Så här skapar du exkluderingar och inkluderingar för VMware Carbon Black Cloud

Summary: Lär dig hur du konfigurerar VMware Carbon Black uteslutningar och inkluderingar genom att följa dessa steg-för-steg-instruktioner.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black använder ryktes- och behörighetsregler för att hantera nästa generations antivirusundantag (NGAV) (godkända listor) och inkluderingar (förbjudna listor). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise använder slutpunktsdetektering och svar (EDR). EDR påverkas också av ryktes- och behörighetsregler. Den här artikeln vägleder administratörer genom att ange dessa värden tillsammans med eventuella varningar som kan vara relevanta.

Berörda produkter:

  • VMware Carbon Black Cloud-förebyggande
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Avancerat
  • VMware Carbon Black Cloud Enterprise

Berörda operativsystem:

  • Windows
  • Mac
  • Linux

Introduktion av VMware Carbon Black del 3: Policyer och grupper

Längd: 03:37
Undertexter: Finns på flera språk

VMware Carbon Black Cloud använder en kombination av policyer och rykten för att fastställa vilka åtgärder som vidtas.

Klicka på ett ämne nedan om du vill ha mer information.

Policyer

Policyer för VMware Carbon Black Cloud Preventionskiljer sig från policyerna för VMware Carbon Black Cloud Standard, Advanced och Enterprise. Klicka på en produkt om du vill ha mer information om den.

Prevention

VMware Carbon Black Cloud Prevention ger en smidig metod för behörighetsregler samt blockerings- och isoleringsregler eftersom den inte använder EDR.

Obs! Ytterligare alternativ ingår i VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise. Information om de ytterligare alternativ som påverkar EDR finns i avsnittet Standard, Advanced och Enterprise i den här artikeln.

Klicka på ett ämne nedan om du vill ha mer information.

Behörighetsregler

Behörighetsregler avgör vilka åtgärder som program på angivna sökvägar kan utföra.

Behörighetsregler är sökvägsbaserade och har företräde framför både blockerings- och isoleringsregler samt rykte.

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Enforce i den vänstra menyn.
    Enforce
  4. Klicka på Policies.
    Policyer
  5. Välj den principuppsättning som ska ändras.
    Välja en principuppsättning
    Obs! Exempelbilderna använder Standard som den principuppsättning som valts att ändra.
  6. Klicka på Prevention i den högra menyn.
    Prevention
  7. Klicka för att utöka Permissions.
    Behörigheter
  8. Klicka för att utöka Add application path.
    Lägg till programsökväg
  9. Fyll i sökvägen för att aktivera en åsidosättning.
    Ställa in en förbikoppling
    Obs!
    • I exempelbilden används följande sökvägar:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I det här exemplet påverkar de åtgärder som tillämpas alla filer på alla enheter som innehåller sökvägarna \program files\dell\dell data protection\ och \programdata\dell\dell data protection\.
    • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
    • Miljövariabler som t.ex. %WINDIR% stöds.
    • En enda asterisk (*) matchar alla tecken i samma katalog.
    • Dubbla asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
    • Exempel:
      • Windows: **\powershell.exe
      • macOS: /Users/*/Downloads/**
  10. Välj den åtgärd som ska verkställas.
    Välja en åtgärd
    Obs!
    • I exempelbilden får åtgärdsförsök olika åtgärder genom att välja antingen Tillåt eller Förbigå.
    • När åtgärdsförsöket för Utför en åtgärd väljs, åsidosätts alla andra åtgärdsförsök och valet av andra alternativ inaktiveras.
    • Åtgärdsdefinitioner:
      • Tillåt – Tillåter beteendet i den angivna sökvägen med information om åtgärden som loggas av VMware Carbon Black Cloud.
      • Bypass – Alla beteenden är tillåtna för angiven sökväg. Ingen information samlas in.
  11. Klicka på Save längst upp till höger eller längst ned på sidan.
    Spara
Blockerings- och isoleringsregler

Blockerings- och isoleringsregler är sökvägsbaserade och har företräde framför rykte. Med blockerings- och isoleringsregler kan vi ange åtgärden "Neka åtgärd" eller "Avsluta process" när en specifik åtgärd görs.

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Enforce i den vänstra menyn.
    Enforce
  4. Klicka på Policies.
    Policyer
  5. Välj den principuppsättning som ska ändras.
    Välja en principuppsättning
    Obs! Exempelbilderna använder Standard som den principuppsättning som valts att ändra.
  6. Klicka på Prevention i den högra menyn.
    Prevention
  7. Klicka för att utöka Blockering och isolering.
    Blockering och isolering
  8. Fyll i programmets sökväg för att aktivera en blockerings- och isoleringsregel.
    Fylla i en programsökväg
    Obs!
    • I exempelbilden används excel.exe.
    • De åtgärder som anges gäller för programmet med namnet excel.exe kördes från vilken katalog som helst.
    • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
    • Miljövariabler som t.ex. %WINDIR% stöds.
    • En enda asterisk (*) matchar alla tecken i samma katalog.
    • Dubbla asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
    • Exempel:
      • Windows: **\powershell.exe
      • macOS: /Users/*/Downloads/**
  9. Klicka på Save i det övre högra hörnet.
    Spara
    Obs! Avsluta processen när den angivna åtgärden försöker köras.

Standard, Advanced och Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced och VMware Carbon Black Cloud Enterprise tillhandahåller alternativ med behörighetsregler samt blockerings- och isoleringsregler på grund av EDR.

Klicka på ett ämne nedan om du vill ha mer information.

Behörighetsregler

Behörighetsregler avgör vilka åtgärder som program på angivna sökvägar kan utföra.

Behörighetsregler är sökvägsbaserade och har företräde framför både blockerings- och isoleringsregler samt rykte.

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Enforce i den vänstra menyn.
    Enforce
  4. Klicka på Policies.
    Policyer
  5. Välj den principuppsättning som ska ändras.
    Välja en principuppsättning
    Obs! Exempelbilderna använder Standard som den principuppsättning som valts att ändra.
  6. Klicka på Prevention i den högra menyn.
    Prevention
  7. Klicka för att utöka Permissions.
    Behörigheter
  8. Klicka för att utöka Add application path.
    Lägg till programsökväg
  9. Fyll i sökvägen för att aktivera en åsidosättning.
    Fylla i en sökväg
    Obs!
    • I exempelbilden används följande sökvägar:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I det här exemplet påverkar de åtgärder som tillämpas alla filer på alla enheter som innehåller sökvägarna \program files\dell\dell data protection\ och \programdata\dell\dell data protection\.
    • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
    • Miljövariabler som t.ex. %WINDIR% stöds.
    • En enda asterisk (*) matchar alla tecken i samma katalog.
    • Dubbla asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
    • Exempel:
      • Windows: **\powershell.exe
      • macOS: /Users/*/Downloads/**
  10. Välj den åtgärd som ska verkställas.
    Välja en åtgärd
    Obs!
    • I exempelbilden tilldelas operationsförsök olika åtgärder genom val av antingen Allow, Allow & Log eller Bypass.
    • När operationsförsöket Performs any operation har valts åsidosätter detta alla andra operationsförsök och alla andra alternativ avaktiveras.
    • Alla åtgärder utom Performs any operation kan tillämpas på flera operationsförsök.
    • Åtgärdsdefinitioner:
      • Allow – Tillåter beteendet för angiven sökväg. Inget av det angivna beteendet för sökvägen loggas. Inga data skickas till VMware Carbon Black Cloud.
      • Allow & Log – Tillåter beteendet för angiven sökväg. All aktivitet loggas. Alla data rapporteras till VMware Carbon Black Cloud.
      • Bypass – Alla beteenden är tillåtna för angiven sökväg. Ingen aktivitet loggas. Inga data skickas till VMware Carbon Black Cloud.
  11. Klicka på Confirm längst ner i Permissions för att ställa in policyändringen.
    Bekräfta
  12. Klicka på Save i det övre högra hörnet.
    Spara
Blockerings- och isoleringsregler

Blockerings- och isoleringsregler är sökvägsbaserade och har företräde framför rykte. Med blockerings- och isoleringsregler kan vi ange åtgärden "Neka åtgärd" eller "Avsluta process" när en specifik åtgärd görs.

  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Enforce i den vänstra menyn.
    Enforce
  4. Klicka på Policies.
    Policyer
  5. Välj den principuppsättning som ska ändras.
    Välja en principuppsättning
    Obs! I exempelbilderna används Standard som den policy som ska ändras.
  6. Klicka på Prevention i den högra menyn.
    Prevention
  7. Klicka för att utöka Blockering och isolering.
    Blockering och isolering
  8. Klicka för att utöka Add application path.
    Lägg till programsökväg
  9. Fyll i programmets sökväg för att aktivera en blockerings- och isoleringsregel.
    Fylla i en programsökväg
    Obs!
    • Exempelbilden använder Excel.exe.
    • De åtgärder som anges gäller för programmet med namnet excel.exe kördes från vilken katalog som helst.
    • Behörighetslistan i VMware Carbon Black använder en glob-baserad formateringsstruktur.
    • Miljövariabler som t.ex. %WINDIR% stöds.
    • En enda asterisk (*) matchar alla tecken i samma katalog.
    • Dubbla asterisker (**) matchar alla tecken i samma katalog, flera kataloger och alla kataloger ovanför eller under den angivna platsen eller filen.
    • Exempel:
      • Windows: **\powershell.exe
      • macOS: /Users/*/Downloads/**
  10. Välj vilken åtgärd som ska vidtas när operationsförsöket uppfylls och klicka sedan på Confirm.
    Välja en åtgärd
  11. Klicka på Save i det övre högra hörnet.
    Spara
    Obs!
    • Neka-åtgärd förhindrar att det angivna programmet utför den angivna åtgärden som det försökte utföra.
    • Avsluta processen när den angivna åtgärden försöker köras.

Rykte

VMware Carbon Black tilldelar ett rykte till varje fil som körs på en enhet med sensorn installerad. Befintliga filer börjar med ett effektivt rykte om LOCAL_WHITE tills de körs eller tills bakgrundsskanningen har bearbetat dem och ger ett mer definitivt rykte.

Välj mellan alternativen Add an Application to the Reputation List eller läs Beskrivning av rykten. Klicka på ett ämne nedan om du vill ha mer information.

Lägg till ett program till rykteslistan

En program kan läggas till i rykteslistan via antingen sidan Reputations eller sidan Alerts. Klicka på lämpligt alternativ för mer information.

Sidan Reputations
  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Enforce i den vänstra menyn.
    Enforce
  4. Klicka på Reputation.
    Rykte

En administratör kan lägga till ett program i rykteslistan med hjälp av SHA256-hash, IT-verktyg eller signeringscertifikat. Klicka på lämpligt alternativ för mer information.

SHA256-hash
Obs! Filerna måste vara kända för VMware Carbon Black Cloud, dvs. vara synliga i miljön, och SHA256-hashen bearbetas av VMware Carbon Black Cloud. Det kan ta en stund efter att nya program först detekteras innan de blir kända för VMware Carbon Black Cloud. Detta kan leda till att listan Godkänd eller Förbjuden inte omedelbart tilldelas till en berörd fil.
  1. Klicka på Add.
    Lägga till
  2. Från Add Reputation:
    1. Välj Hash som typ.
    2. Välj antingen Godkänd lista eller Förbjuden lista för listan.
    3. Fyll i SHA-256 hash.
    4. Fyll i postens Name.
    5. Fyll i Comments (valfritt).
    6. Klicka på Save.
    Menyn Add Reputation
    Obs!
    • Godkänd lista ställer automatiskt in alla berörda och kända filer så att de har ett rykte om sig att vara Godkänd av företaget.
    • Listan över förbjudna filer ställer automatiskt in alla berörda och kända filer så att de har ett rykte om att företaget är förbjudet.
IT-verktyg
  1. Klicka på Add.
    Lägga till
  2. Från Add Reputation:
    1. Välj IT-verktyg för typen.
    2. Fyll i relativ Path of trusted IT tool.
    3. Du kan också välja Include all child processes.
    4. Fyll i Comments (valfritt).
    5. Klicka på Save.
    Menyn Add Reputation
    Obs!
    • IT-verktyg kan endast läggas till i listan Approved. Godkänd lista ställer automatiskt in alla berörda och kända filer så att de har ett rykte om sig att vara Lokal vit.
    • Alternativet Inkludera alla underordnade processer noterar att, om det är markerat, alla filer som tas bort av underordnade processer i det nyligen definierade betrodda IT-verktyget också får det ursprungliga förtroendet.
    • Relativa sökvägar för IT-verktyg indikerar att den definierade sökvägen kan uppfyllas av den definierade sökvägsstrukturen.

Exempel:

I följande exempel är Path of trusted IT tool inställd på:

  • \sharefolder\folder2\application.exe

Om en administratör försöker köra filen på dessa platser lyckas undantaget:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Om en administratör försöker köra filen på dessa platser misslyckas undantaget:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

I de misslyckade exemplen kan sökvägen inte följas fullt ut.

Signeringscertifikat
  1. Klicka på Add.
    Lägga till
  2. Från Add Reputation:
    1. Välj Certifikat för typen.
    2. Fyll i fältet Signed by.
    3. Du kan även fylla i Certificate Authority (valfritt).
    4. Fyll i Comments (valfritt).
    5. Klicka på Save.

Menyn Add Reputation

Obs!
Sidan Alerts
  1. Öppna webbläsaren och gå till [REGION].conferdeploy.net.
    Obs! [REGION] = klientens region
  2. Logga in på VMware Carbon Black Cloud.
    Logga in
  3. Klicka på Alerts.
    Varningar
  4. Välj pilen bredvid aviseringen för att godkänna programmet.
    Välja aviseringen
  5. Klicka på Visa alla under underavsnittet Reparation .
    Visa alla
  6. Klicka för att lägga till filen i antingen listan över godkända eller listan över förbjudna beroende på om hashen är betrodd eller inte.
    Lägga till filen i listan över förbjudna eller godkända
    Obs! Signeringscertifikatet kan läggas till så att andra program som delar det här certifikatet läggs till automatiskt i den lokala listan över godkända certifikat.

Beskrivning av rykten

Prioritet Rykte Sökvärde för rykte Beskrivning
1 Ignorera IGNORE Kontrollera själv det rykte som Carbon Black Cloud tilldelar produktfiler och ger dem fullständig behörighet att köras.
  • Högsta prioritet
  • Filer har full behörighet för körning av Carbon Black, vanligtvis Carbon Black-produkter
2 Lista över godkända företagsgodkännanden COMPANY_WHITE_LIST Hashvärden som läggs till manuellt i listan Företagets godkända genom att gå till Framtvinga och sedan Rykte
3 Lista över förbjudna företag COMPANY_BLACK_LIST Hashar som läggs till manuellt i listan över förbjudna företagskoder genom att gå till Enforce och sedan Reputations
4 Lista över betrodda godkända TRUSTED_WHITE_LIST Godkända av Carbon Black via antingen molnet, en lokal skanning eller bådadera
5 Kända skadliga program KNOWN_MALWARE Icke godkända av Carbon Black via antingen molnet, en lokal skanning eller bådadera
6 Misstänkt/heuristisk programvara SUSPECT_MALWARE HEURISTIC Misstänkt programvara som upptäcks av Carbon Black, men inte nödvändigtvis skadlig
7 Annonsprogram/PUP-program ADWARE PUP Annonsprogram och potentiellt oönskade program som upptäcks av Carbon Black
8 Local White LOCAL_WHITE Filen har uppfyllt något av följande villkor:
  • Filer som redan fanns före sensorinstallationen
  • Filer som lagts till i listan Godkända i IT-verktyg genom att gå till Framtvinga och sedan Rykte
  • Filer som lagts till i listan Godkända i certifikat genom att gå till Framtvinga och sedan Rykte
9 Gemensam lista över godkända COMMON_WHITE_LIST Filen har uppfyllt något av följande villkor:
  • Hashvärdet finns inte på några kända bra eller kända felaktiga listor och filen är signerad
  • Hasch har analyserats tidigare och finns inte med på några kända bra- eller kända dåliga listor
10 Inte listad/adaptiv godkänd lista NOT_LISTEDADAPTIVE_WHITE_LIST Ryktet Inte i listan anger att det inte går att hitta någon post om den när sensorn har kontrollerat programhashen med lokal skanner eller moln – den visas inte i ryktesdatabasen.
  • Moln: Hash har inte tidigare setts
  • Lokal skanner: Inte känd som icke godkänd, konfigurerat i policy
11 Unknown RESOLVING Det okända ryktet anger att det inte finns något svar från någon av de rykteskällor som sensorn använder.
  • Lägsta prioritet
  • Sensorn observerar filsläppning men har ännu inte ett rykte från molnet eller den lokala skannern

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.