Slik oppretter du utelatelser eller inkluderinger for VMware Carbon Black Cloud

Summary: Finn ut hvordan du konfigurerer utelatelser og inkluderinger av VMware Carbon Black ved å følge disse trinnvise instruksjonene.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black bruker omdømme- og tillatelsesregler til å håndtere neste generasjons antivirusekskluderinger (NGAV) (godkjente lister) og inkluderinger (forbudte lister). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise bruker endepunktsgjenkjenning og -respons (EDR). EDR påvirkes også av regler for omdømme og tillatelse. Denne artikkelen veileder administratorer gjennom å angi disse verdiene sammen med eventuelle forbehold som kan være relevante.

Berørte produkter:

  • Forebygging av VMware Carbon Black Cloud
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Berørte operativsystemer:

  • Windows
  • Mac
  • Linux

Innføring av VMware Carbon Black Del 3: Policyer og grupper

Varighet: 03:37
Teksting for hørselshemmede: Tilgjengelig på flere språk

VMware Carbon Black Cloud bruker en kombinasjon av policyer og omdømme for å bestemme hvilke operasjoner som skjer.

Klikk på det aktuelle emnet for å få mer informasjon.

Policyer

Retningslinjer for forebygging av VMware Carbon Black Cloud Preventionavviker fra retningslinjene for VMware Carbon Black Cloud Standard, Advanced og Enterprise. Klikk på det aktuelle produktet for mer informasjon.

Forebygging

VMware Carbon Black Cloud Prevention gir en strømlinjeformet tilnærming til tillatelsesregler og blokkerings- og isolasjonsregler fordi den ikke bruker EDR.

Merk: Ytterligere alternativer er inkludert i VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise. Hvis du vil ha informasjon om tilleggsalternativene som påvirker EDR, kan du se delen Standard, Avansert og Enterprise i denne artikkelen.

Klikk på det aktuelle emnet for å få mer informasjon.

Tillatelser

Tillatelser bestemmer hvilke operasjoner applikasjoner kan utføre på angitte baner.

Tillatelsene er banebaserte og overstyrer både blokkerings- og isoleringsregler i tillegg til omdømme.

  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Enforce (Håndheve) i venstre menyrute.
    Håndheve
  4. Klikk på Policies (Policyer).
    Policyer
  5. Velg policysettet du vil endre.
    Velge et policysett
    Merk: Eksempelbildene bruker Standard som policysettet som er valgt å endre.
  6. Klikk på Prevention (Forebygging) i høyre menyrute.
    Forebygging
  7. Klikk for å vise Permissions (Tillatelser).
    Tillatelser
  8. Klikk for å utvide Add application path (Legg til applikasjonsbane).
    Legg til applikasjonsbane
  9. Fylle ut den tiltenkte banen for å sette inn en omgåelse.
    Angi en forbikobling
    Merk:
    • Eksempelbildet bruker følgende baner:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I dette eksemplet påvirker handlingene som brukes, alle filer på alle stasjoner som inneholder banene \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
    • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
    • Miljøvariabler som f.eks. %WINDIR% støttes.
    • En enkelt stjerne (*) samsvarer med alle tegnene i samme katalog.
    • Doble stjerner (**) samsvarer med alle tegnene i samme katalog, flere kataloger og alle kataloger over eller under den angitte plasseringen eller filen.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Velg handlingen som skal håndheves.
    Velge en handling
    Merk:
    • I eksempelbildet blir operasjonsforsøk gitt forskjellige handlinger ved å velge enten Tillat eller Forbigå.
    • Når operasjonsforsøket Utfører en operasjon er valgt, overstyrer dette alle andre operasjonsforsøk og deaktiverer valget av andre alternativer.
    • Handlingsdefinisjoner:
      • Tillat – Tillater atferden i den angitte banen med informasjon om handlingen som logges av VMware Carbon Black Cloud.
      • Bypass (Omgåelse) – All atferd er tillatt i den angitte banen. Ingen informasjon samles inn.
  11. Klikk på Save (Lagre ) øverst til høyre, eller nederst på siden.
    Lagre
Blokkerings- og isoleringsregler

Blokkerings- og isoleringsregler er banebasert, og de overstyrer omdømme. Blokkerings- og isolasjonsregler lar oss angi en "Nekt operasjon" eller "Avslutt prosess" -handling når en bestemt operasjon forsøkes.

  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Enforce (Håndheve) i venstre menyrute.
    Håndheve
  4. Klikk på Policies (Policyer).
    Policyer
  5. Velg policysettet du vil endre.
    Velge et policysett
    Merk: Eksempelbildene bruker Standard som policysettet som er valgt å endre.
  6. Klikk på Prevention (Forebygging) i høyre menyrute.
    Forebygging
  7. Klikk for å utvide blokkering og isolering.
    Blokkering og isolering
  8. Fyll ut banen til applikasjonen for å angi en blokkerings- og isoleringsregel.
    Fylle ut en applikasjonsbane
    Merk:
    • Eksempelbildet bruker excel.exe.
    • Handlingssettet gjelder for programmet med navnet excel.exe kjørte fra hvilken som helst katalog.
    • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
    • Miljøvariabler som f.eks. %WINDIR% støttes.
    • En enkelt stjerne (*) samsvarer med alle tegnene i samme katalog.
    • Doble stjerner (**) samsvarer med alle tegnene i samme katalog, flere kataloger og alle kataloger over eller under den angitte plasseringen eller filen.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Klikk på Save (Lagre) øverst til høyre.
    Lagre
    Merk: Avslutningsprosessen avslutter prosessen når den angitte operasjonen forsøker å kjøre.

Standard, Advanced og Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise har alternativer med tillatelsesregler, i tillegg til blokkerings- og isolasjonsregler, på grunn av inkludering av EDR.

Klikk på det aktuelle emnet for å få mer informasjon.

Tillatelser

Tillatelser bestemmer hvilke operasjoner applikasjoner kan utføre på angitte baner.

Tillatelsene er banebaserte og overstyrer både blokkerings- og isoleringsregler i tillegg til omdømme.

  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Enforce (Håndheve) i venstre menyrute.
    Håndheve
  4. Klikk på Policies (Policyer).
    Policyer
  5. Velg policysettet du vil endre.
    Velge et policysett
    Merk: Eksempelbildene bruker Standard som policysettet som er valgt å endre.
  6. Klikk på Prevention (Forebygging) i høyre menyrute.
    Forebygging
  7. Klikk for å vise Permissions (Tillatelser).
    Tillatelser
  8. Klikk for å utvide Add application path (Legg til applikasjonsbane).
    Legg til applikasjonsbane
  9. Fylle ut den tiltenkte banen for å sette inn en omgåelse.
    Fylle ut en bane
    Merk:
    • Eksempelbildet bruker følgende baner:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I dette eksemplet påvirker handlingene som brukes, alle filer på alle stasjoner som inneholder banene \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
    • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
    • Miljøvariabler som f.eks. %WINDIR% støttes.
    • En enkelt stjerne (*) samsvarer med alle tegnene i samme katalog.
    • Doble stjerner (**) samsvarer med alle tegnene i samme katalog, flere kataloger og alle kataloger over eller under den angitte plasseringen eller filen.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Velg handlingen som skal håndheves.
    Velge en handling
    Merk:
    • I eksempelbildet gis forsøk på operasjoner forskjellige handlinger ved å velge enten Allow (Tillat), Allow & Log (Tillat og loggfør) eller Bypass (Omgå).
    • Når operasjonsforsøket Perform any operation (Utfør enhver operasjon) er valgt, overstyrer dette alle andre operasjonsforsøk og deaktiverer valg av andre alternativer.
    • Hver handling bortsett fra Perform any operation (Utfør enhver operasjon) kan brukes på flere operasjonsforsøk.
    • Handlingsdefinisjoner:
      • Allow (Tillat) – Tillater atferden i angitt bane, ingen av de angitte atferdene på banen blir logget. Ingen data sendes til VMware Carbon Black Cloud.
      • Allow & Log (Tillat og loggfør) – Tillater atferden i angitt bane, all aktivitet logges. Alle data rapporteres til VMware Carbon Black Cloud.
      • Bypass (Omgåelse) – All atferd er tillatt i den angitte banen, ingenting blir logget. Ingen data sendes til VMware Carbon Black Cloud.
  11. Klikk på Confirm (Bekreft ) nederst i Permissions (Tillatelser) for å angi policyendringen.
    Bekrefte
  12. Klikk på Save (Lagre) øverst til høyre.
    Lagre
Blokkerings- og isoleringsregler

Blokkerings- og isoleringsregler er banebasert, og de overstyrer omdømme. Blokkerings- og isolasjonsregler lar oss angi en "Nekt operasjon" eller "Avslutt prosess" -handling når en bestemt operasjon forsøkes.

  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Enforce (Håndheve) i venstre menyrute.
    Håndheve
  4. Klikk på Policies (Policyer).
    Policyer
  5. Velg policysettet du vil endre.
    Velge et policysett
    Merk: Eksempelbildene bruker Standard som policysettet som skal endres.
  6. Klikk på Prevention (Forebygging) i høyre menyrute.
    Forebygging
  7. Klikk for å utvide blokkering og isolering.
    Blokkering og isolering
  8. Klikk for å utvide Add application path (Legg til applikasjonsbane).
    Legg til applikasjonsbane
  9. Fyll ut banen til applikasjonen for å angi en blokkerings- og isoleringsregel.
    Fylle ut en applikasjonsbane
    Merk:
    • Eksempelbildet bruker excel.exe.
    • Handlingssettet gjelder for programmet med navnet excel.exe kjørte fra hvilken som helst katalog.
    • Tillatelseslisten til VMware Carbon Black benytter en glob-basert formateringsstruktur.
    • Miljøvariabler som f.eks. %WINDIR% støttes.
    • Én enkelt stjerne (*) samsvarer med alle tegnene i samme katalog.
    • Doble stjerner (**) samsvarer med alle tegnene i samme katalog, flere kataloger og alle kataloger over eller under den angitte plasseringen eller filen.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Velg Action (Handling) som skal utføres når operasjonsforsøket er oppfylt, og klikk deretter på Confirm (Bekreft).
    Velge en handling
  11. Klikk på Save (Lagre) øverst til høyre.
    Lagre
    Merk:
    • Avslå-operasjonen hindrer det oppførte programmet i å utføre den angitte operasjonen det forsøkte å utføre.
    • Avslutningsprosessen avslutter prosessen når den angitte operasjonen forsøker å kjøre.

Omdømme

VMware Carbon Black tilordner et omdømme til hver fil som kjøres på en enhet med sensoren installert. Eksisterende filer begynner med et effektivt omdømme for LOCAL_WHITE til kjøring eller til bakgrunnsskanningen har behandlet dem og gir et mer definitivt rykte.

Du kan enten Add an Application to the Reputation List (Legge til en applikasjon i omdømmelisten) eller se Reputation Descriptions (Omdømmebeskrivelser). Klikk på det aktuelle emnet for å få mer informasjon.

Legge til en applikasjon i omdømmelisten

En applikasjon kan legges til i omdømmelisten enten på siden Reputations (Omdømmer) eller på siden Alerts (Varsler). Klikk på det aktuelle alternativet for mer informasjon.

Siden Reputations (Omdømmer)
  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Enforce (Håndheve) i venstre menyrute.
    Håndheve
  4. Klikk på Reputation (Omdømme).
    Omdømme

En administrator kan legge til et program i omdømmelisten ved hjelp av SHA256 Hash, IT-verktøyet eller signeringssertifikatet. Klikk på det aktuelle alternativet for mer informasjon.

SHA256-hash
Merk: Filer må være kjent for VMware Carbon Black Cloud ved å bli sett i miljøet, og SHA256-hashkoden behandles av VMware Carbon Black Cloud. Det kan ta litt tid før nye applikasjoner blir kjent av VMware Carbon Black Cloud etter første påvisning. Dette kan føre til at Godkjent-listen eller Forbudt-listen ikke umiddelbart blir tilordnet til en berørt fil.
  1. Klikk på Add (Legg til).
    Legg til
  2. Fra Legg til omdømme:
    1. Velg hash for typen.
    2. Velg enten Godkjent liste eller Forbudt liste for listen.
    3. Fyll ut SHA-256 hash.
    4. Angi et Name (Navn) for oppføringen.
    5. Alternativt kan du fylle ut Comments (Kommentarer).
    6. Klikk på Save (Lagre).
    Menyen Legg til omdømme
    Merk:
    • Godkjent-listen angir automatisk at berørte og kjente filer skal ha et rykte som godkjent av virksomheten.
    • Forbudt liste angir automatisk alle berørte og kjente filer til å ha et rykte om at selskapet er utestengt.
IT-verktøy
  1. Klikk på Add (Legg til).
    Legg til
  2. Fra Legg til omdømme:
    1. Velg IT-verktøy for typen.
    2. Fylle ut den relative banen til det klarerte IT-verktøyet.
    3. Alternativt kan du velge Include all child processes (Inkluder alle underordnede prosesser).
    4. Alternativt kan du fylle ut Comments (Kommentarer).
    5. Klikk på Save (Lagre).
    Menyen Legg til omdømme
    Merk:
    • IT-verktøy kan bare legges til i godkjent-listen. Godkjent-listen angir automatisk at alle berørte og kjente filer skal ha et omdømme som lokal hvit.
    • Alternativet Inkluder alle underordnede prosesser angir at alle filer som slippes av underordnede prosesser i det nylig definerte klarerte IT-verktøyet, også mottar den første klareringen hvis valgt.
    • Relative baner for IT-verktøy viser at den definerte banen kan oppfylles av den definerte banebeskrivelsen.

Eksempel:

I følgende eksempler er banen til det klarerte IT-verktøyet angitt til:

  • \sharefolder\folder2\application.exe

Hvis en administrator prøver å kjøre filen på disse plasseringene, lykkes utelatelsen:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Hvis en administrator prøver å kjøre filen på disse plasseringene, mislykkes utelatelsen:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

I de mislykkede eksemplene kan ikke banen fullføres helt.

Signeringssertifikat
  1. Klikk på Add (Legg til).
    Legg til
  2. Fra Legg til omdømme:
    1. Velg Certs for typen.
    2. Fylle ut feltet Signed by (Signert av).
    3. Alternativt kan du fylle ut Certificate Authority (Sertifiseringsinstans).
    4. Alternativt kan du fylle ut Comments (Kommentarer).
    5. Klikk på Save (Lagre).

Menyen Legg til omdømme

Merk:
Siden Alerts (Varsler)
  1. Gå til [REGION].conferdeploy.net i en nettleser.
    Merk: [REGION] = regionen til leietakeren
  2. Logg på VMware Carbon Black Cloud.
    Logg på
  3. Klikk på Alerts (Varsler).
    Varsler
  4. Velg vinkeltegnet ved siden av varselet for å godkjenne applikasjonen.
    Velge varselet
  5. Klikk på Vis alle under underdelen Utbedring .
    Vis alt
  6. Klikk for å legge til filen enten i svartelisten eller på godkjent-listen, avhengig av om hashkoden er uklarert eller klarert.
    Legge til filen i listen over forbudte eller godkjente
    Merk: Signeringssertifikatet kan legges til slik at andre programmer som deler dette sertifikatet, legges til automatisk i listen over lokale godkjente.

Omdømmebeskrivelser

Prioritet Omdømme Søkeverdi for omdømme Beskrivelse
1 Ignorer IGNORE Selvsjekk omdømmet som Carbon Black Cloud tilordner produktfiler og gir dem alle tillatelser til å kjøre.
  • Høyeste prioritet
  • Filer har alle tillatelser til å kjøre av Carbon Black, vanligvis Carbon Black-produkter
2 Liste over godkjente virksomheter COMPANY_WHITE_LIST Hasher legges manuelt til i listen over godkjente firmaer ved å gå til Håndhev og deretter Omdømme
3 Liste over forbudte virksomheter COMPANY_BLACK_LIST Hasher legges manuelt til i listen over forbudte personer ved å gå til Håndhev og deretter Omdømme
4 Liste over klarerte godkjente TRUSTED_WHITE_LIST Kjent som pålitelig av Carbon Black enten fra nettskyen, lokal skanner eller begge deler.
5 Kjent skadelig programvare KNOWN_MALWARE Kjent som skadelig av Carbon Black enten fra nettskyen, lokal skanner eller begge deler.
6 Mistenkt/heuristisk skadelig programvare SUSPECT_MALWARE HEURISTIC Mistenkt skadelig programvare som oppdages av Carbon Black, men som ikke nødvendigvis er skadelig
7 Reklame/PUP skadelig programvare ADWARE PUP Adware og potensielt uønskede programmer som oppdages av Carbon Black
8 Godkjent lokalt LOCAL_WHITE Filen har oppfylt én av følgende betingelser:
  • Filer som allerede eksisterer før sensoren installeres
  • Filer som legges til i Godkjent-listen i IT-verktøy ved å gå til Håndheve og deretter Omdømme
  • Filer som legges til Godkjent-listen i sertifikater ved å gå til Håndhev og deretter Omdømme
9 Liste over felles godkjente COMMON_WHITE_LIST Filen har oppfylt én av følgende betingelser:
  • Hash ikke på noen kjente gode eller kjente dårlige lister, og filen er signert
  • Hash tidligere analysert og er ikke på noen kjente gode eller kjente dårlige lister
10 Ikke oppført/adaptiv godkjent liste NOT_LISTEDADAPTIVE_WHITE_LIST Ikke oppført-omdømmet indikerer at etter at sensoren har kontrollert applikasjonshashen med lokal skanner eller nettsky, finner du ingen oppføring om den – den er ikke oppført i omdømmedatabasen.
  • Nettsky: Hash-kode som ikke er sett tidligere
  • Lokal skanner: Ikke kjent som skadelig, konfigurert i policy
11 Ukjent RESOLVING Det ukjente omdømmet indikerer at det ikke er noen respons fra noen av omdømmekildene sensoren bruker.
  • Laveste prioritet
  • Sensoren observerer filfall, men har ennå ikke et rykte fra skyen eller lokal skanner

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.