Как создать включения или исключения для VMware Carbon Black Cloud

Summary: Узнайте, как настроить исключения и включения VMware Carbon Black, следуя этим пошаговым инструкциям.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

VMware Carbon Black использует правила репутации и разрешений для обработки исключений (утвержденные списки) и включений (запрещенные списки) антивирусных программ нового поколения (NGAV). VMware Carbon Black Standard, VMware Carbon Black Cloud Advanced и VMware Carbon Black Cloud Enterprise используют методы обнаружения и реагирования на конечных точках (EDR). EDR также зависит от правил репутации и разрешений. В этой статье описано, как администраторы могут задать эти значения, а также приведены некоторые актуальные примечания.

Затронутые продукты:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Затронутые операционные системы:

  • Windows
  • Mac
  • Linux

Адаптация VMware Carbon Black, часть 3: Политики и группы

Продолжительность: 03:37
Субтитры: Доступны на нескольких языках

VMware Carbon Black Cloud использует сочетание политик и репутации для определения того, какие операции выполняются.

Выберите нужную тему, чтобы ознакомиться с дополнительными сведениями.

Политики

Политики VMware Carbon Black Cloud Preventionотличаются от политик VMware Carbon Black Cloud Standard, Advanced и Enterprise. Выберите нужный продукт, чтобы ознакомиться с дополнительными сведениями.

Prevention

VMware Carbon Black Cloud Prevention обеспечивает оптимизированный подход к правилам разрешений,правилам блокировки и изоляции , поскольку не использует EDR.

Примечание. Дополнительные опции включены в состав VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced и VMware Carbon Black Cloud Enterprise. Подробные сведения о дополнительных опциях, которые влияют на EDR, см. в разделе Standard, Advanced и Enterprise данной статьи.

Выберите нужную тему, чтобы ознакомиться с дополнительными сведениями.

Правила разрешений

Правила разрешений определяют, какие операции могут выполнять приложения по указанным путям.

Правила разрешений основаны на пути и имеют приоритет над правилами блокировки и изоляции, а также репутацией.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    «Вход»,
  3. На левой панели меню нажмите Enforce.
    Enforce
  4. Нажмите Policies.
    Политики
  5. Выберите набор политик, который необходимо изменить.
    Выбор набора политик
    Примечание. В примерах изображений в качестве набора политик, выбранного для изменения, используется Standard .
  6. На правой панели меню нажмите Prevention.
    Prevention
  7. Нажмите, чтобы развернуть раздел Permissions.
    Разрешения
  8. Нажмите, чтобы развернуть Add application path.
    Add application path
  9. Заполните нужный путь, чтобы включить обход.
    Установка обхода
    Примечание.
    • На изображении в примере используются следующие пути:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • В этом примере применяемые действия влияют на все файлы на всех дисках, содержащих пути \program files\dell\dell data protection\ и \programdata\dell\dell data protection\.
    • В списке разрешений VMware Carbon Black используется структура форматирования на основе шаблонов поиска.
    • Переменные среды, такие как %WINDIR% поддерживаются.
    • Одна звездочка (*) соответствует всем символам в одном каталоге.
    • Двойные звездочки (**) соответствует всем символам в одном каталоге, нескольких каталогах и всех каталогах выше или ниже указанного местоположения или файла.
    • Примеры:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Выберите действие, которое необходимо применить.
    Выбор действия
    Примечание.
    • На рисунке в примере попытки выполнения операции осуществляются различными действиями, выбирая Allow или Bypass.
    • Если выбрана попытка выполнения операции Performs any operation, это отменяет любую другую попытку выполнения операции и отключает выбор любого другого варианта.
    • Определения действий:
      • Allow — разрешает действия в указанном пути с регистрацией информации о действии в VMware Carbon Black Cloud.
      • Bypass — все действия разрешены в указанном пути. Информация не собирается.
  11. Нажмите Save в правом верхнем углу или в нижней части страницы.
    Save
Правила блокировки и изоляции

Правила блокировки и изоляции работают на основе пути и имеют приоритет над репутацией. Правила блокировки и изоляции позволяют устанавливать действие «Deny operation» или «Terminate process» при попытке выполнения определенной операции.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    Sign In
  3. На левой панели меню нажмите Enforce.
    Enforce
  4. Нажмите Policies.
    Политики
  5. Выберите набор политик, который необходимо изменить.
    Выбор набора политик
    Примечание. В примерах изображений в качестве набора политик, выбранного для изменения, используется Standard .
  6. На правой панели меню нажмите Prevention.
    Prevention
  7. Нажмите, чтобы развернуть Blocking and Isolation.
    Blocking and Isolation
  8. Заполните путь к приложению, чтобы установить правило блокировки и изоляции.
    Заполнение пути к приложению
    Примечание.
    • На рисунке в примере используются excel.exe.
    • Набор действий применяется к приложению с именем excel.exe Запущен из любого каталога.
    • В списке разрешений VMware Carbon Black используется структура форматирования на основе шаблонов поиска.
    • Переменные среды, такие как %WINDIR% поддерживаются.
    • Одна звездочка (*) соответствует всем символам в одном каталоге.
    • Двойные звездочки (**) соответствует всем символам в одном каталоге, нескольких каталогах и всех каталогах выше или ниже указанного местоположения или файла.
    • Примеры:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  9. Нажмите Save в правом верхнем углу.
    Save
    Примечание. Terminate process останавливает процесс после выполнения указанной операции.

Standard, Advanced и Enterprise

VMware Carbon Black Cloud Standard, VMware Carbon Black Cloud Advanced и VMware Carbon Black Cloud Enterprise предоставляют варианты с правилами разрешений, а также правилами блокировки и изоляции благодаря включению EDR.

Выберите нужную тему, чтобы ознакомиться с дополнительными сведениями.

Правила разрешений

Правила разрешений определяют, какие операции могут выполнять приложения по указанным путям.

Правила разрешений основаны на пути и имеют приоритет над правилами блокировки и изоляции, а также репутацией.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    «Вход»,
  3. На левой панели меню нажмите Enforce.
    Enforce
  4. Нажмите Policies.
    Политики
  5. Выберите набор политик, который необходимо изменить.
    Выбор набора политик
    Примечание. В примерах изображений в качестве набора политик, выбранного для изменения, используется Standard .
  6. На правой панели меню нажмите Prevention.
    Prevention
  7. Нажмите, чтобы развернуть раздел Permissions.
    Разрешения
  8. Нажмите, чтобы развернуть Add application path.
    Add application path
  9. Заполните нужный путь, чтобы включить обход.
    Заполнение пути
    Примечание.
    • На изображении в примере используются следующие пути:
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • В этом примере применяемые действия влияют на все файлы на всех дисках, содержащих пути \program files\dell\dell data protection\ и \programdata\dell\dell data protection\.
    • В списке разрешений VMware Carbon Black используется структура форматирования на основе шаблонов поиска.
    • Переменные среды, такие как %WINDIR% поддерживаются.
    • Одна звездочка (*) соответствует всем символам в одном каталоге.
    • Двойные звездочки (**) соответствует всем символам в одном каталоге, нескольких каталогах и всех каталогах выше или ниже указанного местоположения или файла.
    • Примеры:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. Выберите действие, которое необходимо применить.
    Выбор действия
    Примечание.
    • На рисунке в примере попытки выполнения операции осуществляются различными действиями, выбирая Allow, Allow & Log или Bypass.
    • Если выбрана попытка выполнения операции Performs any operation, это отменяет любую другую попытку выполнения операции и отключает выбор любого другого варианта.
    • Каждое действие, за исключением Performs any operation, можно применить к нескольким попыткам выполнения операции.
    • Определения действий:
      • Allow — разрешает действия в указанном пути; ни одно из указанных действий в пути не регистрируется. Данные не отправляются в VMware Carbon Black Cloud.
      • Allow & Log — разрешает действия в указанном пути; все действия регистрируются. Все данные передаются в VMware Carbon Black Cloud.
      • Bypass — все действия разрешены в указанном пути; никакие действия не регистрируются. Данные не отправляются в VMware Carbon Black Cloud.
  11. Нажмите Confirm в нижней части списка Permissions, чтобы задать изменение политики.
    Confirm
  12. Нажмите Save в правом верхнем углу.
    Save
Правила блокировки и изоляции

Правила блокировки и изоляции работают на основе пути и имеют приоритет над репутацией. Правила блокировки и изоляции позволяют устанавливать действие «Deny operation» или «Terminate process» при попытке выполнения определенной операции.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    «Вход»,
  3. На левой панели меню нажмите Enforce.
    Enforce
  4. Нажмите Policies.
    Политики
  5. Выберите набор политик, который необходимо изменить.
    Выбор набора политик
    Примечание. На изображениях в примере для внесения изменений используется набор политик Standard.
  6. На правой панели меню нажмите Prevention.
    Prevention
  7. Нажмите, чтобы развернуть Blocking and Isolation.
    Blocking and Isolation
  8. Нажмите, чтобы развернуть Add application path.
    Add application path
  9. Заполните путь к приложению, чтобы установить правило блокировки и изоляции.
    Заполнение пути к приложению
    Примечание.
    • На изображении в примере используется файл excel.exe.
    • Набор действий применяется к приложению с именем excel.exe Запущен из любого каталога.
    • В списке разрешений VMware Carbon Black используется структура форматирования на основе шаблонов поиска.
    • Переменные среды, такие как %WINDIR% поддерживаются.
    • Одна звездочка (*) соответствует одному символу в одном каталоге.
    • Две звездочки (**) соответствуют всем символам в одном каталоге, нескольких каталогах и всех каталогах выше или ниже указанного местоположения или файла.
    • Примеры:
      • Windows: **\powershell.exe
      • Mac: /Users/*/Downloads/**
  10. В поле Action выберите действие, которое необходимо выполнить при попытке выполнения операции, и нажмите Confirm.
    Выбор действия
  11. Нажмите Save в правом верхнем углу.
    Save
    Примечание.
    • Deny operation приводит к тому, что указанное в списке приложение не сможет выполнить указанную операцию.
    • Terminate process приводит к остановке процесса после выполнения указанной операции.

Репутация

VMware Carbon Black присваивает репутацию каждому файлу, который выполняется на устройстве с установленным датчиком. Уже существующие файлы начинаются с эффективной репутации LOCAL_WHITE до запуска или до тех пор, пока фоновое сканирование не обработает их и не даст более точную репутацию.

Либо добавьте приложение в список репутации, либо см. описание репутации. Выберите нужную тему, чтобы ознакомиться с дополнительными сведениями.

Добавьте приложение в список репутации

Приложение можно добавить в список репутации на странице репутации или на странице оповещений. Выберите нужную опцию, чтобы ознакомиться с дополнительными сведениями.

Страница репутации
  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    «Вход»,
  3. На левой панели меню нажмите Enforce.
    Enforce
  4. Нажмите Reputation.
    Репутация

Администратор может добавить приложение в список репутации с помощью хэша SHA256, ИТ-инструмента или сертификата подписи. Выберите нужную опцию, чтобы ознакомиться с дополнительными сведениями.

Хэш SHA256
Примечание. Файлы должны быть известны VMware Carbon Black Cloud, то есть видны в среде, а хэш SHA256 должен обрабатываться VMware Carbon Black Cloud. Новым приложениям может потребоваться некоторое время после первого обнаружения, прежде чем они будут известны VMware Carbon Black Cloud. Это может привести к тому, что разрешенный или запрещенный список не будет немедленно назначен затронутому файлу.
  1. Нажмите Добавить.
    Добавить
  2. Из команды «Добавить репутацию»:
    1. Выберите Хэш в качестве типа.
    2. Выберите для спискаРазрешенный или Запрещенный список.
    3. Заполните хэш SHA-256.
    4. Введите имя записи.
    5. При необходимости заполните комментарии.
    6. Нажмите Save.
    Меню «Add Reputation»
    Примечание.
    • Approved List автоматически устанавливает любому затронутому известному файлу репутацию Company Approved.
    • Banned List автоматически устанавливает любому затронутому известному файлу репутацию Company Banned.
ИТ-инструмент
  1. Нажмите Добавить.
    Добавить
  2. Из команды «Добавить репутацию»:
    1. Выберитетип ИТ-инструментов.
    2. Заполните поле Path of trusted IT tool.
    3. При необходимости выберите Include all child processes.
    4. При необходимости заполните комментарии.
    5. Нажмите Save.
    Меню «Add Reputation»
    Примечание.
    • ИТ-инструменты могут быть добавлены только в разрешенный список. Approved List автоматически устанавливает любому затронутому известному файлу репутацию Local White.
    • Если выбран параметр Include all child processes, он выдает всем файлам, отброшенным дочерними процессами нового определенного доверенного ИТ-инструмента, исходный уровень доверия.
    • Поле «Relative paths for IT tools» указывает на то, что указанный путь может быть выполнен с помощью определенных операций с путями.

Пример.

В следующих примерах для параметра Path of trusted IT tool задано значение:

  • \sharefolder\folder2\application.exe

Если администратор попытается запустить файл в этих расположениях, исключение будет успешно выполнено:

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

Если администратор попытается запустить файл в этих местах, произойдет сбой исключения:

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

В примерах с ошибками путь не может быть полностью выполнен.

Сертификат подписи
  1. Нажмите Добавить.
    Добавить
  2. Из команды «Добавить репутацию»:
    1. Выберите Certs для типа.
    2. Заполните поле Signed by.
    3. При необходимости заполните поле Certificate Authority.
    4. При необходимости заполните комментарии.
    5. Нажмите Save.

Меню «Add Reputation»

Примечание.
Страница оповещений
  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    «Вход»,
  3. Нажмите Alerts.
    Оповещения
  4. Выберите шеврон рядом с оповещением, чтобы утвердить заявку.
    Выбор оповещения
  5. Нажмите Show all в подразделе Remediation.
    Show all
  6. Нажмите Add, чтобы добавить файл в список запрещенных или список разрешенных, в зависимости от того, является ли хэш ненадежным или доверенным.
    Добавление файла в список запрещенных или разрешенных
    Примечание. Сертификат подписи можно добавить, чтобы другие приложения, совместно использующие этот сертификат, автоматически добавлялись в локальный список одобренных.

Описания репутации

Приоритет Репутация Значение поиска репутации Описание
1 Игнорировать IGNORE Самопроверка репутации, которую Carbon Black Cloud назначает файлам продуктов, и предоставление им полных разрешений на запуск.
  • Наивысший приоритет
  • Файлы имеют полные разрешения на запуск от Carbon Black, обычно это продукты Carbon Black
2 Разрешенный список компании COMPANY_WHITE_LIST Хэши добавляются в список одобренных компанией вручную путем перехода в раздел «Enforce», а затем «Reputations»
3 Запрещенный список компании COMPANY_BLACK_LIST Хеши вручную добавляются в список запрещенных компаний, перейдя в раздел «Принудительное исполнение», затем «Репутация»
4 Список доверенных и одобренных TRUSTED_WHITE_LIST Заведомо хорошие файлы от Carbon Black из облака, локального сканера или из обоих вариантов
5 Известное вредоносное ПО KNOWN_MALWARE Заведомо плохие файлы от Carbon Black из облака, локального сканера или из обоих вариантов
6 Подозрительное/эвристическое вредоносное ПО SUSPECT_MALWARE HEURISTIC Подозрительное вредоносное ПО, обнаруженное Carbon Black, но не обязательно вредоносное
7 Рекламное/PUP вредоносное ПО ADWARE PUP Рекламные и потенциально нежелательные программы, обнаруженные Carbon Black
8 Локальные разрешенные LOCAL_WHITE Файл соответствует любому из следующих условий:
  • Файлы, существовавшие до установки датчика
  • Файлы добавляются в список одобренных в ИТ-инструментах путем перехода в раздел «Принудительное применение», затем «Репутация»
  • Файлы добавляются в список одобренных в Certs путем перехода в раздел «Enforce», затем «Reputations»
9 Общий утвержденный список COMMON_WHITE_LIST Файл соответствует любому из следующих условий:
  • Хэш не включен в какой-либо известный исправный или известный плохой список, файл подписан
  • Хэш ранее проанализирован и не находится в каких-либо известных хороших или известных плохих списках
10 Нет в списке/список адаптивно одобренных NOT_LISTEDADAPTIVE_WHITE_LIST Репутация, «Нет в списке» указывает на то, что после проверки датчиком хэша приложения с помощью локального сканера или облака запись о нем найти не удалось — оно не указано в базе данных репутации.
  • Облако: Хэш ранее не встречался
  • Локальный сканер: Не является заведомо плохим, настроен в политике
11 Неизвестно RESOLVING Репутация «Неизвестно» указывает на отсутствие ответа от любого из источников репутации, используемых датчиком.
  • Низший приоритет
  • Датчик наблюдает за падением файлов, но еще не имеет репутации от облака или локального сканера

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

   

Videos

 

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000182859
Article Type: How To
Last Modified: 15 Jul 2025
Version:  33
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.