Como criar exclusões ou inclusões no VMware Carbon Black Cloud

Summary: Aprenda a configurar exclusões e inclusões do VMware Carbon Black seguindo estas instruções passo a passo.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

O VMware Carbon Black usa regras de reputação e permissão para lidar com exclusões de antivírus de última geração (NGAV) (listas aprovadas) e inclusões (listas proibidas). O VMware Carbon Black Standard, o VMware Carbon Black Cloud Advanced e o VMware Carbon Black Cloud Enterprise utilizam detecção e resposta de endpoints (EDR). O EDR também é afetado por regras de reputação e permissão. Este artigo orienta os administradores na configuração desses valores juntamente com as ressalvas que possam ser relevantes.

Produtos afetados:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Sistemas operacionais afetados:

  • Windows
  • Mac
  • Linux

Integração do VMware Carbon Black – Parte 3: Políticas e grupos

Duração: 03:37
Legendas: Disponível em vários idiomas

O VMware Carbon Black Cloud usa uma combinação de políticas e reputação para determinar quais operações são realizadas.

Clique no tópico adequado para obter mais informações.

Políticas

As políticas do VMware Carbon Black Cloud Preventiondiferem das políticas do VMware Carbon Black Cloud Standard, Advanced e Enterprise. Clique no produto apropriado para obter mais informações.

Prevenção

O VMware Carbon Black Cloud Prevention oferece uma abordagem simplificada para regras de permissões e regras de bloqueio e isolamento porque não usa EDR.

Nota: Mais opções estão incluídas no VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced e VMware Carbon Black Cloud Enterprise. Para obter informações sobre as opções adicionais que afetam o EDR, consulte a seção Standard, Advanced e Enterprise deste artigo.

Clique no tópico adequado para obter mais informações.

Regras de permissões

As regras de permissões determinam quais operações os aplicativos em caminhos especificados podem executar.

As regras de permissões são baseadas em caminhos e têm precedência sobre as regras de bloqueio e isolamento, bem como sobre a reputação.

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel do menu esquerdo, clique em Enforce.
    Enforce
  4. Clique em Policies.
    Políticas
  5. Selecione o conjunto de políticas a ser modificado.
    Como selecionar um conjunto de políticas
    Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificação.
  6. No painel do menu esquerdo, clique em Prevention.
    Prevenção
  7. Clique para expandir Permissions.
    Permissões
  8. Clique para expandir Add application path.
    Add application path
  9. Preencha o caminho pretendido para definir um desvio.
    Como configurar um bypass
    Nota:
    • A imagem de exemplo usa os seguintes caminhos:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Neste exemplo, as ações aplicadas afetam todos os arquivos em todas as unidades que contêm os caminhos \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
    • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
    • Variáveis de ambiente, como %WINDIR% são compatíveis.
    • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
    • Asteriscos duplos (**) corresponde a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
    • Exemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecione a ação a ser aplicada.
    Como selecionar uma ação
    Nota:
    • Na imagem de exemplo, as tentativas de operação recebem ações diferentes selecionando Allow ou Bypass.
    • Quando a tentativa de operação Performs any operation é selecionada, ela substitui qualquer outra tentativa de operação e desativa a seleção de qualquer outra opção.
    • Definições de ação:
      • Allow: permite o comportamento no caminho especificado com informações sobre a ação que está sendo registrada pelo VMware Carbon Black Cloud.
      • Bypass - todo o comportamento é permitido no caminho especificado. Nenhuma informação é coletada.
  11. Clique em Save na parte superior direita ou na parte inferior da página.
    Save
Regras de bloqueio e isolamento

As regras de bloqueio e isolamento são baseadas em caminhos e têm precedência sobre a reputação. As regras de bloqueio e isolamento permitem definir uma ação "Deny operation" ou "Terminate process" quando se tenta uma operação específica.

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel do menu esquerdo, clique em Enforce.
    Enforce
  4. Clique em Policies.
    Políticas
  5. Selecione o conjunto de políticas a ser modificado.
    Como selecionar um conjunto de políticas
    Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificação.
  6. No painel do menu esquerdo, clique em Prevention.
    Prevenção
  7. Clique para expandir Blocking and Isolation.
    Blocking and Isolation
  8. Preencha o caminho do aplicativo para definir uma regra de bloqueio e isolamento.
    Como preencher o caminho de um aplicativo
    Nota:
    • A imagem de exemplo usa excel.exe.
    • As ações definidas se aplicam ao aplicativo com o nome excel.exe executado a partir de qualquer diretório.
    • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
    • Variáveis de ambiente, como %WINDIR% são compatíveis.
    • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
    • Asteriscos duplos (**) corresponde a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
    • Exemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Clique em Save na parte superior direita.
    Save
    Nota: Terminate process vai interromper o processo assim que a operação especificada tentar ser executada.

Standard, Advanced, and Enterprise

O VMware Carbon Black Cloud Standard, o VMware Carbon Black Cloud Advanced e o VMware Carbon Black Cloud Enterprise oferecem opções com regras de permissões, bem como regras de bloqueio e isolamento, devido à inclusão do EDR.

Clique no tópico adequado para obter mais informações.

Regras de permissões

As regras de permissões determinam quais operações os aplicativos em caminhos especificados podem executar.

As regras de permissões são baseadas em caminhos e têm precedência sobre as regras de bloqueio e isolamento, bem como sobre a reputação.

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel do menu esquerdo, clique em Enforce.
    Enforce
  4. Clique em Policies.
    Políticas
  5. Selecione o conjunto de políticas a ser modificado.
    Como selecionar um conjunto de políticas
    Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificação.
  6. No painel do menu esquerdo, clique em Prevention.
    Prevenção
  7. Clique para expandir Permissions.
    Permissões
  8. Clique para expandir Add application path.
    Add application path
  9. Preencha o caminho pretendido para definir um desvio.
    Como preencher um caminho
    Nota:
    • A imagem de exemplo usa os seguintes caminhos:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • Neste exemplo, as ações aplicadas afetam todos os arquivos em todas as unidades que contêm os caminhos \program files\dell\dell data protection\ e \programdata\dell\dell data protection\.
    • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
    • Variáveis de ambiente, como %WINDIR% são compatíveis.
    • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
    • Asteriscos duplos (**) corresponde a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
    • Exemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecione a ação a ser aplicada.
    Como selecionar uma ação
    Nota:
    • Na imagem de exemplo, as tentativas de operação recebem ações diferentes selecionando Allow, Allow & Logou Bypass.
    • Quando a tentativa de operação Performs any operation é selecionada, isso substitui qualquer outra tentativa de operação e desativa a seleção de qualquer outra opção.
    • Todas as ações, exceto Performs any operation, podem ser aplicadas a várias tentativas de operação.
    • Definições de ação:
      • Allow - permite o comportamento no caminho especificado; nenhum comportamento especificado no caminho é registrado. Nenhum dado é enviado ao VMware Carbon Black Cloud.
      • Allow & Log - permite o comportamento no caminho especificado; todas as atividades são registradas. Todos os dados são reportados ao VMware Carbon Black Cloud.
      • Bypass - todo o comportamento é permitido no caminho especificado; nada é registrado. Nenhum dado é enviado ao VMware Carbon Black Cloud.
  11. Clique em Confirm na parte inferior de Permissions para definir a alteração de política.
    Confirm
  12. Clique em Save na parte superior direita.
    Save
Regras de bloqueio e isolamento

As regras de bloqueio e isolamento são baseadas em caminhos e têm precedência sobre a reputação. As regras de bloqueio e isolamento permitem definir uma ação "Deny operation" ou "Terminate process" quando se tenta uma operação específica.

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel do menu esquerdo, clique em Enforce.
    Enforce
  4. Clique em Policies.
    Políticas
  5. Selecione o conjunto de políticas a ser modificado.
    Como selecionar um conjunto de políticas
    Nota: As imagens de exemplo usam Standard como o conjunto de políticas escolhido para modificar.
  6. No painel do menu esquerdo, clique em Prevention.
    Prevenção
  7. Clique para expandir Blocking and Isolation.
    Blocking and Isolation
  8. Clique para expandir Add application path.
    Add application path
  9. Preencha o caminho do aplicativo para definir uma regra de bloqueio e isolamento.
    Como preencher o caminho de um aplicativo
    Nota:
    • A imagem de exemplo usa excel.exe.
    • As ações definidas se aplicam ao aplicativo com o nome excel.exe executado a partir de qualquer diretório.
    • A lista de permissões do VMware Carbon Black aproveita uma estrutura de formatação baseada em glob.
    • Variáveis de ambiente, como %WINDIR% são compatíveis.
    • Um único asterisco (*) corresponde a todos os caracteres dentro do mesmo diretório.
    • Dois asteriscos (**) correspondem a todos os caracteres dentro do mesmo diretório, vários diretórios e todos os diretórios acima ou abaixo do local ou arquivo especificado.
    • Exemplos:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecione a ação a ser tomada quando a tentativa de operação for atendida e clique em Confirm.
    Como selecionar uma ação
  11. Clique em Save na parte superior direita.
    Save
    Nota:
    • A opção Deny operation impede que o aplicativo listado realize a operação especificada que ele tentou executar.
    • Terminate process interrompe o processo assim que a operação especificada tentar ser executada.

Reputação

O VMware Carbon Black atribui uma reputação a cada arquivo executado em um dispositivo com o sensor instalado. Os arquivos pré-existentes começam com uma reputação efetiva de LOCAL_WHITE até executar ou até que a varredura em segundo plano os tenha processado e dê uma reputação mais definitiva.

Adicione um aplicativo à lista de reputação ou consulte as descrições de reputação. Clique no tópico adequado para obter mais informações.

Adicionar um aplicativo à Lista de reputação

Um aplicativo pode ser adicionado à lista de reputação por meio da página Reputations ou da página Alerts. Para obter mais informações, clique na opção adequada.

Página Reputations
  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel do menu esquerdo, clique em Enforce.
    Enforce
  4. Clique em Reputation.
    Reputação

Um administrador pode adicionar um aplicativo à lista de reputação usando o Hash SHA256, uma ferramenta de TI ou um certificado de assinatura. Para obter mais informações, clique na opção adequada.

Hash SHA256
Nota: Os arquivos devem ser conhecidos pelo VMware Carbon Black Cloud sendo vistos no ambiente, e o hash SHA256 sendo processado pelo VMware Carbon Black Cloud. Os novos aplicativos podem levar algum tempo após sua primeira detecção antes de serem conhecidos pelo VMware Carbon Black Cloud. Isso pode fazer com que a Lista aprovada ou a Lista proibida não seja imediatamente atribuída a um arquivo afetado.
  1. Clique em Add.
    Add
  2. De Adicionar reputação:
    1. Selecione Hash para o tipo.
    2. Selecione Lista aprovada ou Lista proibida para a lista.
    3. Preencha o campo SHA-256 hash.
    4. Preencha o campo Name para a entrada.
    5. Como opção, preencha Comments.
    6. Clique em Save.
    Menu Add reputation
    Nota:
    • Approved List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Company Approved.
    • Banned List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Company Banned.
Ferramenta IT
  1. Clique em Add.
    Add
  2. De Adicionar reputação:
    1. Selecione IT Tools para o tipo.
    2. Preencha o respectivo Path of trusted IT tool.
    3. Como opção, selecione Include all child processes.
    4. Como opção, preencha Comments.
    5. Clique em Save.
    Menu Add reputation
    Nota:
    • As ferramentas de TI só podem ser adicionadas à Approved List. Approved List define automaticamente que qualquer arquivo afetado e conhecido tenha uma reputação de Local White.
    • A opção Include all child processes nota que, se selecionada, todos os arquivos descartados por processos secundários da ferramenta de TI confiável recém-definida também recebem a confiança inicial.
    • Caminhos relativos para ferramentas de TI indicam que o caminho definido pode ser cumprido pelo caminho definido.

Exemplo:

Para os exemplos a seguir, o caminho da ferramenta de TI confiável é definido como:

  • \sharefolder\folder2\application.exe

Se um administrador tentar executar o arquivo nesses locais, a exclusão será bem-sucedida:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Se um administrador tentar executar o arquivo nesses locais, a exclusão falhará:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

Nos exemplos com falha, o caminho não pode ser totalmente cumprido.

Certificado de assinatura
  1. Clique em Add.
    Add
  2. De Adicionar reputação:
    1. Selecione Certs para o tipo.
    2. Preencha o campo Signed by.
    3. Como opção, preencha a Certificate Authority.
    4. Como opção, preencha Comments.
    5. Clique em Save.

Menu Add reputation

Nota:
Página Alerts
  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. Clique em Alerts.
    Alertas
  4. Selecione a seta ao lado do alerta para aprovar o aplicativo.
    Como selecionar o alerta
  5. Clique em Show all na subseção Remediação .
    Show all
  6. Clique para adicionar o arquivo à lista proibida ou à lista aprovada, dependendo se o hash for confiável ou não.
    Como adicionar o arquivo à lista proibida ou à lista aprovada
    Nota: O certificado de assinatura pode ser adicionado para que outros aplicativos que compartilham esse certificado sejam adicionados automaticamente à lista aprovada local.

Descrições da reputação

Prioridade Reputação Valor da pesquisa de reputação Descrição
1 Ignore IGNORE Faz a autoverificação da reputação atribuída pelo Carbon Black Cloud aos arquivos do produto e concede a eles total permissão para serem executados.
  • Highest Priority
  • Os arquivos têm permissões completas para serem executados pelo Carbon Black, normalmente produtos Carbon Black
2 Lista de empresas aprovadas COMPANY_WHITE_LIST Hashes adicionados manualmente à lista de empresas aprovadas acessando Impor e, em seguida, Reputações
3 Lista de empresas proibidas COMPANY_BLACK_LIST Hashes adicionados manualmente à Lista de Empresas Proibidas indo para Impor e, em seguida, Reputações
4 Lista de aprovados confiáveis TRUSTED_WHITE_LIST Conhecido como bom pelo Carbon Black na nuvem, no scanner local ou em ambos
5 Malware conhecido KNOWN_MALWARE Conhecido como ruim pelo Carbon Black na nuvem, no scanner local ou em ambos
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Malware suspeito que é detectado pelo Carbon Black, mas não é necessariamente mal-intencionado
7 Adware/PUP Malware ADWARE PUP Adware e programas potencialmente indesejados detectados pelo Carbon Black
8 Local White LOCAL_WHITE O arquivo atendeu a qualquer uma das seguintes condições:
  • Arquivos preexistentes antes da instalação do sensor
  • Arquivos adicionados à Lista de aprovados nas ferramentas de TI acessando Impor e, em seguida, Reputações
  • Arquivos adicionados à Lista de aprovados em Certificados acessando Impor e, em seguida, Reputações
9 Lista comum aprovada COMMON_WHITE_LIST O arquivo atendeu a qualquer uma das seguintes condições:
  • O hash não está em nenhuma lista boa ou ruim conhecida, e o arquivo está assinado
  • O hash foi analisado anteriormente e não está em nenhuma lista boa ou ruim conhecida
10 Não listado/Lista de aprovados adaptáveis NOT_LISTEDADAPTIVE_WHITE_LIST A reputação Não listado indica que, após o sensor ter verificado o hash do aplicativo com um scanner local ou com o Cloud, nenhum registro foi encontrado sobre ele – não está listado no banco de dados de reputações.
  • Nuvem: Hash não visto anteriormente
  • Local scanner: Não é conhecido como ruim; configurado na política
11 Desconhecido RESOLVING A reputação Desconhecido indica que não há resposta de qualquer uma das fontes de reputação que o sensor usa.
  • Lowest Priority
  • O sensor observa a queda de arquivos, mas ainda não tem uma reputação da nuvem ou do scanner local

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.