Créer des exclusions ou des inclusions pour VMware Carbon Black Cloud

Summary: Découvrez comment configurer les exclusions et inclusions VMware Carbon Black en suivant ces instructions détaillées.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black utilise des règles de réputation et d’autorisation pour gérer les exclusions d’antivirus de nouvelle génération (NGAV) (listes approuvées) et les inclusions (listes interdites). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced et VMware Carbon Black Cloud Enterprise utilisent la détection et la réponse de point de terminaison (EDR). EDR est également affecté par les règles de réputation et d’autorisation. Cet article est destiné à guider les administrateurs dans la définition de ces valeurs, ainsi qu’à donner des mises en garde qui pourraient être pertinentes.

Produits concernés :

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Systèmes d’exploitation concernés :

  • Windows
  • Mac
  • Linux

Intégration de VMware Carbon Black Partie 3 : Policies and Groups

Durée : 03:37
Sous-titres : disponibles dans plusieurs langues

VMware Carbon Black Cloud utilise une combinaison de stratégies et de listes de réputation pour déterminer les opérations qui ont lieu.

Cliquez sur le sujet approprié pour obtenir plus d’informations.

Politiques

Les politiques de VMware Carbon Black Cloud Preventiondiffèrent des politiques de VMware Carbon Black Cloud Standard, Advanced et Enterprise. Cliquez sur le produit approprié pour obtenir plus d’informations.

Prévention

VMware Carbon Black Cloud Prevention fournit une approche rationalisée des règles d’autorisation et des règles de blocage et d’isolement , car elle n’utilise pas EDR.

Remarque : des options supplémentaires sont incluses dans VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced et VMware Carbon Black Cloud Enterprise. Pour plus d’informations sur les options supplémentaires ayant une incidence sur EDR, consultez la section Standard, Advanced et Enterprise de cet article.

Cliquez sur le sujet approprié pour obtenir plus d’informations.

Règles d’autorisation

Les règles d’autorisation déterminent quelles opérations les applications peuvent effectuer sur les chemins spécifiés.

Les règles d’autorisation sont basées sur le chemin et sont prioritaires sur les règles de blocage et d’isolation, ainsi que sur la réputation.

  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Connexion
  3. Dans le volet du menu de gauche, cliquez sur Appliquer.
    Appliquer
  4. Cliquez sur Stratégies.
    Politiques
  5. Sélectionnez l’ensemble de règles à modifier.
    Sélection d’un ensemble de règles
    Remarque : Les exemples d’images utilisent Standard comme jeu de règles choisi pour la modification.
  6. Dans le volet du menu de gauche, cliquez sur Prévention.
    Prévention
  7. Cliquez pour développer la section Autorisations.
    Autorisations
  8. Cliquez pour développer la section Ajouter le chemin de l’application.
    Ajouter le chemin de l’application
  9. Renseignez le chemin sur lequel vous prévoyez de définir une autorisation de type Ignorer.
    Définition d’un contournement
    Remarque :
    • l’image de l’exemple utilise les chemins suivants :
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Dans cet exemple, les actions appliquées affectent tous les fichiers sur tous les disques contenant les chemins \program files\dell\dell data protection\ et \programdata\dell\dell data protection\.
    • La liste d’autorisations de VMware Carbon Black tire parti d’une structure formatée selon un modèle Glob.
    • Les variables d’environnement telles que %WINDIR% sont pris en charge.
    • Un seul astérisque (*) correspond à tous les caractères d’un même répertoire.
    • Les astérisques doubles (**) correspondent à tous les caractères d’un même répertoire, de plusieurs répertoires et de tous les répertoires situés au-dessus ou au-dessous de l’emplacement ou du fichier spécifié.
    • Exemples :
      • Windows. : **\powershell.exe
      • Mac : /Users/*/Downloads/**
  10. Sélectionnez l’Action à appliquer.
    Sélection d’une action
    Remarque :
    • dans l’image de l’exemple, les tentatives d’exécution d’une opération se voient attribuer différentes actions en sélectionnant Autoriser ou Ignorer.
    • Lorsque la tentative d’opération Exécute n’importe quelle opération est sélectionnée, cela remplace toute autre tentative d’opération et désactive toute autre option sélectionnée.
    • Définitions d’actions :
      • Autoriser : autorise l’opération dans le chemin spécifié avec journalisation de l’action par VMware Carbon Black Cloud.
      • Ignorer : toutes les opérations sont autorisées dans le chemin spécifié. Aucune information n’est collectée.
  11. Cliquez sur Enregistrer dans l’angle supérieur droit ou au bas de la page.
    Enregistrer
Règles de blocage et d’isolation

Les règles de blocage et d’isolation sont basées sur le chemin et sont prioritaires sur la réputation. Les règles de blocage et d’isolation vous permettent de définir une action « Refuser l’opération » ou « Mettre fin au processus » lorsqu’une opération spécifique est tentée.

  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Se connecter
  3. Dans le volet du menu de gauche, cliquez sur Appliquer.
    Appliquer
  4. Cliquez sur Stratégies.
    Politiques
  5. Sélectionnez l’ensemble de règles à modifier.
    Sélection d’un ensemble de règles
    Remarque : Les exemples d’images utilisent Standard comme jeu de règles choisi pour la modification.
  6. Dans le volet du menu de gauche, cliquez sur Prévention.
    Prévention
  7. Cliquez pour développer la section Blocage et isolation.
    Blocage et isolation
  8. Renseignez le chemin de l’application pour y définir une règle de blocage et d’isolation.
    Renseignement d’un chemin de l’application
    Remarque :
    • L’exemple d’image utilise excel.exe.
    • L’ensemble d’actions s’applique à l’application portant le nom excel.exe Exécuté à partir de n’importe quel répertoire.
    • La liste d’autorisations de VMware Carbon Black tire parti d’une structure formatée selon un modèle Glob.
    • Les variables d’environnement telles que %WINDIR% sont pris en charge.
    • Un seul astérisque (*) correspond à tous les caractères d’un même répertoire.
    • Les astérisques doubles (**) correspondent à tous les caractères d’un même répertoire, de plusieurs répertoires et de tous les répertoires situés au-dessus ou au-dessous de l’emplacement ou du fichier spécifié.
    • Exemples :
      • Windows. : **\powershell.exe
      • Mac : /Users/*/Downloads/**
  9. Cliquez sur Enregistrer dans l’angle supérieur droit.
    Enregistrer
    Remarque : L’action Mettre fin au processus interrompt le processus dès que l’opération spécifiée tentera de s’exécuter.

Standard, Advanced et Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced et VMware Carbon Black Cloud Enterprise fournissent des options avec des règles d’autorisation, ainsi que des règles de blocage et d’isolation, en raison de l’inclusion d’EDR.

Cliquez sur le sujet approprié pour obtenir plus d’informations.

Règles d’autorisation

Les règles d’autorisation déterminent quelles opérations les applications peuvent effectuer sur les chemins spécifiés.

Les règles d’autorisation sont basées sur le chemin et sont prioritaires sur les règles de blocage et d’isolation, ainsi que sur la réputation.

  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Connexion
  3. Dans le volet du menu de gauche, cliquez sur Appliquer.
    Appliquer
  4. Cliquez sur Stratégies.
    Politiques
  5. Sélectionnez l’ensemble de règles à modifier.
    Sélection d’un ensemble de règles
    Remarque : Les exemples d’images utilisent Standard comme jeu de règles choisi pour la modification.
  6. Dans le volet du menu de gauche, cliquez sur Prévention.
    Prévention
  7. Cliquez pour développer la section Autorisations.
    Autorisations
  8. Cliquez pour développer la section Ajouter le chemin de l’application.
    Ajouter le chemin de l’application
  9. Renseignez le chemin sur lequel vous prévoyez de définir une autorisation de type Ignorer.
    Renseignement d’un chemin
    Remarque :
    • l’image de l’exemple utilise les chemins suivants :
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Dans cet exemple, les actions appliquées affectent tous les fichiers sur tous les disques contenant les chemins \program files\dell\dell data protection\ et \programdata\dell\dell data protection\.
    • La liste d’autorisations de VMware Carbon Black tire parti d’une structure formatée selon un modèle Glob.
    • Les variables d’environnement telles que %WINDIR% sont pris en charge.
    • Un seul astérisque (*) correspond à tous les caractères d’un même répertoire.
    • Les astérisques doubles (**) correspondent à tous les caractères d’un même répertoire, de plusieurs répertoires et de tous les répertoires situés au-dessus ou au-dessous de l’emplacement ou du fichier spécifié.
    • Exemples :
      • Windows. : **\powershell.exe
      • Mac : /Users/*/Downloads/**
  10. Sélectionnez l’Action à appliquer.
    Sélection d’une action
    Remarque :
    • dans l’image de l’exemple, les tentatives d’exécution d’une opération se voient attribuer différentes actions en sélectionnant Autoriser, Autoriser et journaliser ou Ignorer.
    • Lorsque la tentative d’opération Exécute n’importe quelle opération est sélectionnée, cela remplace toute autre tentative d’opération et désactive toute autre option sélectionnée.
    • Chaque action, sauf Exécute n’importe quelle opération, peut être appliquée à plusieurs tentatives d’exécution d’une opération.
    • Définitions d’actions :
      • Autoriser : autorise l’opération dans le chemin spécifié ; aucune des opérations spécifiées dans le chemin n’est consignée. Aucune donnée n’est envoyée à VMware Carbon Black Cloud.
      • Autoriser et journaliser : autorise l’opération dans le chemin spécifié ; toute l’activité est journalisée. Toutes les données sont signalées à VMware Carbon Black Cloud.
      • Ignorer : toutes les opérations sont autorisées dans le chemin spécifié ; aucune information n’est journalisée. Aucune donnée n’est envoyée à VMware Carbon Black Cloud.
  11. Cliquez sur Confirmer au bas de la section Autorisations pour définir la modification de la stratégie.
    Confirmer
  12. Cliquez sur Enregistrer dans l’angle supérieur droit.
    Enregistrer
Règles de blocage et d’isolation

Les règles de blocage et d’isolation sont basées sur le chemin et sont prioritaires sur la réputation. Les règles de blocage et d’isolation vous permettent de définir une action « Refuser l’opération » ou « Mettre fin au processus » lorsqu’une opération spécifique est tentée.

  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Connexion
  3. Dans le volet du menu de gauche, cliquez sur Appliquer.
    Appliquer
  4. Cliquez sur Stratégies.
    Politiques
  5. Sélectionnez l’ensemble de règles à modifier.
    Sélection d’un ensemble de règles
    Remarque : les images de l’exemple utilisent Standard comme jeu de stratégies à modifier.
  6. Dans le volet du menu de gauche, cliquez sur Prévention.
    Prévention
  7. Cliquez pour développer la section Blocage et isolation.
    Blocage et isolation
  8. Cliquez pour développer la section Ajouter le chemin de l’application.
    Ajouter le chemin de l’application
  9. Renseignez le chemin de l’application pour y définir une règle de blocage et d’isolation.
    Renseignement d’un chemin de l’application
    Remarque :
    • l’image d’exemple utilise excel.exe.
    • L’ensemble d’actions s’applique à l’application portant le nom excel.exe Exécuté à partir de n’importe quel répertoire.
    • La liste d’autorisations de VMware Carbon Black tire parti d’une structure formatée selon un modèle Glob.
    • Les variables d’environnement telles que %WINDIR% sont pris en charge.
    • Un seul astérisque (*) correspond à tous les caractères dans le même répertoire.
    • Les astérisques doubles (**) correspondent à tous les caractères du même répertoire, à plusieurs répertoires et à tous les répertoires au-dessus ou en dessous de l’emplacement ou du fichier spécifié.
    • Exemples :
      • Windows. : **\powershell.exe
      • Mac : /Users/*/Downloads/**
  10. Sélectionnez l’Action à exécuter lorsque la tentative d’exécution de l’opération est détectée, puis cliquez sur Confirmer.
    Sélection d’une action
  11. Cliquez sur Enregistrer dans l’angle supérieur droit.
    Enregistrer
    Remarque :
    • L’action Refuser l’opération empêche l’application répertoriée d’effectuer l’opération spécifiée qu’elle essayait d’effectuer.
    • L’action Mettre fin au processus interrompt le processus dès que l’opération spécifiée tentera de s’exécuter.

Réputation

VMware Carbon Black attribue une réputation à chaque fichier exécuté sur un appareil sur lequel le capteur est installé. Les fichiers préexistants commencent par une réputation effective de LOCAL_WHITE jusqu’à ce qu’il s’exécute ou jusqu’à ce que l’analyse en arrière-plan les ait traités et donne une réputation plus définitive.

Vous pouvez Ajouter une application à la liste des réputations ou faire référence aux Descriptions de réputations. Cliquez sur le sujet approprié pour obtenir plus d’informations.

Ajouter une application à la liste des réputations

Une application peut être ajoutée à la liste des réputations via la page Réputations ou la page Alertes. Cliquez sur l’option appropriée pour obtenir plus d’informations.

Page Réputations
  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Connexion
  3. Dans le volet du menu de gauche, cliquez sur Appliquer.
    Appliquer
  4. Cliquez sur Réputation.
    Réputation

Un administrateur peut ajouter une application à la liste des réputations à l’aide d’un hachage SHA256, d’un outil IT ou d’un certificat de signature. Cliquez sur l’option appropriée pour obtenir plus d’informations.

Hachage SHA256
Remarque : les fichiers doivent être connus de VMware Carbon Black Cloud en étant observés dans l’environnement, et le hachage SHA256 doit être traité par VMware Carbon Black Cloud. Il faut parfois un certain temps après la détection jusqu’à ce que les nouvelles applications soient connues de VMware Carbon Black Cloud. Il se peut que la Liste approuvée ou la Liste interdite ne soit pas immédiatement attribuée à un fichier affecté.
  1. Cliquez sur Ajouter.
    Ajouter
  2. À partir d’Add Reputation :
    1. Sélectionnez Hash pour le type.
    2. Sélectionnez Liste approuvée ou Liste interdite pour la liste.
    3. Renseignez le champ Hachage SHA-256.
    4. Renseignez le champ Nom pour désigner la réputation.
    5. Si vous le souhaitez, renseignez le champ Commentaires.
    6. Cliquez sur Save (Enregistrer).
    Menu Ajouter une réputation
    Remarque :
    • La Liste des approbations définit automatiquement tous les fichiers affectés et connus sur une réputation de type Liste approuvée par l’entreprise.
    • La Liste des interdictions définit automatiquement tous les fichiers affectés et connus sur une réputation de type Liste interdite par l’entreprise.
Outil IT
  1. Cliquez sur Ajouter.
    Ajouter
  2. À partir d’Add Reputation :
    1. Sélectionnez Outils informatiques pour le type.
    2. Renseignez le champ Chemin relatif vers l’outil IT de confiance.
    3. Si vous le souhaitez, sélectionnez Inclure tous les processus enfants.
    4. Si vous le souhaitez, renseignez le champ Commentaires.
    5. Cliquez sur Save (Enregistrer).
    Menu Ajouter une réputation
    Remarque :
    • les outils IT peuvent uniquement être ajoutés à la Liste des approbations. La Liste des approbations définit automatiquement tous les fichiers affectés et connus sur une réputation de type Liste blanche locale.
    • L’option Inclure tous les processus enfants permet de spécifier que tous les fichiers déposés par les processus enfants de l’outil IT de confiance nouvellement défini reçoivent également la confiance initiale.
    • Les chemins relatifs vers les outils IT permettent de définir un chemin qui satisfait le chemin d’accès complet.

Exemple :

dans les exemples suivants, la valeur du Chemin relatif vers l’outil IT de confiance est définie sur :

  • \sharefolder\folder2\application.exe

Si un administrateur tente d’exécuter le fichier à ces emplacements, l’exclusion réussit :

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Si un administrateur tente d’exécuter le fichier à ces emplacements, l’exclusion échoue :

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Dans les exemples d’échecs, le chemin ne peut pas être entièrement satisfait.

Certificat de signature
  1. Cliquez sur Ajouter.
    Ajouter
  2. À partir d’Add Reputation :
    1. Sélectionnez Certs pour le type.
    2. Renseignez le champ Signé par.
    3. Si vous le souhaitez, renseignez le champ Autorité de certification.
    4. Si vous le souhaitez, renseignez le champ Commentaires.
    5. Cliquez sur Save (Enregistrer).

Menu Ajouter une réputation

Remarque :
Page Alertes
  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Connexion
  3. Cliquez sur Alertes.
    Alertes
  4. Sélectionnez le chevron en regard de l’alerte pour approuver la demande.
    Sélection de l’alerte
  5. Cliquez sur Show All dans la sous-section Remediation .
    Afficher tout
  6. Cliquez sur Ajouter pour ajouter le fichier à la liste des interdictions ou à la liste des approbations, selon que le hachage n’est pas fiable ou fiable.
    Ajout du fichier à la liste interdite ou à la liste approuvée
    Remarque : Le certificat de signature peut être ajouté afin que d’autres applications qui partagent ce certificat soient automatiquement ajoutées à la liste des approbations locales.

Descriptions de réputation

Priorité Réputation Valeur de la recherche de réputation Description
1 Ignorer IGNORE Vérifiez la réputation que Carbon Black Cloud attribue aux fichiers de produit et accordez-leur toutes les autorisations d’exécution.
  • Priorité la plus élevée
  • Les fichiers disposent d’autorisations complètes pour une exécution par Carbon Black (il s’agit normalement des produits Carbon Black)
2 Liste des approbations de l’entreprise COMPANY_WHITE_LIST Hachages ajoutés manuellement à la liste approuvée de l’entreprise en accédant à Appliquer, puis à Réputations
3 Liste des interdictions de l’entreprise COMPANY_BLACK_LIST Hachages ajoutés manuellement à la liste des interdictions de l’entreprise en allant sur Appliquer, puis sur Réputations
4 Liste blanche de confiance TRUSTED_WHITE_LIST Considéré comme bon par Carbon Black sur la base du cloud, de l’analyseur local, ou des deux
5 Connaissance des logiciels malveillants KNOWN_MALWARE Considéré comme mauvais par Carbon Black sur la base du cloud, de l’analyseur local, ou des deux
6 Logiciel malveillant suspect/heuristique SUSPECT_MALWARE HEURISTIC Logiciel malveillant suspect détecté par Carbon Black, mais pas nécessairement malveillant
7 Logiciel malveillant de publicité/potentiellement non désiré ADWARE PUP Logiciels de publicité ou potentiellement non désirés détectés par Carbon Black
8 Liste blanche locale LOCAL_WHITE Le fichier a rempli l’une des conditions suivantes :
  • Fichiers présents avant l’installation du capteur
  • Fichiers ajoutés à la liste approuvée dans les outils informatiques en allant sur Appliquer, puis sur Réputations
  • Fichiers ajoutés à la liste approuvée dans Certs en allant sur Enforce, puis sur Reputations
9 Liste des approbations communes COMMON_WHITE_LIST Le fichier a rempli l’une des conditions suivantes :
  • Le hachage ne figure sur aucune liste de bonnes ou de mauvaises informations connues, et le fichier est signé
  • Hachage précédemment analysé et ne figurant sur aucune liste connue de bonnes ou de mauvaises performances
10 Liste Non répertoriée/Approuvée adaptable NOT_LISTEDADAPTIVE_WHITE_LIST La réputation Non répertoriée indique qu’une fois que le capteur a vérifié le hachage de l’application avec Local Scanner ou Cloud, aucune trace n’est trouvés à son sujet : il n’est pas répertorié dans la base de données de réputation.
  • Cloud : Hachage non vu précédemment
  • Analyseur local : Pas connu comme étant mauvais, configuré dans la stratégie
11 Inconnu RESOLVING La réputation Inconnue indique qu’il n’y a aucune réponse de l’une des sources de réputation utilisées par le capteur.
  • Priorité la plus basse
  • Le capteur observe une perte de fichiers, mais n’a pas encore de réputation à partir du scanner Cloud ou local

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.