Cómo crear exclusiones o inclusiones para VMware Carbon Black Cloud

Summary: Obtenga información sobre cómo configurar las exclusiones e inclusiones de VMware Carbon Black siguiendo estas instrucciones paso a paso.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black utiliza reglas de reputación y permisos para manejar exclusiones (listas aprobadas) e inclusiones (listas prohibidas) de antivirus de última generación (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise utilizan detección y respuesta de terminales (EDR). EDR también se ve afectada por las reglas de reputación y permisos. Este artículo sirve de orientación para que los administradores puedan ajustar estos valores junto con cualquier advertencia que pueda ser pertinente.

Productos afectados:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Sistemas operativos afectados:

  • Windows
  • Mac
  • Linux

Incorporación de VMware Carbon Black parte 3: Políticas y grupos

Duración: 03:37
Subtítulos: Disponible en varios idiomas

VMware Carbon Black Cloud utiliza una combinación de políticas y reputación para determinar qué operaciones tienen lugar.

Haga clic en el tema correspondiente para obtener más información.

Políticas

Las políticas de prevención de VMware Carbon Black Cloud difierende las políticas de VMware Carbon Black Cloud Standard, Advanced y Enterprise. Haga clic en el producto correspondiente para obtener más información.

Prevención

VMware Carbon Black Cloud Prevention proporciona un enfoque optimizado para las reglas de permisos y las reglas de bloqueo y aislamiento , ya que no utiliza EDR.

Nota: Se incluyen opciones adicionales dentro de VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise. Para obtener información sobre las opciones adicionales que afectan a EDR, consulte la sección Standard, Advanced y Enterprise de este artículo.

Haga clic en el tema correspondiente para obtener más información.

Reglas de permisos

Las reglas de permisos determinan las operaciones que pueden realizar las aplicaciones en las rutas especificadas.

Las reglas de permisos se basan en rutas y prevalece por sobre las reglas de bloqueo y aislamiento, además de la reputación.

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Enforce.
    Enforce
  4. Haga clic en Policies.
    Políticas
  5. Seleccione el conjunto de políticas que desea modificar.
    Selección de un conjunto de políticas
    Nota: En las imágenes de ejemplo, se utiliza Estándar como el conjunto de políticas elegido para modificar.
  6. En el panel de menú derecho, haga clic en Prevention.
    Prevención
  7. Haga clic para ampliar Permissions.
    Permisos
  8. Haga clic para ampliar Add application path.
    Add application path
  9. Complete la ruta prevista en la cual establecer una omisión.
    Ajuste de una omisión
    Nota:
    • La imagen de ejemplo utiliza las siguientes rutas:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • En este ejemplo, las acciones aplicadas afectan a todos los archivos de todas las unidades que contienen las rutas \program files\dell\dell data protection\ y \programdata\dell\dell data protection\.
    • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
    • Variables de entorno como las siguientes %WINDIR% son compatibles.
    • Un solo asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
    • Asteriscos dobles (**) coinciden con todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o inferiores a la ubicación o el archivo especificados.
    • Ejemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Seleccione la acción que se aplicará.
    Selección de una acción
    Nota:
    • En la imagen de ejemplo, los intentos de operación reciben acciones diferentes mediante la selección de Allow o Bypass.
    • Cuando se selecciona el intento de operación Performs any operation, esto reemplaza a cualquier otro intento de operación y desactiva la selección de cualquier otra opción.
    • Definiciones de acción:
      • Allow: permite el comportamiento en la ruta de acceso especificada y VMware Carbon Black Cloud registra información sobre la acción.
      • Bypass: se permite todo comportamiento en la ruta especificada. No se recopila información.
  11. Haga clic en Save en la esquina superior derecha o en la parte inferior de la página.
    Guardar
Reglas de bloqueo y aislamiento

Las reglas de bloqueo y aislamiento se basan en rutas y prevalece por sobre la reputación. Las reglas de bloqueo y aislamiento nos permiten establecer una acción del tipo “Deny operation” o “Terminate process” cuando se intenta realizar una operación específica.

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Enforce.
    Enforce
  4. Haga clic en Policies.
    Políticas
  5. Seleccione el conjunto de políticas que desea modificar.
    Selección de un conjunto de políticas
    Nota: En las imágenes de ejemplo, se utiliza Estándar como el conjunto de políticas elegido para modificar.
  6. En el panel de menú derecho, haga clic en Prevention.
    Prevención
  7. Haga clic para ampliar Blocking and Isolation.
    Blocking and Isolation
  8. Complete la ruta de la aplicación en la cual configurar una regla de bloqueo y aislamiento.
    Completar una ruta de aplicación
    Nota:
    • En la imagen de ejemplo, se utiliza excel.exe.
    • Las acciones establecidas se aplican a la aplicación con el nombre excel.exe Se ejecutó desde cualquier directorio.
    • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
    • Variables de entorno como las siguientes %WINDIR% son compatibles.
    • Un solo asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
    • Asteriscos dobles (**) coinciden con todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o inferiores a la ubicación o el archivo especificados.
    • Ejemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Haga clic en Save en la parte superior derecha.
    Guardar
    Nota: Terminate process interrumpe el proceso una vez que se intenta ejecutar la operación especificada.

Standard, Advanced y Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced y VMware Carbon Black Cloud Enterprise proporcionan opciones con reglas de permisos, así como reglas de bloqueo y aislamiento, debido a la inclusión de EDR.

Haga clic en el tema correspondiente para obtener más información.

Reglas de permisos

Las reglas de permisos determinan las operaciones que pueden realizar las aplicaciones en las rutas especificadas.

Las reglas de permisos se basan en rutas y prevalece por sobre las reglas de bloqueo y aislamiento, además de la reputación.

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Enforce.
    Enforce
  4. Haga clic en Policies.
    Políticas
  5. Seleccione el conjunto de políticas que desea modificar.
    Selección de un conjunto de políticas
    Nota: En las imágenes de ejemplo, se utiliza Estándar como el conjunto de políticas elegido para modificar.
  6. En el panel de menú derecho, haga clic en Prevention.
    Prevención
  7. Haga clic para ampliar Permissions.
    Permisos
  8. Haga clic para ampliar Add application path.
    Add application path
  9. Complete la ruta prevista en la cual establecer una omisión.
    Ingreso de una ruta
    Nota:
    • La imagen de ejemplo utiliza las siguientes rutas:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • En este ejemplo, las acciones aplicadas afectan a todos los archivos de todas las unidades que contienen las rutas \program files\dell\dell data protection\ y \programdata\dell\dell data protection\.
    • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
    • Variables de entorno como las siguientes %WINDIR% son compatibles.
    • Un solo asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
    • Asteriscos dobles (**) coinciden con todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o inferiores a la ubicación o el archivo especificados.
    • Ejemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Seleccione la acción que se aplicará.
    Selección de una acción
    Nota:
    • En la imagen de ejemplo, los intentos de operación reciben acciones diferentes si selecciona Allow, Allow & Log o Bypass.
    • Cuando se selecciona el intento de operación Performs any operation, esto reemplaza a cualquier otro intento de operación y desactiva la selección de cualquier otra opción.
    • Todas las acciones, excepto Performs any operation, se pueden aplicar a varios intentos de operación.
    • Definiciones de acción:
      • Allow: permite el comportamiento en la ruta especificada, no se registra nada del comportamiento especificado en la ruta. No se envían datos a VMware Carbon Black Cloud.
      • Allow & Log: permite el comportamiento en la ruta especificada; se registra toda la actividad. Todos los datos se informan a VMware Carbon Black Cloud.
      • Bypass: se permite todo comportamiento en la ruta especificada; no se registra nada. No se envían datos a VMware Carbon Black Cloud.
  11. Haga clic en Confirm en la parte inferior de Permissions para establecer el cambio de política.
    Confirmar
  12. Haga clic en Save en la parte superior derecha.
    Guardar
Reglas de bloqueo y aislamiento

Las reglas de bloqueo y aislamiento se basan en rutas y prevalece por sobre la reputación. Las reglas de bloqueo y aislamiento nos permiten establecer una acción del tipo “Deny operation” o “Terminate process” cuando se intenta realizar una operación específica.

  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Enforce.
    Enforce
  4. Haga clic en Policies.
    Políticas
  5. Seleccione el conjunto de políticas que desea modificar.
    Selección de un conjunto de políticas
    Nota: Las imágenes de ejemplo usan Standard como el conjunto de políticas elegido para modificar.
  6. En el panel de menú derecho, haga clic en Prevention.
    Prevención
  7. Haga clic para ampliar Blocking and Isolation.
    Blocking and Isolation
  8. Haga clic para ampliar Add application path.
    Add application path
  9. Complete la ruta de la aplicación en la cual configurar una regla de bloqueo y aislamiento.
    Completar una ruta de aplicación
    Nota:
    • La imagen de ejemplo utiliza excel.exe.
    • Las acciones establecidas se aplican a la aplicación con el nombre excel.exe Se ejecutó desde cualquier directorio.
    • La lista de permisos de VMware Carbon Black aprovecha una estructura de formatos basada en glob.
    • Variables de entorno como las siguientes %WINDIR% son compatibles.
    • Un único asterisco (*) coincide con todos los caracteres dentro del mismo directorio.
    • Los asteriscos dobles (**) hacen coincidir a todos los caracteres del mismo directorio, varios directorios y todos los directorios anteriores o posteriores a la ubicación o el archivo especificados.
    • Ejemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Seleccione la acción que se realizará cuando ocurre el intento de operación y, luego, haga clic en Confirm.
    Selección de una acción
  11. Haga clic en Save en la parte superior derecha.
    Guardar
    Nota:
    • Deny operation impide que la aplicación enumerada realice la operación especificada que intentó realizar.
    • Terminate process interrumpe el proceso una vez que se intenta ejecutar la operación especificada.

Reputación

VMware Carbon Black asigna una reputación a cada archivo que se ejecute en un dispositivo con el sensor instalado. Los archivos preexistentes comienzan con una reputación efectiva de LOCAL_WHITE hasta que se ejecute o hasta que el escaneo en segundo plano los haya procesado y les dé una reputación más definitiva.

Consulte Agregue una aplicación a la lista de reputación o Descripciones de reputación. Haga clic en el tema correspondiente para obtener más información.

Agregar una aplicación a la lista de reputación

Se puede agregar una aplicación a la lista de reputación mediante la página Reputations o la página Alerts. Haga clic en la opción correspondiente para obtener más información.

Página Reputations
  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. En el panel de menú izquierdo, haga clic en Enforce.
    Enforce
  4. Haga clic en Reputation.
    Reputación

Un administrador puede agregar una aplicación a la lista de reputación mediante un hash SHA256, una herramienta de TI o un certificado de firma. Haga clic en la opción correspondiente para obtener más información.

Hash SHA256
Nota: VMware Carbon Black Cloud debe conocer los archivos detectándolos en el entorno y procesando el hash SHA256. Las nuevas aplicaciones pueden tardar algún tiempo después de su primera detección antes de que VMware Carbon Black Cloud las reconozca. Esto puede provocar que la Lista aprobada o la Lista prohibida no se asignen inmediatamente a un archivo afectado.
  1. Haga clic en Add (Agregar).
    Agregar
  2. De Add Reputation:
    1. Seleccione Hash para el tipo.
    2. Seleccione Lista aprobada o Lista prohibida para la lista.
    3. Complete el hash SHA-256.
    4. Complete un nombre para la entrada.
    5. Opcionalmente, ingrese comentarios.
    6. Haga clic en Guardar.
    Menú Add Reputation
    Nota:
    • Approved List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Company Approved.
    • Banned List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Company Banned.
Herramienta IT
  1. Haga clic en Add (Agregar).
    Agregar
  2. De Add Reputation:
    1. Seleccione Herramientas de TI para el tipo.
    2. Complete la ruta de la herramienta de TI de confianza correspondiente.
    3. De manera opcional, seleccione Include all child processes.
    4. Opcionalmente, ingrese comentarios.
    5. Haga clic en Guardar.
    Menú Add Reputation
    Nota:
    • Las herramientas de TI solo se pueden agregar a la lista aprobada. Approved List configura automáticamente cualquier archivo afectado y conocido que tenga la reputación Local White.
    • Si se selecciona la opción Include all child processes, todos los archivos utilizados por los procesos secundarios de la herramienta de TI de confianza recién definida también reciben la confianza inicial.
    • Las rutas relativas para las herramientas de TI indican que la ruta de acceso definida se puede completar con las rutas definidas.

Ejemplo:

En los siguientes ejemplos, la ruta de la herramienta de TI de confianza se establece como lo siguiente:

  • \sharefolder\folder2\application.exe

Si un administrador intenta ejecutar el archivo en estas ubicaciones, la exclusión se realiza correctamente:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Si un administrador intenta ejecutar el archivo en estas ubicaciones, se produce un error en la exclusión:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

En los ejemplos fallidos, la ruta de acceso no se puede ingresar por completo.

Certificado de firma
  1. Haga clic en Add (Agregar).
    Agregar
  2. De Add Reputation:
    1. Seleccione Certs para el tipo.
    2. Complete el campo Signed by.
    3. De manera opcional, complete la autoridad de certificación.
    4. De manera opcional, ingrese comentarios.
    5. Haga clic en Guardar.

Menú Add Reputation

Nota:
Página Alerts
  1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
    Nota: [REGION] = Región del grupo de usuarios
  2. Sign In en VMware Carbon Black Cloud.
    Inicio de sesión
  3. Haga clic en Alerts.
    Alerts
  4. Seleccione la flecha adicional junto a la alerta para aprobar la solicitud.
    Selección de la alerta
  5. Haga clic en Show all en la subsección Recorrect.
    Mostrar todo
  6. Haga clic en esta opción para agregar el archivo a la lista aprobada o la lista prohibida en función de si el hash es de confianza o no.
    Adición del archivo a la lista prohibida o a la lista aprobada
    Nota: Se puede agregar el certificado de firma para que otras aplicaciones que compartan este certificado se agreguen automáticamente a la lista local aprobada.

Descripciones de reputación

Prioridad Reputación Valor de búsqueda de reputación Descripción
1 Omitir IGNORE Comprobación automática de la reputación que Carbon Black Cloud asigna a los archivos de productos y les otorga permisos completos de ejecución.
  • Highest Priority
  • Carbon Black otorga permisos completos de ejecución a los archivos; por lo general, son productos de carbono negro
2 Lista aprobada por la empresa COMPANY_WHITE_LIST Los hashes se agregan manualmente a la lista aprobada por la empresa; para ello, vaya a Aplicar y, a continuación, a Reputaciones
3 Lista prohibida por la empresa COMPANY_BLACK_LIST Los hashes se agregan manualmente a la lista de prohibiciones de la empresa yendo a Aplicar y, luego, a Reputaciones
4 Lista aprobada de confianza TRUSTED_WHITE_LIST Aprobado y conocido por Carbon Black, ya sea desde la nube, un escaneo local o ambos
5 Known Malware KNOWN_MALWARE Rechazado y conocido por Carbon Black, ya sea desde la nube, un escaneo local o ambos
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware sospechoso detectado por Carbon Black, pero que no es necesariamente malicioso
7 Adware/PUP Malware ADWARE PUP Adware y programas potencialmente no deseados que son detectados por Carbon Black
8 Local White LOCAL_WHITE El archivo cumple alguna de las siguientes condiciones:
  • Archivos preexistentes antes de la instalación del sensor
  • Los archivos se agregan a la lista aprobada en Herramientas de TI. Para ello, vaya a Aplicar y, a continuación, a Reputaciones
  • Los archivos se agregan a la lista aprobada en Certs; para ello, vaya a Enforce y, a continuación, a Reputations
9 Lista aprobada común COMMON_WHITE_LIST El archivo cumple alguna de las siguientes condiciones:
  • El hash no está en ninguna lista buena o mala conocida y el archivo está firmado
  • Hash analizado previamente y no está en ninguna lista conocida de buenos o malos conocidos
10 Lista no enumerada/lista aprobada adaptable NOT_LISTEDADAPTIVE_WHITE_LIST La reputación Not Listed indica que, después de que el sensor revisa el hash de la aplicación con el escáner local o la nube, no se puede encontrar ningún registro al respecto: no aparece en la base de datos de reputaciones.
  • Servicio en la nube: El hash no se observó anteriormente
  • Escaneo local: No está en una lista prohibida conocida y está configurado en la política
11 Unknown RESOLVING La reputación Unknown indica que no hay respuesta de ninguna de las fuentes de reputación que utiliza el sensor.
  • Prioridad más baja
  • El sensor observa la caída de archivos, pero aún no tiene una reputación en la nube o en el escáner local

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.