Poisjättöjen ja sisällytysten luominen VMware Carbon Black Cloud -ympäristössä

Summary: Lue ohjeet VMware Carbon Blackin poissulkemisten ja sisällyttämisten määrittämiseen näiden vaiheittaisten ohjeiden mukaisesti.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black käsittelee maine- ja käyttöoikeussääntöjen avulla seuraavan sukupolven virustorjunnan (NGAV) poissulkemisia (hyväksyttyjen luettelot) ja sisällytyksiä (kiellettyjen luettelot). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced ja VMware Carbon Black Cloud Enterprise käyttävät päätepisteiden tunnistusta ja reagointia (EDR). EDR:ään vaikuttavat myös maine- ja käyttöoikeussäännöt. Tässä artikkelissa opastetaan järjestelmänvalvojia näiden arvojen määrittämisessä ja mahdollisissa varoituksissa.

Tuotteet, joita asia koskee:

  • VMware Carbon Blackin pilviesto
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac
  • Linux

VMware Carbon Blackin käyttöönottosarjan osa 3: Käytännöt ja ryhmät

Kesto: 03:37
Tekstitys: Saatavana useilla kielillä

VMware Carbon Black Cloud käyttää käytäntöjen ja maineen yhdistelmää määrittääkseen, mitä toimintoja suoritetaan.

Katso lisätietoja valitsemalla asianmukainen aihe.

Käytännöt

VMware Carbon Black Cloud Prevention-käytännöt eroavat VMware Carbon Black Cloud Standard-, Advanced- ja Enterprise-käytännöistä. Katso lisätietoja valitsemalla asianmukainen tuote.

Estäminen

VMware Carbon Black Cloud Prevention tarjoaa virtaviivaisen lähestymistavan käyttöoikeussääntöihin sekä esto- ja eristyssääntöihin , koska se ei käytä EDR:ää.

Huomautus: VMware Carbon Black Cloud Standard-, VMware Carbon Black Cloud Advanced- ja VMware Carbon Black Cloud Enterprise -tuki sisältää lisävaihtoehtoja. Lisätietoja EDR:ään vaikuttavista lisäasetuksista on tämän artikkelin Standard, Advanced, and Enterprise -osiossa.

Katso lisätietoja valitsemalla asianmukainen aihe.

Käyttöoikeussäännöt

Käyttöoikeussäännöt määrittävät, mitä toimintoja sovellukset määritetyillä poluilla voivat suorittaa.

Käyttöoikeussäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia esto-, eristys- ja mainesääntöihin nähden.

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu sisään
  3. Valitse vasemmassa valikkoruudussa Enforce.
    Ota käyttöön
  4. Valitse Policies.
    Käytännöt
  5. Valitse muokattava käytäntöjoukko.
    Käytäntöjoukon valitseminen
    Huomautus: Esimerkkikuvissa käytetään muokattavaksi käytäntöjoukoksi Vakiota .
  6. Valitse oikeassa valikkoruudussa Prevention.
    Estäminen
  7. Suurenna napsauttamalla Permissions.
    Käyttöoikeudet
  8. Suurenna napsauttamalla Add application path.
    Lisää sovelluspolku
  9. Määritä suunniteltu polku ohituksen asettamiseen.
    Ohituksen asettaminen
    Huomautus:
    • Esimerkkikuvassa käytetään seuraavia polkuja:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Tässä esimerkissä suoritettavat toimet vaikuttavat kaikkien polkuja sisältävien asemien kaikkiin tiedostoihin \program files\dell\dell data protection\ ja \programdata\dell\dell data protection\.
    • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
    • Ympäristömuuttujat, kuten %WINDIR% ovat tuettuja.
    • Yksi tähti (*) vastaa kaikkia saman hakemiston merkkejä.
    • Kaksinkertaiset tähdet (**) vastaavat kaikkia merkkejä samassa hakemistossa, useita hakemistoja ja kaikkia hakemistoja, jotka ovat määritetyn sijainnin tai tiedoston ylä- tai alapuolella.
    • Esimerkkejä:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Valitse käyttöön otettava Action .
    Toiminnon valitseminen
    Huomautus:
    • Esimerkkikuvassa työvaiheyrityksille annetaan erilaisia toimintoja valitsemalla joko Salli tai Ohita.
    • Kun Suorittaa minkä tahansa toiminnon -toiminnon toimintayritys on valittuna, kaikki muut toimintoyritykset ohitetaan ja muita vaihtoehtoja ei voi valita.
    • Toimintojen määritelmät:
      • Allow sallii määritetyn polun toiminnan siten, että VMware Carbon Black Cloud kirjaa tiedot toiminnosta.
      • Bypass – kaikki toiminta on sallittu määritetyllä polulla. Tietoja ei kerätä.
  11. Valitse Save sivun oikeasta yläkulmasta tai alareunasta.
    Save
Esto- ja eristyssäännöt

Esto- ja eristyssäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia mainesääntöihin nähden. Esto- ja eristyssääntöjen avulla voimme asettaa "Estä toiminto" tai "Lopeta prosessi" -toiminnon, kun tiettyä toimintoa yritetään.

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu
  3. Valitse vasemmassa valikkoruudussa Enforce.
    Ota käyttöön
  4. Valitse Policies.
    Käytännöt
  5. Valitse muokattava käytäntöjoukko.
    Käytäntöjoukon valitseminen
    Huomautus: Esimerkkikuvissa käytetään muokattavaksi käytäntöjoukoksi Vakiota .
  6. Valitse oikeassa valikkoruudussa Prevention.
    Estäminen
  7. Suurenna napsauttamalla Blocking and Isolation.
    Esto ja eristys
  8. Aseta esto- ja eristyssääntö määrittämällä sovelluspolku.
    Sovelluspolun täyttäminen
    Huomautus:
    • Esimerkkikuvassa käytetään excel.exe.
    • Asetetut toiminnot koskevat sovellusta, jonka nimi on excel.exe Toimi mistä tahansa hakemistosta.
    • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
    • Ympäristömuuttujat, kuten %WINDIR% ovat tuettuja.
    • Yksi tähti (*) vastaa kaikkia saman hakemiston merkkejä.
    • Kaksinkertaiset tähdet (**) vastaavat kaikkia merkkejä samassa hakemistossa, useita hakemistoja ja kaikkia hakemistoja, jotka ovat määritetyn sijainnin tai tiedoston ylä- tai alapuolella.
    • Esimerkkejä:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Valitse oikeasta yläkulmasta Save.
    Save
    Huomautus: Terminate process lopettaa prosessin, kun määritetty toiminto on suoritettu.

Standard, Advanced, and Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced ja VMware Carbon Black Cloud Enterprise tarjoavat vaihtoehtoja käyttöoikeussääntöineen sekä esto- ja eristyssääntöineen onnettomuustietotallentimen sisällyttämisen vuoksi.

Katso lisätietoja valitsemalla asianmukainen aihe.

Käyttöoikeussäännöt

Käyttöoikeussäännöt määrittävät, mitä toimintoja sovellukset määritetyillä poluilla voivat suorittaa.

Käyttöoikeussäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia esto-, eristys- ja mainesääntöihin nähden.

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu sisään
  3. Valitse vasemmassa valikkoruudussa Enforce.
    Ota käyttöön
  4. Valitse Policies.
    Käytännöt
  5. Valitse muokattava käytäntöjoukko.
    Käytäntöjoukon valitseminen
    Huomautus: Esimerkkikuvissa käytetään muokattavaksi käytäntöjoukoksi Vakiota .
  6. Valitse oikeassa valikkoruudussa Prevention.
    Estäminen
  7. Suurenna napsauttamalla Permissions.
    Käyttöoikeudet
  8. Suurenna napsauttamalla Add application path.
    Lisää sovelluspolku
  9. Määritä suunniteltu polku ohituksen asettamiseen.
    Polun täyttäminen
    Huomautus:
    • Esimerkkikuvassa käytetään seuraavia polkuja:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Tässä esimerkissä suoritettavat toimet vaikuttavat kaikkien polkuja sisältävien asemien kaikkiin tiedostoihin \program files\dell\dell data protection\ ja \programdata\dell\dell data protection\.
    • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
    • Ympäristömuuttujat, kuten %WINDIR% ovat tuettuja.
    • Yksi tähti (*) vastaa kaikkia saman hakemiston merkkejä.
    • Kaksinkertaiset tähdet (**) vastaavat kaikkia merkkejä samassa hakemistossa, useita hakemistoja ja kaikkia hakemistoja, jotka ovat määritetyn sijainnin tai tiedoston ylä- tai alapuolella.
    • Esimerkkejä:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Valitse käyttöön otettava Action .
    Toiminnon valitseminen
    Huomautus:
    • Esimerkkikuvassa eri toimintoja voidaan käyttää valitsemalla Allow, Allow & Log tai Bypass.
    • Kun Performs any operation on valittuna, tämä ohittaa minkä tahansa muun yritettävän toiminnon ja poistaa muiden vaihtoehtojen valinnan käytöstä.
    • Kaikki toiminnot lukuun ottamatta toimintoa Performs any operation -toimintoa, voidaan ottaa käyttöön useilla eri käyttöyrityskerroilla.
    • Toimintojen määritelmät:
      • Allow sallii toiminnan määritetyllä polulla. Mitään polun määritetyistä toimista ei kirjata. VMware Carbon Black Cloudiin ei lähetetä tietoja.
      • Allow & Log mahdollistaa määritetyn polun käytön. Kaikki toiminnot kirjataan. Kaikki tiedot raportoidaan VMware Carbon Black Cloudiin.
      • Bypass sallii kaikki toiminnot määritetyssä polussa. Mitään ei kirjata. VMware Carbon Black Cloudiin ei lähetetä tietoja.
  11. Vahvista käytännön muutos valitsemalla Confirm kohdastaPermissions.
    Vahvistaa
  12. Valitse oikeasta yläkulmasta Save.
    Save
Esto- ja eristyssäännöt

Esto- ja eristyssäännöt ovat polkupohjaisia, ja ne ovat ensisijaisia mainesääntöihin nähden. Esto- ja eristyssääntöjen avulla voimme asettaa "Estä toiminto" tai "Lopeta prosessi" -toiminnon, kun tiettyä toimintoa yritetään.

  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu sisään
  3. Valitse vasemmassa valikkoruudussa Enforce.
    Ota käyttöön
  4. Valitse Policies.
    Käytännöt
  5. Valitse muokattava käytäntöjoukko.
    Käytäntöjoukon valitseminen
    Huomautus: Esimerkkikuvissa Standard-käytäntö on valittu muokattavaksi.
  6. Valitse oikeassa valikkoruudussa Prevention.
    Estäminen
  7. Suurenna napsauttamalla Blocking and Isolation.
    Esto ja eristys
  8. Suurenna napsauttamalla Add application path.
    Lisää sovelluspolku
  9. Aseta esto- ja eristyssääntö määrittämällä sovelluspolku.
    Sovelluspolun täyttäminen
    Huomautus:
    • Esimerkkikuvassa käytetään nimeä excel.exe.
    • Asetetut toiminnot koskevat sovellusta, jonka nimi on excel.exe Toimi mistä tahansa hakemistosta.
    • VMware Carbon Black's Permissions -luettelossa käytetään glob-pohjaista muotoilurakennetta.
    • Ympäristömuuttujat, kuten %WINDIR% ovat tuettuja.
    • Yksi tähti (*) vastaa kaikkia saman hakemiston merkkejä.
    • Kaksoistähdet (**) vastaavat kaikkia merkkejä samassa hakemistossa, useissa hakemistoissa ja kaikissa määritetyn sijainnin tai tiedoston ylä- tai alapuolella olevissa hakemistoissa.
    • Esimerkkejä:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Valitse suoritettava Action, kun toimenpidettä yritetään, ja valitse sitten Confirm.
    Toiminnon valitseminen
  11. Valitse oikeasta yläkulmasta Save.
    Save
    Huomautus:
    • Deny operation estää luettelon sovellusta suorittamasta määritettyä toimintoa, jota se yritti suorittaa.
    • Terminate process lopettaa prosessin, kun määritetty toiminto on suoritettu.

Maine

VMware Carbon Black määrittää maineen jokaiselle tiedostolle, joka toimii laitteella, johon on asennettu anturi. Aiemmin luodut tiedostot alkavat tehokkaalla maineella LOCAL_WHITE kunnes ajo tai kunnes taustaskannaus on käsitellyt ne ja antaa lopullisemman maineen.

Voit joko lisätä sovelluksen maineluetteloon tai käyttää maineen kuvauksia. Katso lisätietoja valitsemalla asianmukainen aihe.

Lisää sovellus maineluetteloon

Sovellus voidaan lisätä maineluetteloon joko kohdassa Reputations page tai Alerts Page. Katso lisätietoja valitsemalla asianmukainen vaihtoehto.

Mainesivu
  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu sisään
  3. Valitse vasemmassa valikkoruudussa Enforce.
    Ota käyttöön
  4. Valitse Reputation.
    Maine

Järjestelmänvalvoja voi lisätä sovelluksen maineluetteloon käyttämällä SHA256-hajautusarvoa, IT-työkalua tai allekirjoitusvarmennetta. Katso lisätietoja valitsemalla asianmukainen vaihtoehto.

SHA256-hajautusarvo
Huomautus: Tiedostojen on oltava VMware Carbon Black Cloudin tiedossa siten, että ne näkyvät ympäristössä ja VMware Carbon Black Cloud käsittelee SHA256-hajautusarvon. Uusien sovellusten ensimmäisestä havaitsemisesta saattaa kulua jonkin aikaa, ennen kuin ne ovat VMware Carbon Black Cloudin tiedossa. Tämä voi johtaa siihen, että hyväksyttyjen taikiellettyjen luetteloa ei määritetä välittömästi tiedostoon, jota ongelma koskee.
  1. Valitse Add.
    Lisääminen
  2. Lisää mainetta:
    1. Valitse tyypiksiHajautusarvo.
    2. Valitse luettelosta joko Hyväksyttyjen luettelo tai Kiellettyjen luettelo.
    3. Määritä SHA-256-palvelin.
    4. Määritä Name.
    5. Lisää halutessasi Comments.
    6. Valitse Save.
    Add Reputation -valikko
    Huomautus:
    • Hyväksyttyjen luettelo määrittää automaattisesti kaikki tiedostot, joita asia koskee ja joilla tiedetään olevan Yrityksen hyväksymän maine.
    • Kiellettyjen luettelo määrittää automaattisesti kaikki tiedostot, joihin ongelma vaikuttaa ja joilla tiedetään olevan Yrityksen maine kielletty.
IT-työkalu
  1. Valitse Add.
    Lisääminen
  2. Lisää mainetta:
    1. Valitse tyypilleIT-työkalut.
    2. Lisää suhteellinen Path of trusted IT tool.
    3. Voit myös valita Include all child processes.
    4. Lisää halutessasi Comments.
    5. Valitse Save.
    Add Reputation -valikko
    Huomautus:
    • IT-työkalut voidaan lisätä vain kohtaan Approved List. Hyväksyttyjen luettelo määrittää automaattisesti kaikki tiedostot, joita asia koskee, ja tunnetut tiedostot Local White -maineeksi.
    • Kun vaihtoehto Include all child processes on valittuna, kaikki äskettäin määritellyn luotetun IT-työkalun aliprosessien tallentamat tiedostot saavat myös alkuperäisen luottamuksen.
    • IT-työkalujen suhteelliset polut osoittavat, että määritetty polku voidaan toteuttaa määritetyllä polulla.

Esimerkki:

Seuraavissa esimerkeissä luotetun IT-työkalun polku on:

  • \sharefolder\folder2\application.exe

Jos järjestelmänvalvoja yrittää suorittaa tiedoston seuraavissa sijainneissa, ohitus onnistuu:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Jos järjestelmänvalvoja yrittää suorittaa tiedoston seuraavissa sijainneissa, ohitus epäonnistuu:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Epäonnistuneissa esimerkeissä polkua ei voida toteuttaa kokonaan.

Allekirjoitusvarmenne
  1. Valitse Add.
    Lisääminen
  2. Lisää mainetta:
    1. Valitse tyypilleVarmenteet.
    2. Määritä kohta Signed by.
    3. Lisää halutessasi Certificate Authority.
    4. Voit myös kirjoittaa Comments.
    5. Valitse Save.

Add Reputation -valikko

Huomautus:
Alerts Page
  1. Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
    Huomautus: [REGION] = vuokralaisen alue
  2. Kirjaudu VMware Carbon Black Cloudiin.
    Kirjaudu sisään
  3. Valitse Alerts.
    Alerts
  4. Hyväksy sovellus valitsemalla hälytyksen vieressä oleva nuoli.
    Hälytyksen valitseminen
  5. Valitse Korjaus-alikohdasta Näytä kaikki.
    Näytä kaikki
  6. Valitse Add ja lisää tiedosto joko estettyjen tai hyväksyttyjen luetteloon sen mukaan, onko hajautusarvo epäluotettava vai luotettu.
    Tiedoston lisääminen kiellettyjen tai hyväksyttyjen luetteloon
    Huomautus: Allekirjoitusvarmenne voidaan lisätä siten, että muut tämän varmenteen jakavat sovellukset lisätään automaattisesti paikalliseen hyväksyttyjen luetteloon.

Mainekuvaukset

Prioriteetti Maine Mainehaun arvo Kuvaus
1 Ohitus IGNORE Tarkista itse maine, jonka Carbon Black Cloud määrittää tuotetiedostoille ja myöntää niille täydet käyttöoikeudet.
  • Korkein prioriteetti
  • Tiedostoilla on täydet oikeudet käyttää Carbon Black -tuotteita
2 Yrityksen hyväksyttyjen tuotteiden luettelo COMPANY_WHITE_LIST Hajautusarvot lisätään manuaalisesti yrityksen hyväksyttyjen luetteloon valitsemalla Enforce ja sitten Reputation
3 Yrityksen kiellettyjen luettelo COMPANY_BLACK_LIST Hajautusarvot lisätään manuaalisesti yrityksen kiellettyjen luetteloon valitsemalla Enforce ja sitten Reputation
4 Luotettu hyväksyttyjen luettelo TRUSTED_WHITE_LIST Carbon Blackin hyväksi tunnistama joko pilvipalvelusta, paikallisesta skannerista tai molemmista
5 Tunnettu haittaohjelma KNOWN_MALWARE Carbon Blackin huonoksi tunnistama joko pilvipalvelusta, paikallisesta skannerista tai molemmista
6 Epäilyttävät/heuristiset haittaohjelmat SUSPECT_MALWARE HEURISTIC Carbon Blackin havaitsemat epäilyttävät haittaohjelmat, jotka eivät välttämättä ole haitallisilta.
7 Mainos-/PUP-haittaohjelma ADWARE PUP Carbon Blackin havaitsemat mainoshaittaohjelmat ja mahdollisesti ei-toivotut ohjelmat
8 Local White LOCAL_WHITE Tiedosto on täyttänyt jonkin seuraavista ehdoista:
  • Tiedostot, jotka on luotu ennen anturin asentamista
  • Tiedostot, jotka on lisätty IT-työkalujen hyväksyttyjen luetteloon valitsemalla Enforce ja sitten Reputation
  • Tiedostot, jotka on lisätty Certsin hyväksyttyjen luetteloon valitsemalla Enforce ja sitten Reputation
9 Yhteinen hyväksyttyjen luettelo COMMON_WHITE_LIST Tiedosto on täyttänyt jonkin seuraavista ehdoista:
  • Hajautusarvo ei ole millään tunnetulla hyvien tai tunnetulla huonolla listalla ja tiedosto on allekirjoitettu
  • Hajautusarvo on analysoitu aiemmin, eikä se ole millään tunnetulla hyvien tai tunnettujen huonojen tuotteiden listalla
10 Ei lueteltu / mukautuva hyväksytty luettelo NOT_LISTEDADAPTIVE_WHITE_LIST Ei listattu -maine osoittaa, että kun anturi on tarkistanut sovelluksen hajautuksen paikallisella skannerilla tai pilvellä, siitä ei löydy tietuetta - sitä ei ole lueteltu mainetietokannassa.
  • Pilvi: Hajautusarvoa ei ole nähty aiemmin
  • Paikallinen skanneri: Ei tunnetusti huono, määritetty käytännöissä
11 Tuntematon RESOLVING Tuntematon maine osoittaa, että mistään anturin käyttämästä mainelähteestä ei ole vastausta.
  • Matalin prioriteetti
  • Tunnistin havaitsee tiedostojen putoamisen, mutta sillä ei ole vielä mainetta pilvessä tai paikallisessa skannerissa

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.