Come creare esclusioni o inclusioni per VMware Carbon Black Cloud

Summary: Informazioni su come configurare le esclusioni e le inclusioni di VMware Carbon Black seguendo queste istruzioni dettagliate.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black utilizza regole di reputazione e autorizzazione per gestire le esclusioni (elenchi approvati) e le inclusioni (elenchi vietati) degli antivirus di nuova generazione (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise utilizzano la funzionalità EDR (Endpoint Detection and Response). Tale funzionalità EDR è influenzata anche da Reputation e regole Permissions. Questo articolo illustra agli amministratori come impostare questi valori unitamente ad alcune avvertenze importanti.

Prodotti interessati:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Sistemi operativi interessati:

  • Windows
  • Mac
  • Linux

VMware Carbon Black Onboarding Parte 3: policy e gruppi

Durata: 03:37
Sottotitoli: Disponibile in più lingue

VMware Carbon Black Cloud utilizza una combinazione di opzioni Policies e Reputation per determinare le operazioni da eseguire.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Policies

Le policy di prevenzionedi VMware Carbon Black Cloud sono diverse dalle policy di VMware Carbon Black Cloud Standard, Advanced ed Enterprise. Per maggiori informazioni, cliccare sul prodotto appropriato.

Prevention

VMware Carbon Black Cloud Prevention fornisce un approccio semplificato alle regole di autorizzazioni e alle regole di blocco e isolamento perché non utilizza EDR.

Nota: in VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise sono incluse ulteriori opzioni. Per informazioni sulle opzioni aggiuntive che influiscono sulla funzionalità EDR, fare riferimento alla sezione Standard, Advanced ed Enterprise di questo articolo.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Regole Permissions

Le regole Permissions determinano le operazioni che le applicazioni possono eseguire nei percorsi specificati.

Tali regole si basano sul percorso e hanno la precedenza sulle regole Blocking and Isolation e su Reputation.

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Policies.
    Policies
  5. Selezionare il set di policy da modificare.
    Selezione di un set di policy
    Nota: Le immagini di esempio utilizzano Standard come set di criteri scelto per la modifica.
  6. Nel riquadro a destra, cliccare su Prevention.
    Prevention
  7. Cliccare per espandere Permissions.
    Autorizzazioni
  8. Cliccare per espandere Add application path.
    Add application path
  9. Specificare il percorso previsto su cui impostare un bypass.
    Impostazione di un bypass
    Nota:
    • L'immagine di esempio utilizza i seguenti percorsi:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • In questo esempio, le azioni applicate hanno effetto su tutti i file in tutte le unità contenenti i percorsi \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
    • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
    • Variabili di ambiente come %WINDIR% sono supportati.
    • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
    • Asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
    • Esempi:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selezionare l'azione da applicare.
    Selezione di un'azione
    Nota:
    • Nell'immagine di esempio, ai tentativi di operazione vengono assegnate azioni diverse selezionando Allow o Bypass.
    • Quando si seleziona il tentativo di operazione Performs any operation, viene eseguito l'override di qualsiasi altro tentativo di operazione e viene disabilitata la selezione di eventuali altre opzioni.
    • Definizione delle azioni:
      • Allow: consente il comportamento nel percorso specificato con informazioni sull'azione registrate da VMware Carbon Black Cloud.
      • Bypass: il comportamento è consentito nel percorso specificato. Non vengono raccolte informazioni.
  11. Cliccare su Save in alto a destra o in fondo alla pagina.
    Save
Regole Blocking and Isolation

Le regole Blocking and Isolation sono basate sul percorso e hanno la precedenza su Reputation. Le regole Blocking and Isolation consentono di impostare un'azione "Deny operation" o "Terminate process" quando viene tentata un'operazione specifica.

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Policies.
    Policies
  5. Selezionare il set di policy da modificare.
    Selezione di un set di policy
    Nota: Le immagini di esempio utilizzano Standard come set di criteri scelto per la modifica.
  6. Nel riquadro a destra, cliccare su Prevention.
    Prevention
  7. Cliccare per espandere Blocking and Isolation.
    Blocking and Isolation
  8. Specificare il percorso dell'applicazione su cui impostare una regola Blocking and Isolation.
    Specifica di un percorso dell'applicazione
    Nota:
    • L'immagine di esempio utilizza excel.exe.
    • Le azioni impostate si applicano all'applicazione con il nome excel.exe eseguito da qualsiasi directory.
    • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
    • Variabili di ambiente come %WINDIR% sono supportati.
    • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
    • Asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
    • Esempi:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Cliccare su Save in alto a destra.
    Save
    Nota: Terminate process termina il processo quando viene tentata l'esecuzione dell'operazione specificata.

Standard, Advanced ed Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise offrono opzioni con regole di autorizzazione, nonché regole di blocco e isolamento, grazie all'inclusione di EDR.

Cliccare sull'argomento appropriato per ulteriori informazioni.

Regole Permissions

Le regole Permissions determinano le operazioni che le applicazioni possono eseguire nei percorsi specificati.

Tali regole si basano sul percorso e hanno la precedenza sulle regole Blocking and Isolation e su Reputation.

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Policies.
    Policies
  5. Selezionare il set di policy da modificare.
    Selezione di un set di policy
    Nota: Le immagini di esempio utilizzano Standard come set di criteri scelto per la modifica.
  6. Nel riquadro a destra, cliccare su Prevention.
    Prevention
  7. Cliccare per espandere Permissions.
    Autorizzazioni
  8. Cliccare per espandere Add application path.
    Add application path
  9. Specificare il percorso previsto su cui impostare un bypass.
    Specifica di un percorso
    Nota:
    • L'immagine di esempio utilizza i seguenti percorsi:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • In questo esempio, le azioni applicate hanno effetto su tutti i file in tutte le unità contenenti i percorsi \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
    • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
    • Variabili di ambiente come %WINDIR% sono supportati.
    • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
    • Asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
    • Esempi:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selezionare l'azione da applicare.
    Selezione di un'azione
    Nota:
    • Nell'immagine di esempio, ai tentativi di operazione vengono assegnate azioni diverse selezionando Allow, Allow & Log o Bypass.
    • Quando si seleziona il tentativo di operazione Performs any operation, viene eseguito l'override di qualsiasi altro tentativo di operazione e viene disabilitata la selezione di eventuali altre opzioni.
    • Ogni azione, ad eccezione di Performs any operation, può essere applicata a più tentativi di operazione.
    • Definizione delle azioni:
      • Allow: consente il comportamento nel percorso specificato; non viene registrato alcun comportamento specificato nel percorso. Nessun dato viene inviato a VMware Carbon Black Cloud.
      • Allow & Log: consente il comportamento nel percorso specificato; viene registrata tutta l'attività. Tutti i dati vengono inviati a VMware Carbon Black Cloud.
      • Bypass: il comportamento è consentito nel percorso specificato; non viene registrato nulla. Nessun dato viene inviato a VMware Carbon Black Cloud.
  11. Cliccare su Confirm in fondo a Permissions per impostare la modifica della policy.
    Confirm
  12. Cliccare su Save in alto a destra.
    Save
Regole Blocking and Isolation

Le regole Blocking and Isolation sono basate sul percorso e hanno la precedenza su Reputation. Le regole Blocking and Isolation consentono di impostare un'azione "Deny operation" o "Terminate process" quando viene tentata un'operazione specifica.

  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Policies.
    Policies
  5. Selezionare il set di policy da modificare.
    Selezione di un set di policy
    Nota: le immagini di esempio utilizzano Standard come set di policy selezionato per la modifica.
  6. Nel riquadro a destra, cliccare su Prevention.
    Prevention
  7. Cliccare per espandere Blocking and Isolation.
    Blocking and Isolation
  8. Cliccare per espandere Add application path.
    Add application path
  9. Specificare il percorso dell'applicazione su cui impostare una regola Blocking and Isolation.
    Specifica di un percorso dell'applicazione
    Nota:
    • L'immagine di esempio utilizza excel.exe.
    • Le azioni impostate si applicano all'applicazione con il nome excel.exe eseguito da qualsiasi directory.
    • L'elenco Permissions di VMware Carbon Black utilizza una struttura di formattazione glob-based.
    • Variabili di ambiente come %WINDIR% sono supportati.
    • Un asterisco singolo (*) corrisponde a tutti i caratteri all'interno della stessa directory.
    • Gli asterischi doppi (**) corrispondono a tutti i caratteri all'interno della stessa directory, di più directory e di tutte le directory al di sopra o al di sotto della posizione o del file specificato.
    • Esempi:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selezionare l'azione da eseguire quando il tentativo di operazione è soddisfatto, quindi cliccare su Confirm.
    Selezione di un'azione
  11. Cliccare su Save in alto a destra.
    Save
    Nota:
    • Deny operation impedisce all'applicazione elencata di eseguire l'operazione specificata che ha tentato di eseguire.
    • Terminate process termina il processo quando viene tentata l'esecuzione dell'operazione specificata.

Reputation

VMware Carbon Black assegna una "reputazione" a ogni file eseguito su un dispositivo con il sensore installato. I file preesistenti iniziano con una reputazione effettiva di LOCAL_WHITE fino a quando non vengono eseguiti o fino a quando la scansione in background non li ha elaborati e ha dato una reputazione più definitiva.

Aggiungere un'applicazione all'elenco Reputation o fare riferimento a Descrizione delle Reputation. Cliccare sull'argomento appropriato per ulteriori informazioni.

Aggiungere un'applicazione all'elenco Reputation

È possibile aggiungere un'applicazione all'elenco Reputation tramite la pagina Reputation o la pagina Alerts. Per maggiori informazioni, cliccare sull'opzione appropriata.

Pagina Reputation
  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Nel riquadro a sinistra, cliccare su Enforce.
    Enforce
  4. Cliccare su Reputation.
    Reputation

Un amministratore può aggiungere un'applicazione all'elenco Reputation utilizzando un hash SHA256, uno strumento IT o un certificato di firma. Per maggiori informazioni, cliccare sull'opzione appropriata.

Hash SHA256
Nota: i file devono essere noti a VMware Carbon Black Cloud all'interno dell'ambiente e l'hash SHA256 deve essere elaborato da VMware Carbon Black Cloud. Le nuove applicazioni potrebbero richiedere un certo tempo dopo il loro primo rilevamento prima di essere riconosciute da VMware Carbon Black Cloud. In questo modo l'elenco Approvato o l'Elenco elementi vietati potrebbero non essere assegnati immediatamente a un file interessato.
  1. Cliccare su Add.
    Aggiungi
  2. Da Aggiungi reputazione:
    1. Selezionare Hash per il tipo.
    2. Selezionare Approved List o Banned List per l'elenco.
    3. Compilare il campo SHA-256.
    4. Compilare il campo Name.
    5. Se si desidera, compilare il campo Comments.
    6. Cliccare su Save.
    Menu Add reputation
    Nota:
    • Approved List imposta automaticamente ogni file interessato e noto con una reputazione Company Approved.
    • Banned List imposta automaticamente ogni file interessato e noto con una reputazione Company Banned.
Strumento IT
  1. Cliccare su Add.
    Aggiungi
  2. Da Aggiungi reputazione:
    1. Selezionare Strumenti IT per il tipo.
    2. Compilare il relativo campo Path of trusted IT tool.
    3. Se si desidera, selezionare Include all child processes.
    4. Se si desidera, compilare il campo Comments.
    5. Cliccare su Save.
    Menu Add reputation
    Nota:
    • gli strumenti IT possono essere aggiunti solo in Approved List. Approved List imposta automaticamente ogni file interessato e noto con una reputazione Local White.
    • Se si seleziona l'opzione Include all child processes, anche tutti i file rilasciati dai processi figlio dello strumento IT appena definito attendibile ricevono l'attendibilità iniziale.
    • I relativi percorsi per gli strumenti IT indicano che il percorso definito deve essere rispettato.

Esempio:

Per gli esempi seguenti, il campo Path of trusted IT tool è impostato su:

  • \sharefolder\folder2\application.exe

Se un amministratore tenta di eseguire il file in questi percorsi, l'esclusione ha esito positivo:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Se un amministratore tenta di eseguire il file in queste posizioni, l'esclusione non riesce:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Negli esempi di esclusione non riuscita, il percorso non può essere interamente rispettato.

Certificato di firma
  1. Cliccare su Add.
    Aggiungi
  2. Da Aggiungi reputazione:
    1. Selezionare Certs per il tipo.
    2. Compilare il campo Signed by.
    3. Se si desidera, compilare il campo Certificate Authority.
    4. Se si desidera, compilare il campo Comments.
    5. Cliccare su Save.

Menu Add reputation

Nota:
Pagina Alerts
  1. In un web browser, accedere a [REGION].conferdeploy.net.
    Nota: [REGION] = regione del tenant
  2. Accedere a VMware Carbon Black Cloud.
    Informazioni di accesso
  3. Cliccare su Alerts.
    Alerts
  4. Selezionare la freccia di espansione accanto all'avviso per approvare la richiesta.
    Selezione dell'avviso
  5. Cliccare su Mostra tutto nella sottosezione Correzione .
    Show all
  6. Cliccare su Add per aggiungere il file in Banned List o in Approved List a seconda che l'hash sia non attendibile o attendibile.
    Aggiunta del file all'elenco Banned List o all'elenco Approved List
    Nota: Il certificato di firma può essere aggiunto in modo che altre applicazioni che condividono questo certificato vengano aggiunte automaticamente all'elenco locale approvato.

Descrizione delle Reputation

Priorità Reputation Valore di ricerca Reputation Descrizione
1 Ignore IGNORE Reputazione verificata autonomamente che Carbon Black Cloud assegna ai file di prodotto e a cui concede autorizzazioni complete di esecuzione.
  • Priorità massima
  • I file dispongono di autorizzazioni di esecuzione complete da parte di Carbon Black, in genere prodotti Carbon Black
2 Company Approved List COMPANY_WHITE_LIST Hash aggiunti manualmente all'elenco approvato dall'azienda selezionando Applica e quindi Reputazioni
3 Company Banned List COMPANY_BLACK_LIST Hash aggiunti manualmente all'elenco delle aziende vietate selezionando Enforce e quindi Reputations
4 Trusted Approved List TRUSTED_WHITE_LIST File privi di minacce note rilevati da Carbon Black tramite cloud, scansione locale o entrambi
5 Known Malware KNOWN_MALWARE File dannosi noti rilevati da Carbon Black tramite cloud, scansione locale o entrambi
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware sospetto rilevato da Carbon Black, ma non necessariamente dannoso
7 Malware adware/PUP ADWARE PUP Adware e programmi potenzialmente indesiderati rilevati da Carbon Black
8 Local White LOCAL_WHITE Il file ha soddisfatto una delle seguenti condizioni:
  • File esistenti prima dell'installazione del sensore
  • File aggiunti all'elenco Approved List in IT Tools selezionando Enforce, quindi Reputations
  • File aggiunti all'elenco Approved in Certs selezionando Enforce, quindi Reputations
9 Common Approved List COMMON_WHITE_LIST Il file ha soddisfatto una delle seguenti condizioni:
  • L'hash non viene inserito in alcun elenco di elementi validi o dannosi e il file viene firmato
  • L'hash è stato analizzato in precedenza e non è presente in alcun elenco valido o dannoso
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST La reputazione Not Listed indica che, dopo che controllo dell'hash dell'applicazione da parte del sensore tramite scansione locale o cloud, non è stato trovato alcun record al riguardo, ovvero non è presente nel database di reputazione.
  • Cloud: hash non rilevato in precedenza
  • Scansione locale: Non dannoso noto, configurato in una policy
11 Unknown RESOLVING La reputazione Unknown indica che non vi è alcuna risposta da parte di nessuna delle fonti di reputazione utilizzate dal sensore.
  • Priorità minima
  • Il sensore rileva la perdita di file, ma non ha ancora una reputazione dal cloud o dallo scanner locale

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.