如何為 VMware Carbon Black Cloud 建立排除項目或包含項目
Summary: 瞭解如何依照下列逐步指示,設定 VMware Carbon Black 的排除項目和包含項目。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
VMware Carbon Black 使用聲譽和權限規則來處理新一代防毒軟體 (NGAV) 排除項目 (核准清單) 與包含項目 (禁止清單)。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 使用端點偵測與回應 (EDR)。EDR 也會受到聲譽和權限規則影響。本文會引導系統管理員設定這些值,以及可能相關的任何注意事項。
受影響的產品:
- VMware Carbon Black Cloud Prevention
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
受影響的作業系統:
- Windows
- Mac
- Linux
VMware Carbon Black 導入第 3 部份:原則與群組
持續時間:上午 03:37
隱藏式輔助字幕:提供多種語言版本
VMware Carbon Black Cloud 使用原則與聲譽的結合來決定要進行哪些操作。
如需詳細資訊,請按一下適當的主題。
原則
VMware Carbon Black Cloud Prevention原則不同於 VMware Carbon Black Cloud Standard、Advanced 和 Enterprise 的原則。如需詳細資訊,請按一下適當的產品。
Prevention
VMware Carbon Black Cloud Prevention 提供 權限規則 和 封鎖與隔離規則 簡化的方法,因為它不會使用 EDR。
注意:其他選項包含在 VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 以及 VMware Carbon Black Cloud Enterprise 中。如需影響 EDR 的其他選項相關資訊,請參閱本文的 Standard、Advanced, 和 Enterprise 一節。
如需詳細資訊,請按一下適當的主題。
權限規則
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包含路徑的所有磁碟機上的所有檔案
\program files\dell\dell data protection\和\programdata\dell\dell data protection\。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用下列路徑:
- 選擇要強制執行的動作。
注意:- 在範例影像中,選取允許或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 動作定義:
- 允許 - 允許在指定路徑中的行為,包含關於 VMware Carbon Black Cloud 所記錄動作的資訊。
- 略過 - 允許在指定路徑中的所有行為。不會收集任何資訊。
- 在頁面右上方或底部按一下儲存。
封鎖與隔離規則
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:- 範例影像使用
excel.exe。 - 設定的操作適用於具有名稱的應用程式
excel.exe從任何目錄運行。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用
- 按一下右上角的儲存。
注意:一旦指定的操作嘗試執行,終止程序就會結束程序。
Standard、Advanced 和 Enterprise
VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 提供 有權限規則的選項,以及 封鎖與隔離規則,因為包含 EDR。
如需詳細資訊,請按一下適當的主題。
權限規則
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包含路徑的所有磁碟機上的所有檔案
\program files\dell\dell data protection\和\programdata\dell\dell data protection\。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用下列路徑:
- 選擇要強制執行的動作。
注意:- 在範例影像中,選取允許、允許和記錄或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 除執行任何操作以外的每個動作都可套用到多項操作嘗試。
- 動作定義:
- 允許 - 允許在指定路徑中的行為;未記錄路徑的任何指定行為。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 允許和記錄 - 允許指定路徑中的行為;所有活動都會記錄下來。所有資料都會報告至 VMware Carbon Black Cloud。
- 略過 - 允許在指定路徑中的所有行為;未記錄任何內容。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 按一下權限底部的確認,以設定原則變更。
- 按一下右上角的儲存。
封鎖與隔離規則
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 按一下以展開新增應用程式路徑。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:- 範例影像使用的是 excel.exe。
- 設定的操作適用於具有名稱的應用程式
excel.exe從任何目錄運行。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選取要在符合操作嘗試時採取的動作,然後按一下確認。
- 按一下右上角的儲存。
注意:- 拒絕操作會防止列出的應用程式執行其嘗試執行的指定操作。
- 一旦指定的操作嘗試執行,終止程序就會結束程序。
聲譽
VMware Carbon Black 會指派一個聲譽至每個已在安裝了感應器的裝置上執行的檔案。預先存在的檔案會以有效的聲譽 LOCAL_WHITE 直到運行或直到後台掃描處理完它們並提供更明確的聲譽。
請將應用程式新增至聲譽清單或參考聲譽說明。如需詳細資訊,請按一下適當的主題。
將應用程式新增至聲譽清單
您可以透過聲譽頁面或警示頁面,將應用程式新增至聲譽清單中。如需詳細資訊,請按一下適當的選項。
聲譽頁面
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下聲譽。
系統管理員可使用 SHA256 雜湊、IT 工具或簽署認證,將應用程式新增至聲譽清單。如需詳細資訊,請按一下適當的選項。
SHA256 雜湊
注意:VMware Carbon Black Cloud 必須透過顯示檔案的方式知道在環境中的檔案,且必須由 VMware Carbon Black Cloud 處理 SHA256 雜湊。在第一次偵測到新的應用程式之後,VMware Carbon Black Cloud 可能需要一段時間才會知道其存在。這可能會導致 核准清單 或 禁止清單 無法立即指派給受影響的檔案。
- 按一下新增。
- 從 新增聲譽:
- 選取類型的雜湊。
- 為清單選取核准清單或禁止清單。
- 填入 SHA-256 雜湊。
- 填入項目的名稱。
- 或者,填入註解。
- 按一下儲存。
注意:- 核准清單 會自動設定任何受影響和已知的檔案,以擁有 公司核准的聲譽。
- 禁止清單 會自動設定任何受影響和已知的檔案,以擁有 公司禁止的聲譽。
IT 工具
- 按一下新增。
- 從 新增聲譽:
- 選取類型的IT 工具。
- 填入相關的受信任 IT 工具的路徑。
- 或者,選取包含所有子處理程序。
- 或者,填入註解。
- 按一下儲存。
注意:- IT 工具只能新增至核准清單。核准清單 會自動設定任何受影響和已知的檔案,以擁有 本機白名單的聲譽。
- 此選項包含所有子處理程序備註,如果選取此選項,所有由新定義的受信任 IT 工具的子處理程序放下的檔案,也會收到初始信任。
- IT 工具的相對路徑表示定義的路徑可由定義的路徑設計來完成。
範例:
在下列範例中,受信任 IT 工具的路徑設為:
\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,排除會成功:
\\server\tools\sharefolder\folder2\application.exeD:\ITTools\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,排除會失敗:
E:\folder2\application.exeH:\sharefolder\application.exe
在失敗的範例中,路徑無法完全滿足。
簽署認證
- 按一下新增。
- 從 新增聲譽:
- 選取類型的認證。
- 填入簽署者欄位。
- 或者,填入認證機構。
- 或者,填入註解。
- 按一下儲存。
注意:
- 簽署認證只能新增至核准清單。核准清單 會自動設定任何受影響和已知的檔案,以擁有 本機白名單的聲譽。
- 如需新增聲譽簽署認證的詳細資訊,請參閱如何將簽署認證新增至 VMware Carbon Black Cloud 聲譽清單。
警示頁面
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 按一下警示。
- 選取警示旁邊的 V 形箭號以核准應用程式。
- 在「補救」小節下,按一下全部顯示。
- 按一下以將檔案新增至禁止清單或核准清單,視雜湊為不受信任或受信任而定。
注意:您可以新增簽署認證,讓共用此認證的其他應用程式自動新增至本機核准清單。
聲譽說明
| 優先順序 | 聲譽 | 聲譽搜尋值 | 說明 |
|---|---|---|---|
| 1 | 略過 | IGNORE |
Carbon Black Cloud 指派給產品檔案的自我檢查聲譽,並授予他們完整的執行權限。
|
| 2 | 公司核准清單 | COMPANY_WHITE_LIST |
透過強制執行,然後前往聲譽,手動新增到公司核准清單中的雜湊 |
| 3 | 公司禁止清單 | COMPANY_BLACK_LIST |
透過強制執行,然後前往聲譽,手動新增到公司禁止清單中的雜湊 |
| 4 | 信任的核准清單 | TRUSTED_WHITE_LIST |
Carbon Black 從雲端、本機掃描器或兩者中已知良好 |
| 5 | 已知的惡意軟體 | KNOWN_MALWARE |
Carbon Black 從雲端、本機掃描器或兩者中已知不良 |
| 6 | 可疑/啟發式惡意軟體 | SUSPECT_MALWARE HEURISTIC |
Carbon Black 偵測到的可疑惡意軟體,但不一定是惡意的 |
| 7 | 廣告軟體/PUP 惡意軟體 | ADWARE PUP |
Carbon Black 偵測到的廣告軟體和可能不需要的程式 |
| 8 | 本機白名單 | LOCAL_WHITE |
檔案已符合下列任何條件:
|
| 9 | 常見核准清單 | COMMON_WHITE_LIST |
檔案已符合下列任何條件:
|
| 10 | 未列出/可自我調整核准清單 | NOT_LISTEDADAPTIVE_WHITE_LIST |
未列出的聲譽表示感應器檢查本機掃描器或雲端的應用程式雜湊後,找不到其任何相關記錄,也未列在聲譽資料庫中。
|
| 11 | 未知 | RESOLVING |
未知的聲譽表示感應器使用的任何聲譽來源均無回應。
|
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Additional Information
Videos
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version: 33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.