Jak vytvořit výjimky nebo zahrnutí v konzoli VMware Carbon Black Cloud

Summary: Podle těchto podrobných pokynů se dozvíte, jak nakonfigurovat výjimky a zahrnutí pro systém VMware Carbon Black.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Systém VMware Carbon Black používá pravidla reputace a oprávnění ke zpracování výjimek nové generace z antivirové ochrany (NGAV) (schválené seznamy) a zahrnutí (seznamy zakázaných). Konzole VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise používají funkci rozpoznávání a reakce koncových bodů (EDR). Funkce EDR je také ovlivněna pravidly reputace a oprávnění. Tento článek provede správce nastavením těchto hodnot a případnými relevantními překážkami.

Dotčené produkty:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Dotčené operační systémy:

  • Windows
  • Mac
  • Linux

Představení konzole VMware Carbon Black, 3. část: Zásady a skupiny

Délka: 3:37
Titulky: K dispozici ve více jazycích

Konzole VMware Carbon Black Cloud využívá kombinaci zásadreputace k určení toho, jaké operace budou provedeny.

Další informace získáte po kliknutí na příslušné téma.

Zásady

Zásady VMware Carbon Black Cloud Preventionse liší od zásad VMware Carbon Black Cloud Standard, Advanced a Enterprise. Další informace získáte po kliknutí na příslušný produkt.

Prevention

Řešení VMware Carbon Black Cloud Prevention poskytuje zjednodušený přístup k pravidlům oprávnění a pravidlům blokování a izolace , protože nepoužívá EDR.

Poznámka: Další možnosti jsou obsaženy v konzolích VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise. Informace o dalších možnostech, které ovlivňují funkci EDR, naleznete v části Standard, Advanced a Enterprise tohoto článku.

Další informace získáte po kliknutí na příslušné téma.

Pravidla oprávnění

Pravidla oprávnění určují, jako operace mohou aplikace na určených cestách provádět.

Pravidla oprávnění jsou založena na cestě a mají přednost před pravidly blokování, izolace a reputace.

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlásit se
  3. V levém podokně klikněte na položku Enforce.
    Enforce
  4. Klikněte na položku Policies.
    Zásady
  5. Vyberte sadu zásad, kterou chcete upravit.
    Výběr sady zásad
    Poznámka: Na ukázkových obrázcích se jako sada zásad zvolená k úpravě používá Standard .
  6. V pravém podokně klikněte na položku Prevention.
    Prevention
  7. Kliknutím rozbalte položku Permissions.
    Oprávnění
  8. Kliknutím rozbalte možnost Add application path.
    Add application path
  9. Vyplňte požadovanou cestu, pro kterou chcete nastavit oprávnění.
    Nastavení obejití
    Poznámka:
    • Na ukázkovém obrázku jsou uvedeny následující cesty:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • V tomto příkladu mají použité akce vliv na všechny soubory na všech jednotkách, které obsahují cesty \program files\dell\dell data protection\ a \programdata\dell\dell data protection\.
    • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
    • Proměnné prostředí, jako jsou %WINDIR% jsou podporovány.
    • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
    • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad nebo pod zadaným umístěním nebo souborem.
    • Příklady:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. V části Action vyberte akci, kterou chcete vynutit.
    Výběr akce
    Poznámka:
    • Na ukázkovém obrázku je zobrazeno, jak výběrem možnosti Allow nebo Bypass dojde k přiřazení různých akcí k pokusům o operaci.
    • Je-li vybrán pokus o operaci Performs any operation, dojde k přepsání jakéhokoliv jiného pokusu o operaci a zakázání výběru jakékoli jiné možnosti.
    • Definice akcí:
      • Allow – Umožňuje chování v zadané cestě a konzole VMware Carbon Black Cloud zaprotokoluje informace o akci.
      • Bypass – V zadané cestě je povoleno veškeré chování. Nejsou shromažďovány žádné informace.
  11. Klikněte na tlačítko Save vpravo nahoře nebo v dolní části stránky.
    Uložit
Pravidla blokování a izolace

Pravidla blokování a izolace jsou založena na cestě a mají přednost před reputací. Pravidla blokování a izolace umožňují nastavit akci „Deny operation“ nebo „Terminate process“, když se pokusíte o konkrétní operaci.

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlášení
  3. V levém podokně klikněte na položku Enforce.
    Enforce
  4. Klikněte na položku Policies.
    Zásady
  5. Vyberte sadu zásad, kterou chcete upravit.
    Výběr sady zásad
    Poznámka: Na ukázkových obrázcích se jako sada zásad zvolená k úpravě používá Standard .
  6. V pravém podokně klikněte na položku Prevention.
    Prevention
  7. Kliknutím rozbalte položku Blocking and Isolation.
    Blocking and Isolation
  8. Vyplňte cestu aplikace, pro kterou chcete nastavit pravidlo blokování a izolace.
    Vyplnění cesty aplikace
    Poznámka:
    • Na ukázkovém obrázku se používá excel.exe.
    • Sada akcí platí pro aplikaci s názvem excel.exe spuštěn z libovolného adresáře.
    • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
    • Proměnné prostředí, jako jsou %WINDIR% jsou podporovány.
    • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
    • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad nebo pod zadaným umístěním nebo souborem.
    • Příklady:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Klikněte na tlačítko Save v pravém horním rohu.
    Uložit
    Poznámka: Akce Terminate process ukončí proces, jakmile se zadaná operace pokusí spustit.

Standard, Advanced a Enterprise

Řešení VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced a VMware Carbon Black Cloud Enterprise poskytují možnosti s pravidly oprávnění a také pravidly blokování a izolace z důvodu zahrnutí EDR.

Další informace získáte po kliknutí na příslušné téma.

Pravidla oprávnění

Pravidla oprávnění určují, jako operace mohou aplikace na určených cestách provádět.

Pravidla oprávnění jsou založena na cestě a mají přednost před pravidly blokování, izolace a reputace.

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlásit se
  3. V levém podokně klikněte na položku Enforce.
    Enforce
  4. Klikněte na položku Policies.
    Zásady
  5. Vyberte sadu zásad, kterou chcete upravit.
    Výběr sady zásad
    Poznámka: Na ukázkových obrázcích se jako sada zásad zvolená k úpravě používá Standard .
  6. V pravém podokně klikněte na položku Prevention.
    Prevention
  7. Kliknutím rozbalte položku Permissions.
    Oprávnění
  8. Kliknutím rozbalte možnost Add application path.
    Add application path
  9. Vyplňte požadovanou cestu, pro kterou chcete nastavit oprávnění.
    Vyplnění cesty
    Poznámka:
    • Na ukázkovém obrázku jsou uvedeny následující cesty:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • V tomto příkladu mají použité akce vliv na všechny soubory na všech jednotkách, které obsahují cesty \program files\dell\dell data protection\ a \programdata\dell\dell data protection\.
    • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
    • Proměnné prostředí, jako jsou %WINDIR% jsou podporovány.
    • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
    • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad nebo pod zadaným umístěním nebo souborem.
    • Příklady:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. V části Action vyberte akci, kterou chcete vynutit.
    Výběr akce
    Poznámka:
    • Na ukázkovém obrázku je zobrazeno, jak výběrem možnosti Allow, Allow & Log nebo Bypass dojde k přiřazení různých akcí k pokusům o operaci.
    • Je-li vybrán pokus o operaci Performs any operation, dojde k přepsání jakéhokoliv jiného pokusu o operaci a zakázání výběru jakékoli jiné možnosti.
    • Každá akce kromě Performs any operation může být použita pro více pokusů o operaci.
    • Definice akcí:
      • Allow – Umožňuje chování v zadané cestě, přičemž žádné z tohoto chování není zaprotokolováno. Do konzole VMware Carbon Black Cloud se neodešlou žádná data.
      • Allow & Log – Umožňuje chování v zadané cestě, zaprotokolují se všechny aktivity. Do konzole VMware Carbon Black Cloud se odešlou všechna data.
      • Bypass – V zadané cestě je povoleno veškeré chování, nic se neprotokoluje. Do konzole VMware Carbon Black Cloud se neodešlou žádná data.
  11. Kliknutím na možnost Confirm ve spodní části stránky Permissions nastavíte změnu zásad.
    Confirm
  12. Klikněte na tlačítko Save v pravém horním rohu.
    Uložit
Pravidla blokování a izolace

Pravidla blokování a izolace jsou založena na cestě a mají přednost před reputací. Pravidla blokování a izolace umožňují nastavit akci „Deny operation“ nebo „Terminate process“, když se pokusíte o konkrétní operaci.

  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlásit se
  3. V levém podokně klikněte na položku Enforce.
    Enforce
  4. Klikněte na položku Policies.
    Zásady
  5. Vyberte sadu zásad, kterou chcete upravit.
    Výběr sady zásad
    Poznámka: Na ukázkových obrázcích je k úpravě vybrána sada zásad Standard.
  6. V pravém podokně klikněte na položku Prevention.
    Prevention
  7. Kliknutím rozbalte položku Blocking and Isolation.
    Blocking and Isolation
  8. Kliknutím rozbalte možnost Add application path.
    Add application path
  9. Vyplňte cestu aplikace, pro kterou chcete nastavit pravidlo blokování a izolace.
    Vyplnění cesty aplikace
    Poznámka:
    • Na ukázkovém obrázku je uveden soubor excel.exe.
    • Sada akcí platí pro aplikaci s názvem excel.exe spuštěn z libovolného adresáře.
    • Seznam oprávnění konzole VMware Carbon Black využívá strukturu formátování založenou na globu.
    • Proměnné prostředí, jako jsou %WINDIR% jsou podporovány.
    • Jedna hvězdička (*) odpovídá všem znakům ve stejném adresáři.
    • Dvě hvězdičky (**) odpovídají všem znakům ve stejném adresáři, několika adresářích a všech adresářích nad zadaným umístěním nebo souborem nebo pod nimi.
    • Příklady:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. V části Action vyberte akci, která má být provedena při pokusu o operaci, a klikněte na tlačítko Confirm.
    Výběr akce
  11. Klikněte na tlačítko Save v pravém horním rohu.
    Uložit
    Poznámka:
    • Akce Deny operation zabrání uvedené aplikaci v provedení zadané operace.
    • Akce Terminate process ukončí proces, jakmile se zadaná operace pokusí spustit.

Reputace

Konzole VMware Carbon Black přiřadí reputaci každému souboru spuštěnému v zařízení s nainstalovaným snímačem. Již existující soubory začínají efektivní reputací LOCAL_WHITE dokud je nespustí nebo dokud je skenování na pozadí nezpracuje a neposkytne definitivnější reputaci.

Můžete přidat aplikaci do seznamu reputace pomocí možnosti Add an Application to the Reputation List nebo si přečtěte popisy reputace v části Popisy reputace. Další informace získáte po kliknutí na příslušné téma.

Přidání aplikace na seznam reputace

Aplikace může být přidána na seznam reputace prostřednictvím stránky Reputations nebo Alerts. Další informace získáte po kliknutí na příslušnou možnost.

Stránka Reputations
  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlásit se
  3. V levém podokně klikněte na položku Enforce.
    Enforce
  4. Klikněte na možnost Reputation.
    Reputace

Správce může přidat aplikaci do seznamu reputací pomocí hashe SHA256, IT nástroje nebo podpisového certifikátu. Další informace získáte po kliknutí na příslušnou možnost.

Hash SHA256
Poznámka: Soubory musí být známé konzoli VMware Carbon Black Cloud, což znamená, že jsou viditelné v prostředí a hash SHA256 je zpracován konzolí VMware Carbon Black Cloud. Než se nové aplikace stanou známými pro konzoli VMware Carbon Black Cloud, může to po prvotním rozpoznání chvíli trvat. To může způsobit, že seznam schválených nebo zakázaných položek nebude okamžitě přiřazen k dotčenému souboru.
  1. Klikněte na tlačítko Add.
    Přidání
  2. Z části Přidat reputaci:
    1. Jako typ vyberte hodnotu Hash.
    2. Vyberte možnost Approved List nebo Banned List (Seznam zakázaných položek).
    3. Zadejte hash SHA-256.
    4. Do pole Name zadejte název položky.
    5. Volitelně můžete do pole Comments uvést komentář.
    6. Klikněte na tlačítko Uložit.
    Nabídka Add Reputation
    Poznámka:
    • Možnost Approved List automaticky nastaví reputaci všech dotčených a známých souborů na Company Approved.
    • Možnost Banned List automaticky nastaví reputaci všech dotčených a známých souborů na Company Banned.
IT nástroj
  1. Klikněte na tlačítko Add.
    Přidání
  2. Z části Přidat reputaci:
    1. Pro daný typ vyberte nástroje IT.
    2. Do pole Path of trusted IT tool vyplňte relativní cestu důvěryhodného IT nástroje.
    3. Volitelně můžete vybrat možnost Include all child processes.
    4. Volitelně můžete do pole Comments uvést komentář.
    5. Klikněte na tlačítko Uložit.
    Nabídka Add Reputation
    Poznámka:
    • IT nástroje lze přidat pouze do seznamu Approved List. Možnost Approved List automaticky nastaví reputaci všech dotčených a známých souborů na Local White.
    • Upozorňujeme, že výběrem možnosti Include all child processes obdrží počáteční důvěru také všechny soubory zahozené podřízenými procesy nově definovaného důvěryhodného IT nástroje.
    • Relativní cesty pro IT nástroje lze určit definovanou cestou.

Příklad:

V následujících příkladech je cesta důvěryhodného IT nástroje nastavena na:

  • \sharefolder\folder2\application.exe

Pokud se správce pokusí spustit soubor v těchto umístěních, vyloučení proběhne úspěšně:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Pokud se správce pokusí spustit soubor v těchto umístěních, vyloučení selže:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

V neúspěšných příkladech nelze cestu najít.

Podpisový certifikát
  1. Klikněte na tlačítko Add.
    Přidání
  2. Z části Přidat reputaci:
    1. Jako typ vyberte možnost Certs.
    2. Vyplňte pole Signed by.
    3. Volitelně můžete do pole Certificate Authority zadat certifikační autoritu.
    4. Volitelně můžete do pole Comments uvést komentář.
    5. Klikněte na tlačítko Uložit.

Nabídka Add Reputation

Poznámka:
Stránka Alerts
  1. Ve webovém prohlížeči přejděte na adresu [REGION].conferdeploy.net.
    Poznámka: [REGION] = region nájemce
  2. Přihlaste se do konzole VMware Carbon Black Cloud.
    Přihlásit se
  3. Klikněte na položku Alerts.
    Alerts
  4. Výběrem dvojité šipky vedle výstrahy aplikaci schválíte.
    Výběr výstrahy
  5. Klikněte na Zobrazit vše v podčásti Náprava .
    Show all
  6. Kliknutím na tlačítko Add přidejte soubor na seznam Banned List nebo Approved List podle toho, zda je hash nedůvěryhodný či důvěryhodný.
    Přidání souboru na seznam zakázaných nebo schválených položek
    Poznámka: Podpisový certifikát lze přidat, aby se ostatní aplikace, které tento certifikát sdílejí, automaticky přidaly do místního seznamu schválených.

Popisy reputace

Priorita Reputace Hodnota vyhledání reputace Popis
1 Ignore IGNORE Vlastní kontrola reputace, kterou služba Carbon Black Cloud přiřazuje souborům produktů a uděluje jim plné oprávnění ke spuštění.
  • Nejvyšší priorita
  • Soubory mají plná oprávnění ke spuštění od konzole Carbon Black, obvykle produkty Carbon Black.
2 Company Approved List COMPANY_WHITE_LIST Hodnoty hash ručně přidané do seznamu schválených společností v části Vynutit a poté Reputace
3 Company Banned List COMPANY_BLACK_LIST Hodnoty hash ručně přidané do seznamu zakázaných společností v části Vynutit a poté Reputace
4 Trusted Approved List TRUSTED_WHITE_LIST Položky z cloudu, místního skeneru nebo obou dvou, kterým konzole Carbon Black důvěřuje.
5 Known Malware KNOWN_MALWARE Položky z cloudu, místního skeneru nebo obou dvou, kterým konzole Carbon Black nedůvěřuje.
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Podezřelý malware rozpoznaný konzolí Carbon Black, který však nemusí být nutně škodlivý.
7 Adware/PUP Malware ADWARE PUP Adware a potenciálně nežádoucí programy rozpoznané konzolí Carbon Black.
8 Local White LOCAL_WHITE Soubor musí splňovat některou z následujících podmínek:
  • Přítomnost souborů před instalací snímače.
  • Soubory přidané do seznamu schválených položek v nástrojích IT tak, že přejdete do části Vynutit a potom Reputace
  • Soubory přidané do seznamu schválených položek v části Certs tak, že přejdete do části Enforce a poté Reputations
9 Common Approved List COMMON_WHITE_LIST Soubor musí splňovat některou z následujících podmínek:
  • Hodnota hash není na žádném seznamu známých dobrých nebo známých špatných a soubor je podepsán.
  • Hash byl dříve analyzován a není na žádném seznamu známých dobrých nebo známých špatných
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST Reputace Not Listed znamená, že jakmile snímač zkontroluje hash aplikace pomocí místního skeneru nebo cloudu, není možné nalézt žádný záznam – není uveden v databázi reputace.
  • Cloud: Hash se vyskytl poprvé.
  • Místní skener: Není nedůvěryhodný, nakonfigurován v zásadách.
11 Unknown RESOLVING Reputace Unknown znamená, že neexistuje žádná odpověď z žádného zdroje reputace, který snímač používá.
  • Nejnižší priorita
  • Senzor zaznamenává zahození souboru, ale ještě nemá reputaci z cloudu nebo místního skeneru

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.