Uitsluitingen of opnames maken voor VMware Carbon Black Cloud

Summary: Leer hoe u VMware Carbon Black-uitsluitingen en -insluitsels configureert door deze stapsgewijze instructies te volgen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black gebruikt reputatie- en machtigingsregels voor het afhandelen van uitsluitingen (goedgekeurde lijsten) en insluitsels (verboden lijsten) van next-generation antivirus (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced en VMware Carbon Black Cloud Enterprise maken gebruik van eindpuntdetectie en -respons (EDR). EDR wordt ook beïnvloed door reputatie- en machtigingsregels. In dit artikel worden beheerders uitgelegd bij het instellen van deze waarden, samen met eventuele relevante kanttekeningen.

Betreffende producten:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Betreffende besturingssystemen:

  • Windows
  • Mac
  • Linux

Introductie van VMware Carbon Black - Deel 3: Policies and Groups

Duur: 03:37
Closed captions: Beschikbaar in meerdere talen.

VMware Carbon Black Cloud gebruikt een combinatie van beleid en reputatie om te bepalen welke bewerkingen plaatsvinden.

Klik op het betreffende onderwerp voor meer informatie.

Policy's

Het VMware Carbon Black Cloud Prevention-beleidverschilt van het beleid van VMware Carbon Black Cloud Standard, Advanced en Enterprise. Klik op het betreffende product voor meer informatie.

Prevention

VMware Carbon Black Cloud Prevention biedt een gestroomlijnde aanpak van machtigingsregels en blokkerings- en isolatieregels omdat het geen EDR gebruikt.

Opmerking: Aanvullende opties zijn opgenomen in VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced en VMware Carbon Black Cloud Enterprise. Voor informatie over de extra opties die van invloed zijn op EDR, raadpleegt u het gedeelte Standard, Advanced en Enterprise van dit artikel.

Klik op het betreffende onderwerp voor meer informatie.

Machtigingsregels

Machtigingsregels bepalen welke bewerkingen applicaties op bepaalde paden kunnen uitvoeren.

Machtigingsregels zijn padgebonden en hebben voorrang op zowel blokkerings- en isolatieregels als reputatie.

  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Sign in
  3. Klik in het linkermenu op Enforce.
    Enforce
  4. Klik op Policies.
    Policy's
  5. Selecteer de beleidsset die u wilt wijzigen.
    Een beleidsset selecteren
    Opmerking: De voorbeeldafbeeldingen gebruiken Standard als de beleidsset die is gekozen om te wijzigen.
  6. Klik in het rechtermenu op Prevention.
    Prevention
  7. Klik om Permissions uit te vouwen.
    Machtigingen
  8. Klik om Add application path uit te vouwen.
    Add application path
  9. Vul het gewenste pad in waarop een omleiding moet worden ingesteld.
    Een bypass instellen
    Opmerking:
    • In de voorbeeldafbeelding worden de volgende paden gebruikt:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • In dit voorbeeld zijn de acties die worden toegepast van invloed op alle bestanden op alle stations die de paden bevatten \program files\dell\dell data protection\ als \programdata\dell\dell data protection\.
    • De lijst met machtigingen van VMware Carbon Black maakt gebruik van een glob-gebonden opmaakstructuur.
    • Omgevingsvariabelen zoals %WINDIR% worden ondersteund.
    • Een enkel sterretje (*) komt overeen met alle tekens in dezelfde map.
    • Dubbele sterretjes (**) komen overeen met alle tekens in dezelfde map, meerdere mappen en alle mappen boven of onder de opgegeven locatie of het opgegeven bestand.
    • Voorbeelden:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecteer de Action die moet worden afgedwongen.
    Een actie selecteren
    Opmerking:
    • In de voorbeeldafbeelding krijgen bewerkingspogingen verschillende acties door Toestaan of Overslaan te selecteren.
    • Wanneer de bewerkingspoging van Voert willekeurige bewerking uit is geselecteerd, overschrijft deze elke andere bewerkingspoging en schakelt u de selectie van een andere optie uit.
    • Actiedefinities:
      • Toestaan : hiermee staat u het gedrag toe in het opgegeven pad met informatie over de actie die wordt geregistreerd door VMware Carbon Black Cloud.
      • Bypass - Elk gedrag is toegestaan in het opgegeven pad. Er wordt geen informatie verzameld.
  11. Klik rechtsboven of aan de onderkant van de pagina op Save.
    Save
Blokkerings- en isolatieregels

Blokkerings- en isolatieregels zijn padgebonden en hebben voorrang op de reputatie. Met de regels voor blokkeren en isoleren kunnen we een actie "Bewerking weigeren" of "Proces beëindigen" instellen wanneer een specifieke bewerking wordt geprobeerd.

  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Inloggen
  3. Klik in het linkermenu op Enforce.
    Enforce
  4. Klik op Policies.
    Policy's
  5. Selecteer de beleidsset die u wilt wijzigen.
    Een beleidsset selecteren
    Opmerking: De voorbeeldafbeeldingen gebruiken Standard als de beleidsset die is gekozen om te wijzigen.
  6. Klik in het rechtermenu op Prevention.
    Prevention
  7. Klik om Blocking and Isolation uit te vouwen.
    Blocking and Isolation
  8. Vul het applicatiepad in waarop u een blokkerings- en isolatieregel wilt instellen.
    Een toepassingspad invullen
    Opmerking:
    • In de voorbeeldafbeelding wordt gebruik gemaakt van excel.exe.
    • De ingestelde acties zijn van toepassing op de applicatie met de naam excel.exe Uitgevoerd vanuit elke map.
    • De lijst met machtigingen van VMware Carbon Black maakt gebruik van een glob-gebonden opmaakstructuur.
    • Omgevingsvariabelen zoals %WINDIR% worden ondersteund.
    • Een enkel sterretje (*) komt overeen met alle tekens in dezelfde map.
    • Dubbele sterretjes (**) komen overeen met alle tekens in dezelfde map, meerdere mappen en alle mappen boven of onder de opgegeven locatie of het opgegeven bestand.
    • Voorbeelden:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Klik rechtsboven op Save.
    Save
    Opmerking: Het proces beëindigen beëindigt het proces zodra de opgegeven bewerking probeert uit te voeren.

Standard, Advanced en Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced en VMware Carbon Black Cloud Enterprise bieden opties met machtigingsregels en blokkerings- en isolatieregels vanwege de opname van EDR.

Klik op het betreffende onderwerp voor meer informatie.

Machtigingsregels

Machtigingsregels bepalen welke bewerkingen applicaties op bepaalde paden kunnen uitvoeren.

Machtigingsregels zijn padgebonden en hebben voorrang op zowel blokkerings- en isolatieregels als reputatie.

  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Sign in
  3. Klik in het linkermenu op Enforce.
    Enforce
  4. Klik op Policies.
    Policy's
  5. Selecteer de beleidsset die u wilt wijzigen.
    Een beleidsset selecteren
    Opmerking: De voorbeeldafbeeldingen gebruiken Standard als de beleidsset die is gekozen om te wijzigen.
  6. Klik in het rechtermenu op Prevention.
    Prevention
  7. Klik om Permissions uit te vouwen.
    Machtigingen
  8. Klik om Add application path uit te vouwen.
    Add application path
  9. Vul het gewenste pad in waarop een omleiding moet worden ingesteld.
    Een pad invullen
    Opmerking:
    • In de voorbeeldafbeelding worden de volgende paden gebruikt:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • In dit voorbeeld zijn de acties die worden toegepast van invloed op alle bestanden op alle stations die de paden bevatten \program files\dell\dell data protection\ als \programdata\dell\dell data protection\.
    • De lijst met machtigingen van VMware Carbon Black maakt gebruik van een glob-gebonden opmaakstructuur.
    • Omgevingsvariabelen zoals %WINDIR% worden ondersteund.
    • Een enkel sterretje (*) komt overeen met alle tekens in dezelfde map.
    • Dubbele sterretjes (**) komen overeen met alle tekens in dezelfde map, meerdere mappen en alle mappen boven of onder de opgegeven locatie of het opgegeven bestand.
    • Voorbeelden:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecteer de Action die moet worden afgedwongen.
    Een actie selecteren
    Opmerking:
    • In de voorbeeldafbeelding krijgen bewerkingen verschillende acties door Allow, Allow & Log of Bypass te selecteren.
    • Wanneer de bewerking voor Performs any operation wordt geselecteerd, wordt een eventuele andere bewerking overschreven en wordt de selectie van een andere optie uitgeschakeld.
    • Elke actie behalve Performs any action kan op meerdere bewerkingspogingen worden toegepast.
    • Actiedefinities:
      • Allow - Hiermee kunt u het gedrag in het opgegeven pad toestaan; geen van de opgegeven gedragingen in het pad wordt vastgelegd. Er worden geen data naar de VMware Carbon Black Cloud verzonden.
      • Allow & Log - Hiermee wordt het gedrag in het opgegeven pad toegestaan; alle activiteiten worden vastgelegd. Alle data worden gerapporteerd aan de VMware Carbon Black Cloud.
      • Bypass - Alle gedrag is toegestaan in het opgegeven pad; er wordt niets in het logboek vastgelegd. Er worden geen data naar de VMware Carbon Black Cloud verzonden.
  11. Klik op Confirm onder de Permissions om de beleidswijziging in te stellen.
    Bevestigen
  12. Klik rechtsboven op Save.
    Save
Blokkerings- en isolatieregels

Blokkerings- en isolatieregels zijn padgebonden en hebben voorrang op de reputatie. Met de regels voor blokkeren en isoleren kunnen we een actie "Bewerking weigeren" of "Proces beëindigen" instellen wanneer een specifieke bewerking wordt geprobeerd.

  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Sign in
  3. Klik in het linkermenu op Enforce.
    Enforce
  4. Klik op Policies.
    Policy's
  5. Selecteer de beleidsset die u wilt wijzigen.
    Een beleidsset selecteren
    Opmerking: In de voorbeeldafbeeldingen wordt Standard gebruikt als de beleidsinstelling die u wilt wijzigen.
  6. Klik in het rechtermenu op Prevention.
    Prevention
  7. Klik om Blocking and Isolation uit te vouwen.
    Blocking and Isolation
  8. Klik om Add application path uit te vouwen.
    Add application path
  9. Vul het applicatiepad in waarop u een blokkerings- en isolatieregel wilt instellen.
    Een toepassingspad invullen
    Opmerking:
    • In de voorbeeldafbeelding wordt gebruikgemaakt van excel.exe.
    • De ingestelde acties zijn van toepassing op de applicatie met de naam excel.exe Uitgevoerd vanuit elke map.
    • De lijst met machtigingen van VMware Carbon Black maakt gebruik van een glob-gebonden opmaakstructuur.
    • Omgevingsvariabelen zoals %WINDIR% worden ondersteund.
    • Eén sterretje (*) komt overeen met alle tekens in dezelfde map.
    • Dubbele sterretjes (**) komen overeen met alle tekens in dezelfde map, meerdere mappen en alle mappen boven of onder de opgegeven locatie of het opgegeven bestand.
    • Voorbeelden:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Selecteer de Action die moet worden ondernomen wanneer aan de bewerkingspoging wordt voldaan en klik op Confirm.
    Een actie selecteren
  11. Klik rechtsboven op Save.
    Save
    Opmerking:
    • Met Bewerking weigeren kan de vermelde applicatie de opgegeven bewerking niet uitvoeren die deze probeerde uit te voeren.
    • Het proces beëindigen beëindigt het proces zodra de opgegeven bewerking probeert uit te voeren.

Reputatie

VMware Carbon Black wijst een reputatie toe aan elk bestand dat wordt uitgevoerd op een apparaat waarop de sensor is geïnstalleerd. Reeds bestaande bestanden beginnen met een effectieve reputatie van LOCAL_WHITE totdat ze worden uitgevoerd of totdat de achtergrondscan ze heeft verwerkt en een meer definitieve reputatie geeft.

Add an Application to the Reputation List of raadpleeg Reputation Descriptions. Klik op het betreffende onderwerp voor meer informatie.

Een applicatie toevoegen aan de reputatielijst

Een applicatie kan aan de reputatielijst worden toegevoegd via de Reputations Page of de Alerts Page. Klik op de betreffende optie voor meer informatie.

Reputations Page
  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Sign in
  3. Klik in het linkermenu op Enforce.
    Enforce
  4. Klik op Reputation.
    Reputatie

Een beheerder kan een applicatie toevoegen aan de reputatielijst met behulp van de SHA256-hash, de IT-tool of het ondertekeningscertificaat. Klik op de betreffende optie voor meer informatie.

SHA256 Hash
Opmerking: Bestanden moeten bekend zijn voor de VMware Carbon Black Cloud door in de omgeving te zijn gezien en de SHA256-hash moet zijn verwerkt door de VMware Carbon Black Cloud. Bij nieuwe applicaties kan het na hun eerste detectie enige tijd duren voordat ze bekend zijn in de VMware Carbon Black Cloud. Dit kan ertoe leiden dat de lijst met goedgekeurde ofgeblokkeerde bestanden niet onmiddellijk wordt toegewezen aan een getroffen bestand.
  1. Klik op Add.
    Toevoegen
  2. Van Add Reputation:
    1. Selecteer Hash voor het type.
    2. Selecteer Goedgekeurde lijst of Verboden lijst voor de lijst.
    3. Vul de SHA-256 hash in.
    4. Vul een Name in voor de vermelding.
    5. U kunt eventueel ook Comments invullen.
    6. Klik op Opslaan.
    Menu Reputatie toevoegen
    Opmerking:
    • Met de Approved List wordt elk getroffen en bekend bestand automatisch ingesteld met de reputatie Goedgekeurd door bedrijf goedgekeurd.
    • Banned List zorgt er automatisch voor dat elk getroffen en bekend bestand de reputatie heeft van Company Banned.
IT Tool
  1. Klik op Add.
    Toevoegen
  2. Van Add Reputation:
    1. Selecteer IT-tools voor het type.
    2. Vul het relatieve Path of trusted IT tool in.
    3. Selecteer eventueel Include all child processes.
    4. U kunt eventueel ook Comments invullen.
    5. Klik op Opslaan.
    Menu Reputatie toevoegen
    Opmerking:
    • IT-tools kunnen alleen aan de Approved List worden toegevoegd. Met de Goedgekeurde lijst wordt elk getroffen en bekend bestand automatisch ingesteld om de reputatie Local White te krijgen.
    • De optie Alle onderliggende processen opnemen geeft aan dat, indien geselecteerd, alle bestanden die worden verwijderd door onderliggende processen van de nieuw gedefinieerde vertrouwde IT-tool, ook de initiële vertrouwensrelatie ontvangen.
    • Relatieve paden voor IT-tools geven aan dat het gedefinieerde pad kan worden afgehandeld door het gedefinieerde pad.

Voorbeeld:

Voor de volgende voorbeelden is Path of trusted IT tool ingesteld op:

  • \sharefolder\folder2\application.exe

Als een beheerder probeert het bestand op deze locaties uit te voeren, slaagt de uitsluiting:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Als een beheerder het bestand op deze locaties probeert uit te voeren, mislukt de uitsluiting:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

In de mislukte voorbeelden kan het pad niet volledig worden afgehandeld.

Ondertekeningscertificaat
  1. Klik op Add.
    Toevoegen
  2. Van Add Reputation:
    1. Selecteer certificaten voor het type.
    2. Vul het veld Signed by in.
    3. Optioneel kunt u ook de Certificate Authority invullen.
    4. Optioneel kunt u ook de Comments invullen.
    5. Klik op Opslaan.

Menu Reputatie toevoegen

Opmerking:
Alerts Page
  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Sign in
  3. Klik op Alerts.
    Waarschuwingen
  4. Selecteer de pijlpunt naast de waarschuwing om de applicatie goed te keuren.
    De waarschuwing selecteren
  5. Klik op Alles weergeven onder de subsectie Herstel.
    Alles weergeven
  6. Klik op Add om het bestand toe te voegen aan de Banned List of de Approved List, afhankelijk van of de hash wel of niet vertrouwd is.
    Het bestand toevoegen aan de lijst met verboden bestanden of de lijst met goedgekeurde bestanden
    Opmerking: Het ondertekeningscertificaat kan worden toegevoegd, zodat andere toepassingen die dit certificaat delen, automatisch worden toegevoegd aan de lokale lijst met goedgekeurde personen.

Reputatiebeschrijvingen

Prioriteit Reputatie Reputatie zoekwaarde Beschrijving
1 Ignore IGNORE Zelfcontrole van de reputatie die Carbon Black Cloud toekent aan productbestanden en deze met volledige machtigingen verleent om uit te voeren.
  • Hoogste prioriteit
  • Bestanden hebben volledige machtigingen om door Carbon Black te worden uitgevoerd; meestal Carbon Black-producten
2 Door bedrijf goedgekeurde lijst COMPANY_WHITE_LIST Hashes handmatig toegevoegd aan de door het bedrijf goedgekeurde lijst door naar Afdwingen en vervolgens naar Reputaties te gaan
3 Verboden lijst met bedrijven COMPANY_BLACK_LIST Hashes handmatig toegevoegd aan de Company Banned List door naar Enforcement te gaan en vervolgens naar Reputations
4 Vertrouwde goedgekeurde lijst TRUSTED_WHITE_LIST Bewezen goed door Carbon Black vanuit de cloud, lokale scanner of beide
5 Bekende malware KNOWN_MALWARE Bewezen slecht door Carbon Black vanuit de cloud, lokale scanner of beide
6 Suspect/Heuristic Malware SUSPECT_MALWARE HEURISTIC Verdachte malware die door Carbon Black is gedetecteerd, maar die niet niet noodzakelijkerwijs schadelijk is
7 Adware/PUP Malware ADWARE PUP Adware en mogelijk ongewenste programma's die worden gedetecteerd door Carbon Black
8 Local White LOCAL_WHITE Het bestand voldoet aan een van de volgende voorwaarden:
  • Bestanden reeds aanwezig voorafgaand aan de installatie van de sensor
  • Bestanden die zijn toegevoegd aan de goedgekeurde lijst in IT-tools door naar Afdwingen en vervolgens naar Reputaties te gaan
  • Bestanden die zijn toegevoegd aan de goedgekeurde lijst in Certs door naar Afdwingen en vervolgens naar Reputaties te gaan
9 Gemeenschappelijke goedgekeurde lijst COMMON_WHITE_LIST Het bestand voldoet aan een van de volgende voorwaarden:
  • Hash staat niet op bekende goede of bekende slechte lijsten en het bestand is ondertekend
  • Hash is eerder geanalyseerd en staat niet op een bekende lijst met goede of bekende slechte
10 Niet vermeld/Adaptief Goedgekeurde lijst NOT_LISTEDADAPTIVE_WHITE_LIST De reputatie Niet vermeld geeft aan dat nadat de sensor de applicatie-hash heeft gecontroleerd met Local Scanner of Cloud, er geen gegevens over kunnen worden gevonden - deze worden niet vermeld in de reputatiedatabase.
  • Cloud: Hash niet eerder gezien
  • Lokale scanner: Niet bewezen slecht, geconfigureerd in beleid
11 Unknown RESOLVING De onbekende reputatie geeft aan dat er geen reactie is van een van de reputatiebronnen die de sensor gebruikt.
  • Laagste prioriteit
  • De sensor observeert het wegvallen van bestanden, maar heeft nog geen reputatie van de cloud of lokale scanner

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.