Sådan opretter du tilføjelser eller udelukkelser til VMware Carbon Black Cloud

Summary: Få mere at vide om, hvordan du konfigurerer udelukkelser og inklusioner af VMware Carbon Black ved at følge disse trinvise instruktioner.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black bruger omdømme- og tilladelsesregler til at håndtere næste generations antivirusudelukkelser (NGAV) (godkendte lister) og inklusioner (forbudte lister). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise bruger EDR (Endpoint Detection and Response). EDR påvirkes også af regler for omdømme og tilladelse. Denne artikel fører administratorer gennem indstilling af disse værdier sammen med eventuelle forbehold, der kan være relevante.

Berørte produkter:

  • VMware Carbon Black Cloud-forebyggelse
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black cloud-virksomhed

Påvirkede operativsystemer:

  • Windows
  • Mac
  • Linux

Onboarding af VMware Carbon Black Del 3: Politikker og grupper

Varighed: 03:37
Undertekster: Findes på flere sprog

VMware Carbon Black Cloud bruger en kombination af politikker og omdømme til at afgøre, hvilke handlinger der finder sted.

Klik på det pågældende emne for at få flere oplysninger.

Politikker

VMware Carbon Black Cloud Prevention-politikkeradskiller sig fra politikkerne i VMware Carbon Black Cloud Standard, Advanced og Enterprise. Klik på det relevante produkt for at få flere oplysninger.

Forebyggelse

VMware Carbon Black Cloud Prevention giver en strømlinet tilgang til tilladelsesregler og blokerings- og isolationsregler , fordi den ikke bruger EDR.

Bemærk: Yderligere muligheder er inkluderet i VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise. Du kan finde oplysninger om de yderligere indstillinger, der påvirker EDR, i afsnittet Standard, Advanced og Enterprise i denne artikel.

Klik på det pågældende emne for at få flere oplysninger.

Tilladelsesregler

Tilladelsesregler afgør, hvilke handlinger programmer på angivne stier kan udføre.

Tilladelsesregler er stibaserede og har forrang for både blokerings- og isoleringsregler samt omdømme.

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Gennemtving i menuen til venstre.
    Gennemtving
  4. Klik på Politikker.
    Politikker
  5. Vælg den politik, der skal redigeres.
    Valg af et politiksæt
    Bemærk: I eksempelbillederne bruges Standard som den politikgruppe, der er valgt til at ændre.
  6. Klik på Forebyggelse i menuen til venstre.
    Forebyggelse
  7. Klik for at udvide Tilladelser.
    Tilladelser
  8. Klik for at udvide Tilføj programsti.
    Tilføj programsti
  9. Udfyld den ønskede sti for at slå en bypass til.
    Indstilling af en bypass
    Bemærk:
    • Eksempelbilledet bruger følgende stier:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I dette eksempel påvirker de anvendte handlinger alle filer på alle drev, der indeholder stierne \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
    • Tilladelseslisten i VMware Carbon Black bruger en global formateringsstruktur.
    • Miljøvariabler som f.eks %WINDIR% understøttes.
    • En enkelt stjerne (*) matcher alle tegn i samme mappe.
    • Dobbelt stjerner (**) matcher alle tegn i samme mappe, flere mapper og alle mapper over eller under den angivne placering eller fil.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Vælg den handling, der skal gennemtvinges.
    Valg af en handling
    Bemærk:
    • I eksempelbilledet får handlingsforsøg forskellige handlinger ved at vælge enten Tillad eller Omgåelse.
    • Når handlingsforsøget for Udfører en handling er valgt, tilsidesætter dette ethvert andet handlingsforsøg og deaktiverer valget af enhver anden indstilling.
    • Handlingsdefinitioner:
      • Tillad – Tillader funktionsmåden i den angivne sti med oplysninger om den handling, der logføres af VMware Carbon Black Cloud.
      • Bypass – Al slags adfærd er tilladt i den angivne sti. Der indsamles ingen oplysninger.
  11. Klik på Gem øverst i højre side eller nederst på siden.
    Gem
Blokerings- og isoleringsregler

Blokerings- og isoleringsregler er stibaserede og har fortrinsret over omdømme. Blokerings- og isolationsregler giver os mulighed for at indstille en "Afvis handling" eller "Afslut proces" -handling, når en bestemt handling forsøges.

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Gennemtving i menuen til venstre.
    Gennemtving
  4. Klik på Politikker.
    Politikker
  5. Vælg den politik, der skal redigeres.
    Valg af et politiksæt
    Bemærk: I eksempelbillederne bruges Standard som den politikgruppe, der er valgt til at ændre.
  6. Klik på Forebyggelse i menuen til venstre.
    Forebyggelse
  7. Klik for at udvide Blokering og isolering.
    Blokering og isolering
  8. Udfyld programstien for at slå en blokerings- og isoleringsregel til.
    Udfyld en programsti
    Bemærk:
    • Eksempelbilledet bruger excel.exe.
    • De angivne handlinger gælder for programmet med navnet excel.exe løb fra enhver mappe.
    • Tilladelseslisten i VMware Carbon Black bruger en global formateringsstruktur.
    • Miljøvariabler som f.eks %WINDIR% understøttes.
    • En enkelt stjerne (*) matcher alle tegn i samme mappe.
    • Dobbelt stjerner (**) matcher alle tegn i samme mappe, flere mapper og alle mapper over eller under den angivne placering eller fil.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Klik på Gem øverst til højre.
    Gem
    Bemærk: Afslut proces afslutter processen, når den angivne handling forsøger at køre.

Standard, Advanced og Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced og VMware Carbon Black Cloud Enterprise tilbyder muligheder med tilladelsesregler samt blokerings- og isolationsregler på grund af inkludering af EDR.

Klik på det pågældende emne for at få flere oplysninger.

Tilladelsesregler

Tilladelsesregler afgør, hvilke handlinger programmer på angivne stier kan udføre.

Tilladelsesregler er stibaserede og har forrang for både blokerings- og isoleringsregler samt omdømme.

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Gennemtving i menuen til venstre.
    Gennemtving
  4. Klik på Politikker.
    Politikker
  5. Vælg den politik, der skal redigeres.
    Valg af et politiksæt
    Bemærk: I eksempelbillederne bruges Standard som den politikgruppe, der er valgt til at ændre.
  6. Klik på Forebyggelse i menuen til venstre.
    Forebyggelse
  7. Klik for at udvide Tilladelser.
    Tilladelser
  8. Klik for at udvide Tilføj programsti.
    Tilføj programsti
  9. Udfyld den ønskede sti for at slå en bypass til.
    Udfyld en sti
    Bemærk:
    • Eksempelbilledet bruger følgende stier:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • I dette eksempel påvirker de anvendte handlinger alle filer på alle drev, der indeholder stierne \program files\dell\dell data protection\ og \programdata\dell\dell data protection\.
    • Tilladelseslisten i VMware Carbon Black bruger en global formateringsstruktur.
    • Miljøvariabler som f.eks %WINDIR% understøttes.
    • En enkelt stjerne (*) matcher alle tegn i samme mappe.
    • Dobbelt stjerner (**) matcher alle tegn i samme mappe, flere mapper og alle mapper over eller under den angivne placering eller fil.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Vælg den handling, der skal gennemtvinges.
    Valg af en handling
    Bemærk:
    • I eksempelbilledet tildeles handlingsforsøg forskellige handlinger ved at vælge enten Tillad, Tillad og logfør eller Bypass.
    • Når handlingsforsøget Udfører enhver handling er valgt, tilsidesætter dette ethvert andet forsøg og deaktiverer valget af en anden indstilling.
    • Enhver handling, undtagen Udfører enhver handling, kan anvendes til flere handlingsforsøg.
    • Handlingsdefinitioner:
      • Tillad – Tillader funktionsmåden i den angivne sti. Ingen af de angivne funktionsmåder på stien logføres. Der sendes ingen data til VMware Carbon Black Cloud.
      • Tillad og logfør – Tillader funktionsmåden i den angivne sti. Al aktivitet logføres. Alle data rapporteres til VMware Carbon Black Cloud.
      • Bypass – Al adfærd er tilladt i den angivne sti. Intet registreres. Der sendes ingen data til VMware Carbon Black Cloud.
  11. Klik på Bekræft nederst på Tilladelser for at angive ændringen af politikken.
    Bekræfte
  12. Klik på Gem øverst til højre.
    Gem
Blokerings- og isoleringsregler

Blokerings- og isoleringsregler er stibaserede og har fortrinsret over omdømme. Blokerings- og isolationsregler giver os mulighed for at indstille en "Afvis handling" eller "Afslut proces" -handling, når en bestemt handling forsøges.

  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Gennemtving i menuen til venstre.
    Gennemtving
  4. Klik på Politikker.
    Politikker
  5. Vælg den politik, der skal redigeres.
    Valg af et politiksæt
    Bemærk: Eksempelbillederne bruger Standard som den politikindstilling, der er valgt til at blive ændret.
  6. Klik på Forebyggelse i menuen til venstre.
    Forebyggelse
  7. Klik for at udvide Blokering og isolering.
    Blokering og isolering
  8. Klik for at udvide Tilføj programsti.
    Tilføj programsti
  9. Udfyld programstien for at slå en blokerings- og isoleringsregel til.
    Udfyld en programsti
    Bemærk:
    • Eksempelbilledet bruger excel.exe.
    • De angivne handlinger gælder for programmet med navnet excel.exe løb fra enhver mappe.
    • Tilladelseslisten i VMware Carbon Black bruger en global formateringsstruktur.
    • Miljøvariabler som f.eks %WINDIR% understøttes.
    • En enkelt stjerne (*) matcher alle tegn i samme mappe.
    • Dobbelte stjerner (**) matcher alle tegn i samme mappe, flere mapper og alle mapper over eller under den angivne placering eller fil.
    • Eksempler:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Vælg den handling, der skal udføres, når handlingsforsøget er opfyldt, og klik derefter på Bekræft.
    Valg af en handling
  11. Klik på Gem øverst til højre.
    Gem
    Bemærk:
    • Afvis handling forhindrer det angivne program i at udføre den angivne handling, som det forsøgte at udføre.
    • Afslut proces afslutter processen, når den angivne handling forsøger at køre.

Omdømme

VMware Carbon Black tildeler et omdømme til hver fil, der køres på en enhed med sensoren installeret. Allerede eksisterende filer begynder med et effektivt omdømme på LOCAL_WHITE indtil kørt, eller indtil baggrundsscanningen har behandlet dem og giver et mere definitivt ry.

Udfør enten handlingen Føj et program til omdømmelisten eller se Omdømmebeskrivelser. Klik på det pågældende emne for at få flere oplysninger.

Føj et program til omdømmelisten

Det er muligt at føje et program til omdømmelisten enten via siden Omdømme eller siden Advarsler. Klik på den pågældende indstilling for at få flere oplysninger.

Siden Omdømme
  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Gennemtving i menuen til venstre.
    Gennemtving
  4. Klik på Omdømme.
    Omdømme

En administrator kan føje et program til omdømmelisten ved hjælp af SHA256-hashkoden, IT-værktøjet eller signeringscertifikatet. Klik på den pågældende indstilling for at få flere oplysninger.

SHA256-hash
Bemærk: Filer skal være kendt af VMware Carbon Black Cloud ved at blive set i miljøet, og SHA256-hashet skal være behandlet af VMware Carbon Black Cloud. Det kan tage noget tid efter deres første registrering, inden nye programmer er kendt af VMware Carbon Black Cloud. Dette kan resultere i, at den godkendte liste eller den forbudte liste ikke straks tildeles en berørt fil.
  1. Klik på Tilføj.
    Tilføj
  2. Fra Tilføj omdømme:
    1. Vælg Hash som type.
    2. Vælg enten Godkendt liste eller Forbudt liste for listen.
    3. Udfyld SHA-256-hashet.
    4. Indtast et Navn for posten.
    5. Alternativt kan du udfylde Kommentarer.
    6. Klik på Gem.
    Menuen Tilføj omdømme
    Bemærk:
    • Godkendt liste indstiller automatisk alle berørte og kendte filer til at have omdømmet Virksomhed godkendt.
    • Liste over forbudte indstiller automatisk alle berørte og kendte filer til at have et omdømme som Virksomheden er forbudt.
It-værktøj
  1. Klik på Tilføj.
    Tilføj
  2. Fra Tilføj omdømme:
    1. Vælg IT-værktøjer som typen.
    2. Udfyld den relative sti til et it-værktøj, der er tillid til.
    3. Vælg eventuelt Medtag alle underordnede processer.
    4. Alternativt kan du udfylde Kommentarer.
    5. Klik på Gem.
    Menuen Tilføj omdømme
    Bemærk:
    • It-værktøjer kan kun føjes til Godkendt liste. Godkendt liste indstiller automatisk alle berørte og kendte filer til at have et omdømme som Local White.
    • Indstillingen Medtag alle underordnede processer bemærker, at hvis de vælges, modtager alle filer, der slettes af underordnede processer i det nyligt definerede pålidelige it-værktøj, også den første tillid.
    • Relative stier for it-værktøjer angiver, at den definerede sti kan opfyldes af den definerede sti.

Eksempel:

I følgende eksempler er stien til et it-værktøj, der er tillid til, indstillet til:

  • \sharefolder\folder2\application.exe

Hvis en administrator forsøger at køre filen på disse placeringer, lykkes udelukkelsen:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Hvis en administrator forsøger at køre filen på disse placeringer, mislykkes udelukkelsen:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

I de mislykkede eksempler kan stien ikke opfyldes helt.

Signeringscertifikat
  1. Klik på Tilføj.
    Tilføj
  2. Fra Tilføj omdømme:
    1. Vælg Certifikater for typen.
    2. Udfyld feltet Underskrevet af.
    3. Udfyld eventuelt Nøglecenter.
    4. Udfyld eventuelt Kommentarer.
    5. Klik på Gem.

Menuen Tilføj omdømme

Bemærk:
Siden Advarsler
  1. Gå til [REGION].conferdeploy.net i en webbrowser.
    Bemærk: [REGION] = Lejerens region.
  2. Log på VMware Carbon Black Cloud.
    Log på
  3. Klik på Advarsler.
    Advarsler
  4. Vælg vinklonen ud for beskeden for at godkende programmet.
    Valg af advarslen
  5. Klik på Vis alle under underafsnittet Afhjælpning .
    Vis alle
  6. Klik for at føje filen til enten den forbudte liste eller den godkendte liste, afhængigt af om der er tillid eller ikke tillid til hashet.
    Tilføjelse af filen til listen over forbudte programmer eller godkendte programmer
    Bemærk: Signeringscertifikatet kan tilføjes, så andre programmer, der deler dette certifikat, automatisk føjes til den lokale godkendte liste.

Omdømmebeskrivelse

Prioritet Omdømme Omdømme søgeværdi Beskrivelse
1 Ignorer IGNORE Selvkontrolomdømme, som Carbon Black Cloud tildeler produktfiler og giver dem fulde tilladelser til at køre.
  • Højeste prioritet
  • Filer har fulde tilladelser til at køre af Carbon Black, typisk Carbon Black-produkter
2 Liste over virksomhedsgodkendelser COMPANY_WHITE_LIST Hashes blev manuelt føjet til listen Virksomhedsgodkendt ved at gå til Gennemtving og derefter Omdømme
3 Liste over virksomhedsforbud COMPANY_BLACK_LIST Hashes blev manuelt føjet til listen over virksomhedsforbud ved at gå til Gennemtving og derefter Omdømme
4 Godkendt liste, der er tillid til TRUSTED_WHITE_LIST Kendt af Carbon Black enten fra clouden, den lokale scanner eller begge
5 Kendt malware KNOWN_MALWARE Kendt malware af Carbon Black enten fra clouden, den lokale scanner eller begge
6 Suspekt/heuristisk malware SUSPECT_MALWARE HEURISTIC Suspekt malware, som registreres af Carbon Black, men ikke nødvendigvis er skadelig
7 Adware/PUP-malware ADWARE PUP Adware og potentielt uønskede programmer, der registreres af Carbon Black
8 Godkendt lokalt LOCAL_WHITE Filen har opfyldt en af følgende betingelser:
  • Filer, der allerede eksisterede før sensorinstallationen
  • Filer føjet til listen over godkendte i IT-værktøjer ved at gå til Gennemtving og derefter Omdømme
  • Filer føjet til listen over godkendte i Certs ved at gå til Gennemtving og derefter Omdømme
9 Fælles godkendt liste COMMON_WHITE_LIST Filen har opfyldt en af følgende betingelser:
  • Hash er ikke på nogen kendte gode eller kendte dårlige lister, og filen er signeret
  • Hash er tidligere analyseret og er ikke på nogen kendte gode eller kendte dårlige lister
10 Ikke angivet/adaptiv godkendt liste NOT_LISTEDADAPTIVE_WHITE_LIST Omdømmet Ikke opført angiver, at efter at sensoren har kontrolleret applikationshashen med Local Scanner eller Cloud, kan der ikke findes nogen registrering om det - det er ikke angivet i omdømmedatabasen.
  • Cloud: Hashet er ikke tidligere set
  • Lokal scanner: Ikke kendt som defekt, konfigureret i politik
11 Ukendt RESOLVING Det ukendte omdømme angiver, at der ikke er noget svar fra nogen af de omdømmekilder, sensoren bruger.
  • Laveste prioritet
  • Sensoren observerer filfald, men har endnu ikke et ry fra skyen eller den lokale scanner

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.