Як створити виключення або включення для VMware Carbon Black Cloud

Summary: Дізнайтеся, як налаштувати виключення та включення VMware Carbon Black, дотримуючись цих покрокових інструкцій.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black використовує правила репутації та дозволів для обробки винятків антивірусів наступного покоління (NGAV) (затверджені списки) та включень (заборонені списки). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced і VMware Carbon Black Cloud Enterprise використовують виявлення та реагування на кінцеві точки (EDR). На EDR також впливають правила репутації та дозволів. У цій статті адміністратори розповідають про встановлення цих значень разом із будь-якими застереженнями, які можуть бути доречними.

Продукти, на які вплинули:

  • Запобігання чорній хмарі VMware
  • Стандарт VMware Carbon Black Cloud
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Операційні системи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Підключення VMware Carbon Black Частина 3: Політики та групи

Тривалість: 03:37
Приховані субтитри: Доступно кількома мовами

VMware Carbon Black Cloud використовує комбінацію політик і репутації , щоб визначити, які операції відбуваються.

Натисніть на відповідну тему для отримання додаткової інформації.

Політики

Політики VMware Carbon Black Cloud Preventionвідрізняються від політик VMware Carbon Black Cloud Standard, Advanced і Enterprise. Натисніть на відповідний продукт для отримання додаткової інформації.

Профілактики

VMware Carbon Black Cloud Prevention забезпечує спрощений підхід до правил дозволів та правил блокування та ізоляції , оскільки не використовує EDR.

Примітка: Додаткові опції включені в VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced і VMware Carbon Black Cloud Enterprise. Щоб отримати відомості про додаткові параметри, які впливають на EDR, зверніться до розділів «Стандартні», «Додатково» та «Корпоративні» цієї статті.

Натисніть на відповідну тему для отримання додаткової інформації.

Правила надання дозволів

Правила дозволів визначають, які операції можуть виконувати програми за вказаними шляхами.

Правила дозволів базуються на шляху та мають пріоритет як над правилами блокування та ізоляції, так і над репутацією.

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. В області меню ліворуч натисніть Примусово.
    Забезпечення
  4. Натисніть Політики.
    Політики
  5. Виберіть набір політик, який потрібно змінити.
    Вибір набору політик
    Примітка: У прикладах зображень використовується Стандартний як набір правил, вибраних для зміни.
  6. У правій панелі меню виберіть пункт Профілактика.
    Профілактики
  7. Натисніть, щоб розгорнути розділ Дозволи.
    Дозволи
  8. Натисніть, щоб розгорнути Додати шлях до програми.
    Додати шлях до програми
  9. Заповніть передбачуваний шлях, щоб встановити обхід.
    Налаштування обходу
    Примітка:
    • У прикладі зображення використовуються такі шляхи:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • У цьому прикладі застосовані дії впливають на всі файли на всіх дисках, що містять шляхи \program files\dell\dell data protection\ і \programdata\dell\dell data protection\.
    • Список дозволів VMware Carbon Black використовує структуру форматування на основі глоба.
    • Змінні середовища, такі як %WINDIR% підтримуються.
    • Одна зірочка (*) відповідає всім символам в одному каталозі.
    • Подвійні зірочки (**) відповідають усім символам в одному каталозі, кількох каталогах і всіх каталогах вище або нижче вказаного місця або файлу.
    • Приклади:
      • Вікна: **\powershell.exe
      • Комп'ютер Mac: /Users/*/Downloads/**
  10. Виберіть дію , яку потрібно виконати.
    Вибір дії
    Примітка:
    • На зображенні-прикладі спробам операції надаються різні дії шляхом вибору пункту Дозволити або Обійти.
    • Коли вибрано спробу операції Виконує будь-яку операцію , це перевизначає будь-яку іншу спробу операції та вимикає вибір будь-якої іншої опції.
    • Визначення дій:
      • Allow - дозволяє поведінку в вказаному шляху з інформацією про дію, яка реєструється VMware Carbon Black Cloud.
      • Обхід - Будь-яка поведінка дозволена на вказаному шляху. Інформація не збирається.
  11. Натисніть Зберегти у верхньому правому куті або внизу сторінки.
    Рятувати
Правила блокування та ізоляції

Правила блокування та ізоляції залежать від шляху та мають пріоритет над репутацією. Правила блокування та ізоляції дозволяють нам встановити дію «Заборонити операцію» або «Завершити процес» при спробі виконання певної операції.

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. В області меню ліворуч натисніть Примусово.
    Забезпечення
  4. Натисніть Політики.
    Політики
  5. Виберіть набір політик, який потрібно змінити.
    Вибір набору політик
    Примітка: У прикладах зображень використовується Стандартний як набір правил, вибраних для зміни.
  6. У правій панелі меню виберіть пункт Профілактика.
    Профілактики
  7. Натисніть, щоб розгорнути розділи Блокування та Ізоляція.
    Блокування та ізоляція
  8. Заповніть шлях програми, щоб увімкнути правило блокування та ізоляції.
    Заповнення шляху програми
    Примітка:
    • У прикладі зображення використовується excel.exe.
    • Набір дій застосовується до програми з іменем excel.exe запускається з будь-якого каталогу.
    • Список дозволів VMware Carbon Black використовує структуру форматування на основі глоба.
    • Змінні середовища, такі як %WINDIR% підтримуються.
    • Одна зірочка (*) відповідає всім символам в одному каталозі.
    • Подвійні зірочки (**) відповідають усім символам в одному каталозі, кількох каталогах і всіх каталогах вище або нижче вказаного місця або файлу.
    • Приклади:
      • Вікна: **\powershell.exe
      • Комп'ютер Mac: /Users/*/Downloads/**
  9. Натисніть Зберегти у верхньому правому куті.
    Рятувати
    Примітка: Завершити процес завершує процес, як тільки вказана операція спробує запуститися.

Standard, Advanced і Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced та VMware Carbon Black Cloud Enterprise надають варіанти з Правилами дозволів, а також Правилами блокування та ізоляції, завдяки включенню EDR.

Натисніть на відповідну тему для отримання додаткової інформації.

Правила надання дозволів

Правила дозволів визначають, які операції можуть виконувати програми за вказаними шляхами.

Правила дозволів базуються на шляху та мають пріоритет як над правилами блокування та ізоляції, так і над репутацією.

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. В області меню ліворуч натисніть Примусово.
    Забезпечення
  4. Натисніть Політики.
    Політики
  5. Виберіть набір політик, який потрібно змінити.
    Вибір набору політик
    Примітка: У прикладах зображень використовується Стандартний як набір правил, вибраних для зміни.
  6. У правій панелі меню виберіть пункт Профілактика.
    Профілактики
  7. Натисніть, щоб розгорнути розділ Дозволи.
    Дозволи
  8. Натисніть, щоб розгорнути Додати шлях до програми.
    Додати шлях до програми
  9. Заповніть передбачуваний шлях, щоб встановити обхід.
    Заповнення контуру
    Примітка:
    • У прикладі зображення використовуються такі шляхи:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • У цьому прикладі застосовані дії впливають на всі файли на всіх дисках, що містять шляхи \program files\dell\dell data protection\ і \programdata\dell\dell data protection\.
    • Список дозволів VMware Carbon Black використовує структуру форматування на основі глоба.
    • Змінні середовища, такі як %WINDIR% підтримуються.
    • Одна зірочка (*) відповідає всім символам в одному каталозі.
    • Подвійні зірочки (**) відповідають усім символам в одному каталозі, кількох каталогах і всіх каталогах вище або нижче вказаного місця або файлу.
    • Приклади:
      • Вікна: **\powershell.exe
      • Комп'ютер Mac: /Users/*/Downloads/**
  10. Виберіть дію , яку потрібно виконати.
    Вибір дії
    Примітка:
    • На зображенні-прикладі спроби операції задаються різними діями шляхом вибору або Дозволити, або Дозволити & Журнал, або Обійти.
    • Коли вибрано спробу операції Виконує будь-яку операцію , це перевизначає будь-яку іншу спробу операції та вимикає вибір будь-якої іншої опції.
    • Будь-яка дія, крім Виконує будь-яку операцію , може бути застосована до кількох спроб операції.
    • Визначення дій:
      • Allow - Дозволяє поведінку в вказаному шляху; Жодна з вказаних поведінок на шляху не реєструється. Жодні дані не надсилаються на VMware Carbon Black Cloud.
      • Allow & Log - Дозволяє поведінку в вказаному шляху; Уся активність реєструється. Усі дані повідомляються в хмару VMware Carbon Black Cloud.
      • Обхід - Будь-яка поведінка дозволена на вказаному шляху; Ніщо не реєструється. Жодні дані не надсилаються на VMware Carbon Black Cloud.
  11. Натисніть «Підтвердити » внизу розділу «Дозволи», щоб налаштувати зміну політики.
    Підтвердити
  12. Натисніть Зберегти у верхньому правому куті.
    Рятувати
Правила блокування та ізоляції

Правила блокування та ізоляції залежать від шляху та мають пріоритет над репутацією. Правила блокування та ізоляції дозволяють нам встановити дію «Заборонити операцію» або «Завершити процес» при спробі виконання певної операції.

  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. В області меню ліворуч натисніть Примусово.
    Забезпечення
  4. Натисніть Політики.
    Політики
  5. Виберіть набір політик, який потрібно змінити.
    Вибір набору політик
    Примітка: У прикладах зображень використовується Стандартний як набір правил, вибраних для зміни.
  6. У правій панелі меню виберіть пункт Профілактика.
    Профілактики
  7. Натисніть, щоб розгорнути розділи Блокування та Ізоляція.
    Блокування та ізоляція
  8. Натисніть, щоб розгорнути Додати шлях до програми.
    Додати шлях до програми
  9. Заповніть шлях програми, щоб увімкнути правило блокування та ізоляції.
    Заповнення шляху програми
    Примітка:
    • У прикладі зображення використовується excel.exe.
    • Набір дій застосовується до програми з іменем excel.exe запускається з будь-якого каталогу.
    • Список дозволів VMware Carbon Black використовує структуру форматування на основі глоба.
    • Змінні середовища, такі як %WINDIR% підтримуються.
    • Одна зірочка (*) відповідає всім символам в одному каталозі.
    • Подвійні зірочки (**) відповідають усім символам в одному каталозі, кількох каталогах і всіх каталогах вище або нижче вказаного місця або файлу.
    • Приклади:
      • Вікна: **\powershell.exe
      • Комп'ютер Mac: /Users/*/Downloads/**
  10. Виберіть дію , яку потрібно виконати після виконання спроби операції, а потім натисніть «Підтвердити».
    Вибір дії
  11. Натисніть Зберегти у верхньому правому куті.
    Рятувати
    Примітка:
    • Заборонити операцію не дозволяє програмі зі списку виконати вказану операцію, яку вона намагалася виконати.
    • Завершити процес завершує процес, як тільки вказана операція спробує запуститися.

Репутація

VMware Carbon Black присвоює репутацію кожному файлу, який запущено на пристрої з встановленим датчиком. Вже існуючі файли починаються з ефективної репутації LOCAL_WHITE до запуску або до тих пір, поки фонове сканування не обробить їх і не дасть більш точну репутацію.

Або додайте заявку до Списку репутації, або зверніться до Описів репутації. Натисніть на відповідну тему для отримання додаткової інформації.

Додати заявку до списку репутації

Заявка може бути додана до списку репутації через сторінку «Репутація» або « Сторінка сповіщень». Натисніть відповідну опцію для отримання додаткової інформації.

Сторінка репутації
  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. В області меню ліворуч натисніть Примусово.
    Забезпечення
  4. Натисніть Репутація.
    Репутація

Адміністратор може додати програму до списку репутації за допомогою SHA256 Hash, IT Tool або Sign Certificate. Натисніть відповідну опцію для отримання додаткової інформації.

Хеш SHA256
Примітка: Файли повинні бути відомі VMware Carbon Black Cloud, будучи помітними в середовищі, а хеш SHA256 обробляється VMware Carbon Black Cloud. Новим програмам може знадобитися деякий час після їх першого виявлення, перш ніж вони стануть відомі VMware Carbon Black Cloud. Це може призвести до того, що Затверджений абоЗаборонений список не буде негайно призначено ураженому файлу.
  1. Натисніть Додати.
    Додати
  2. З розділу "Додати репутацію":
    1. Виберіть хеш для типу.
    2. Виберіть для списку список «Затверджений» або «Заборонений».
    3. Заповніть хеш SHA-256.
    4. Введіть ім'я запису.
    5. За бажанням можна заповнити розділ Коментарі.
    6. Натисніть Зберегти.
    Додати меню «Репутація»
    Примітка:
    • Список затверджених автоматично встановлює, що будь-який уражений і відомий файл матиме репутацію схваленого компанією.
    • Список заборонених автоматично встановлює, що будь-який уражений і відомий файл має репутацію заблокованого компанії.
ІТ-інструмент
  1. Натисніть Додати.
    Додати
  2. З розділу "Додати репутацію":
    1. Виберіть IT-інструменти для цього типу.
    2. Заповніть відносний шлях довіреного IT-інструменту.
    3. За потреби виберіть Включити всі дочірні процеси.
    4. За бажанням можна заповнити розділ Коментарі.
    5. Натисніть Зберегти.
    Додати меню «Репутація»
    Примітка:
    • IT-інструменти можуть бути додані лише до Затвердженого переліку. Затверджений список автоматично встановлює, що будь-який уражений і відомий файл матиме репутацію локального білого.
    • Опція Включати всі дочірні процеси зазначає, що якщо цей параметр позначено, усі файли, які видаляються дочірніми процесами щойно визначеного довіреного IT-інструмента, також отримують початкову довіру.
    • Відносні шляхи для IT-інструментів вказують на те, що визначений шлях може бути виконаний за допомогою визначеного шляху.

Приклад:

Для наведених нижче прикладів параметр «Шлях довіреного ІТ-інструменту » встановлено таким чином:

  • \sharefolder\folder2\application.exe

Якщо адміністратор спробує запустити файл у цих розташуваннях, виключення буде успішним:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Якщо адміністратор спробує запустити файл у цих розташуваннях, виключення не відбудеться:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

У невдалих прикладах шлях не може бути виконаний повністю.

Сертифікат підписання
  1. Натисніть Додати.
    Додати
  2. З розділу "Додати репутацію":
    1. Виберіть сертифікати для типу.
    2. Заповніть поле Підписано .
    3. За бажанням можна заповнити центр сертифікації.
    4. За бажанням заповніть розділ Коментарі.
    5. Натисніть Зберегти.

Додати меню «Репутація»

Примітка:
  • Сертифікат підпису може бути доданий лише до Затвердженого списку. Затверджений список автоматично встановлює, що будь-який уражений і відомий файл матиме репутацію локального білого.
  • Для отримання додаткової інформації про додавання сертифікатів підпису для репутації перегляньте статтю Як додати сертифікат підпису до списку репутації VMware Carbon Black Cloud Reputation.
Сторінка сповіщень
  1. У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
    Примітка: [РЕГІОН] = Регіон орендаря
  2. Увійдіть у хмару VMware Carbon Black Cloud.
    Ввійти
  3. Натисніть Сповіщення.
    Оповіщення
  4. Виберіть шеврон поруч із сповіщенням, щоб схвалити заявку.
    Вибір оповіщення
  5. Натисніть «Показати всі» в підрозділі «Виправлення ».
    Показати все
  6. Натисніть, щоб додати файл до списку заборонених або до затвердженого списку, залежно від того, чи є хеш ненадійним або довіреним.
    Додавання файлу до списку заборонених або затверджених
    Примітка: Сертифікат підпису може бути додано таким чином, щоб інші програми, які надають спільний доступ до цього сертифіката, автоматично додавалися до локального затвердженого списку.

Описи репутації

Пріоритет Репутація Цінність пошуку репутації Опис
1 Ігнорувати IGNORE Самостійна перевірка репутації, яку Carbon Black Cloud присвоює файлам продуктів і надає їм повні дозволи на запуск.
  • Найвищий пріоритет
  • Файли мають повні дозволи на запуск Carbon Black, як правило, продуктів Carbon Black
2 Затверджений список компаній COMPANY_WHITE_LIST Хеші вручну додаються до списку схвалених компаній, перейшовши до розділу «Примус», а потім «Репутації»
3 Список заборонених компаній COMPANY_BLACK_LIST Хеші вручну додаються до списку заборонених компаній, перейшовши до розділу «Примус», а потім «Репутація»
4 Надійний затверджений список TRUSTED_WHITE_LIST Відомий як Carbon Black з хмари, локального сканера або з обох
5 Відоме шкідливе програмне забезпечення KNOWN_MALWARE Відомий як Carbon Black або з хмари, або з локального сканера, або з обох
6 Підозрюване/евристичне шкідливе програмне забезпечення SUSPECT_MALWARE HEURISTIC Підозрюйте шкідливе програмне забезпечення, виявлене Carbon Black, але не обов'язково шкідливе
7 Рекламне програмне забезпечення/зловмисне програмне забезпечення PUP ADWARE PUP Рекламне програмне забезпечення та потенційно небажані програми, виявлені за допомогою Carbon Black
8 Місцева біла LOCAL_WHITE Файл відповідає будь-якій з наведених нижче умов:
  • Файли, які існували до встановлення датчика
  • Файли, додані до Затвердженого списку в IT Tools за посиланням Enforce, а потім Reputations (Репутація)
  • Файли, додані до Затвердженого списку в сертифікатах шляхом переходу до розділу Примусове виконання, а потім до Репутації
9 Загальний затверджений список COMMON_WHITE_LIST Файл відповідає будь-якій з наведених нижче умов:
  • Хеш не в жодному відомому хорошому або відомому поганому списку, і файл підписаний
  • Хеш раніше аналізувався і не входить до жодного відомого хорошого чи відомого поганого списку
10 Не внесено до списку/Адаптивний затверджений список NOT_LISTEDADAPTIVE_WHITE_LIST Репутація Not Listed говорить про те, що після того, як датчик перевірить хеш програми Local Scanner або Cloud, ніяких записів про це знайти не можна - в базі репутації він не значиться.
  • Хмара: Хеш раніше не бачив
  • Локальний сканер: Не відомо погано, налаштовано в політиці
11 Невідомий RESOLVING Невідома репутація вказує на те, що немає реакції від жодного з джерел репутації, які використовує датчик.
  • Найнижчий пріоритет
  • Датчик спостерігає падіння файлу, але поки що не має репутації від хмари або локального сканера

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.