell data protection\**
  • この例では、実行されるアクションは、\program files\dell\dell data protection\と\programdata\dell\dell data protection\パスを含むすべてのドライブ上のすべてのファイルに影響します。
  • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
  • %WINDIR%などの環境変数がサポートされています。
  • 単一のアスタリスク(*)は、同じディレクトリー内のすべての文字と一致します。
  • ダブル アスタリスク(**)は、同じディレクトリー内のすべての文字、複数のディレクトリー、および指定された場所またはファイルの上位または下位のすべてのディレクトリーと一致します。
  • 例:
    • Windowsの場合:**\powershell.exe
    • Macの場合:/Users/*/Downloads/**
  1. 実施する[Action]を選択します。

アクションの選択

注:
  • イメージの例では、[Allow]、[Allow and Log]、または[Bypass]のいずれかを選択することにより、操作の試行に異なるアクションが与えられます。
  • Performs any operation]の操作試行が選択されている場合、これは他の操作の試行よりも優先され、その他のオプションの選択は無効になります。
  • Performs any operation]を除くすべてのアクションは、複数の操作の試行に適用できます。
  • アクションの定義:
    • Allow - 指定されたパスの動作を許可します。パスに指定されたどの動作も記録されません。VMware Carbon Black Cloudにデータは送信されません。
    • Allow and Log - 指定されたパスでの動作を許可します。すべてのアクティビティーがログに記録されます。すべてのデータは、VMware Carbon Black Cloudにレポートされます。
    • Bypass - 指定されたパスですべての動作が許可されます。何も記録されません。VMware Carbon Black Cloudにデータは送信されません。
  1. Permissions]の下にある[Confirm]をクリックして、ポリシーの変更を設定します。

[Confirm]

  1. 右上にある[保存]をクリックします。

保存

ブロックと分離のルールはパスベースであり、レピュテーションよりも優先されます。ブロックと分離のルールを使用すると、特定の操作を試行したときに「Deny operation」アクションまたは「Terminate process」アクションを設定できます。

ブロックと分離のルールを作成するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. 左ペインで、[Enforce]をクリックします。

Enforce

  1. Policies]をクリックします。

Policies

  1. 変更するポリシー セットを選択します。

ポリシー セットの選択

注:イメージの例では、変更するために選択されたポリシー セットとしてStandardが使用されています。
  1. 右側のメニュー ペインで、[Prevention]をクリックします。

防止

  1. Blocking and Isolation]をクリックして展開します。

ブロックと分離

  1. Add application path]をクリックして展開します。

アプリケーション パスの追加

  1. ブロックと分離のルールを設定するには、アプリケーション パスを入力します。

アプリケーション パスの入力

注:
  • イメージの例では、excel.exeを使用しています。
  • 設定したアクションはアプリケーションに適用され、excel.exeは任意のディレクトリーから実行されます。
  • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
  • %WINDIR%などの環境変数がサポートされています。
  • 単一のアスタリスク(*)は、同じディレクトリー内のすべての文字と一致します。
  • ダブル アスタリスク(**)は、同じディレクトリー内のすべての文字、複数のディレクトリー、および指定された場所またはファイルの上位または下位のすべてのディレクトリーと一致します。
  • 例:
    • Windowsの場合:**\powershell.exe
    • Macの場合:/Users/*/Downloads/**
  1. 操作の試行が行われたときに実行するアクションを選択し、[Confirm]をクリックします。

アクションの選択

  1. 右上にある[保存]をクリックします。

保存

注:
  • Deny operation]は、リストされたアプリケーションが、指定の操作を実行できないようにします。
  • Terminate process]は、指定された操作が実行を試みると、プロセスが終了します。

VMware Carbon Blackは、センサーがインストールされているデバイス上で実行されるすべてのファイルにレピュテーションを割り当てます。既存のファイルは、実行されるまで、またはバックグラウンド スキャンによって処理されるまで、LOCAL_WHITEの効果的なレピュテーションから始まり、より明確なレピュテーションが得られます。

アプリケーションの[Reputations]リストへの追加」、または「レピュテーションの説明」を参照してください。詳細については、該当するトピックをクリックしてください。

[Reputations]ページまたは[アラート]ページのいずれかを使用して、アプリケーションを[Reputations]ページに追加することができます。詳細については、該当するオプションをクリックしてください。

[Reputations]ページから[Reputations]リストにアプリケーションを追加するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. 左ペインで、[Enforce]をクリックします。

Enforce

  1. Reputation]をクリックします。

レピュテーション

管理者は、SHA256ハッシュITツール署名証明書を使用して、アプリケーションを[Reputations]リストに追加することができます。詳細については、該当するオプションをクリックしてください。

注:ファイルは、環境内で検出されたVMware Carbon Black Cloud、およびVMware Carbon Black Cloudによって処理されているSHA256ハッシュによって認識される必要があります。新しいアプリケーションは、最初に検出されてからVMware Carbon Black Cloudに認識されるまでに時間がかかる場合があります。これにより、承認リストまたは禁止リストが、影響を受けるファイルにすぐに割り当てられない場合があります。

SHA256ハッシュを手動で追加するには、次の手順を実行します。

  1. [Add](追加)をクリックします。

追加

  1. [Add Reputation]から:
    1. タイプには[Hash]を選択します。
    2. リストには[Approved List]または[Banned List]のいずれかを選択します。
    3. SHA-256 hash]を入力します。
    4. エントリーの[Name]を入力します。
    5. 必要に応じて、[コメント]を入力します。
    6. Save(保存)」をクリックします。

[Add Reputation]メニュー

注:
  • 承認リストは、影響を受ける既知のファイルを自動的に設定し、Company Approvedのレピュテーションを得ます。
  • 禁止リストは、影響を受ける既知のファイルを自動的に設定して、Company Bannedのレピュテーションを得ます。

ITツールを手動で追加するには、次の手順を実行します。

  1. [Add](追加)をクリックします。

追加

  1. [Add Reputation]から:
    1. タイプには[IT Tools]を選択します。
    2. 信頼できるITツールの相対パスを入力します。
    3. オプションとして、[Include all child processes]を選択します。
    4. 必要に応じて、[コメント]を入力します。
    5. Save(保存)」をクリックします。

[Add Reputation]メニュー

注:
  • ITツールは、承認リストにのみ追加できます。承認リストは、影響を受ける既知のファイルを自動的に設定し、Local Whiteのレピュテーションを得ます。
  • Include all child processes]オプションを選択すると、新たに定義された信頼できるITツールの子プロセスによってドロップされたすべてのファイルも最初の信頼を受け取ることに注意してください。
  • ITツールの相対パスは、定義されたパスによって定義されたパスを満たすことを意味します。

Example:

以下の例では、[Path of trusted IT tool]は、次のように設定されています。

  • \sharefolder\folder2\application.exe

管理者がこれらの場所でファイルを実行しようとすると、除外は 成功します

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

管理者がこれらの場所でファイルを実行しようとすると、除外は 失敗します

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

失敗の例では、パスを完全に満たすことはできません。

署名証明書を手動で追加するには、次の手順を実行します。

  1. [Add](追加)をクリックします。

追加

  1. [Add Reputation]から:
    1. タイプには[Certs]を選択します。
    2. Signed by]フィールドにデータを入力します。
    3. 必要に応じて、[認証局]を入力します。
    4. 必要に応じて、[コメント]を入力します。
    5. Save(保存)」をクリックします。

[Add Reputation]メニュー

注:

[アラート]ページから[Reputations]リストにアプリケーションを追加するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
注:[REGION] = 以下のテナントの地域
  1. VMware Carbon Black Cloudにサインインします。

サインイン

  1. アラート]をクリックします。

警告

  1. アプリケーションを承認するアラートの横にある山形を選択します。

アラートの選択

  1. [修復]セクションの下の[すべて表示]をクリックします。

[Show all]

  1. これをクリックして、ファイルを禁止リストに追加するか、ハッシュが信頼されているかどうかに応じて承認リストに追加します。

禁止リストまたは承認リストへのファイルの追加

注:署名証明書は、この証明書を共有する他のアプリケーションがローカル承認リストに自動的に追加されるように追加することができます。
重大度 レピュテーション レピュテーションの検索値 説明
1 無視 IGNORE Carbon Black Cloudが製品ファイルに割り当て、実行するための完全な権限を付与するセルフチェック レピュテーションです。
  • 最も高い優先度
  • ファイルには、Carbon Black(通常はCarbon Black製品)で実行するフルアクセス権限があります
2 Company Approved List COMPANY_WHITE_LIST [Enforce]>[Reputations]の順に移動して、会社の承認リストに手動で追加されたハッシュ
3 Company Banned List COMPANY_BLACK_LIST [Enforce]>[Reputations]の順に移動して、会社の禁止リストに手動で追加されたハッシュ
4 Trusted Approved List TRUSTED_WHITE_LIST クラウド、ローカル スキャナー、またはその両方からCarbon Blackによって正常であることが知られている
5 既知のマルウェア KNOWN_MALWARE クラウド、ローカル スキャナー、またはその両方からのCarbon Blackによって不良であることが知られている
6 疑わしい/ヒューリスティック マルウェア SUSPECT_MALWARE HEURISTIC Carbon Blackによって検出されたが、必ずしも悪意があるとは限らない疑わしい/マルウェア
7 アドウェア/PUPマルウェア ADWARE PUP Carbon Blackによって検出されたアドウェアおよび望ましくない可能性のあるプログラム
8 Local White LOCAL_WHITE ファイルが次のいずれかの条件を満たしています。
  • センサーのインストール前にすでに存在していたファイル
  • [Enforce]>[Reputations]の順に移動して、ITツールの承認リストに追加されたファイル
  • [Enforce]>[Reputations]の順に移動して、証明書の承認リストに追加されたファイル
9 Common Approved List COMMON_WHITE_LIST ファイルが次のいずれかの条件を満たしています。
  • 既知の正常なリストまたは既知の不良リストにないハッシュで、ファイルが署名されている
  • 以前に分析され、既知の正常または既知の不良リストにないハッシュ
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST Not Listedのレピュテーションは、センサーがローカル スキャナーまたはクラウドを使用してアプリケーション ハッシュをチェックした後、レコードが見つからないことを示します。これはレピュテーション データベースにリストされていません。
  • クラウド: 以前に見られなかったハッシュ
  • ローカル スキャナー:不良であることが知られていない、ポリシーで構成済み
11 不明 RESOLVING Unknownのレピュテーションは、センサーが使用するレピュテーション ソースからの応答がないことを示します。
  • 最低の優先度
  • センサーはファイル ドロップをモニターしているが、クラウドまたはローカル スキャナーからのレピュテーションはまだない

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

其他資訊

   

影片

 

文章屬性


受影響的產品

VMware Carbon Black

上次發佈日期

04 1月 2023

版本

32

文章類型

How To