Article Number: 000182859
如何為 VMware Carbon Black Cloud 建立排除項目或包含項目
Summary: 您可以依照下列指示,設定 VMware Carbon Black 的排除項目和包含項目。
Article Content
Instructions
VMware Carbon Black 使用聲譽和權限規則來處理新一代防毒軟體 (NGAV) 排除項目 (核准清單) 與包含項目 (禁止清單)。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 使用端點偵測與回應 (EDR)。EDR 也會受到聲譽和權限規則影響。本文會引導系統管理員設定這些值,以及可能相關的任何注意事項。
受影響的產品:
VMware Carbon Black Cloud Prevention
VMware Carbon Black Cloud Standard
VMware Carbon Black Cloud Advanced
VMware Carbon Black Cloud Enterprise
受影響的作業系統:
Windows
Mac
Linux
VMware Carbon Black 導入第 3 部份:原則與群組
持續時間:03:37
關閉標題:提供多種語言版本
VMware Carbon Black Cloud 使用原則與聲譽的結合來決定要進行哪些操作。
如需詳細資訊,請按一下適當的主題。
VMware Carbon Black Cloud 預防 原則與 VMware Carbon Black Cloud Standard、Advanced 及 Enterprise的政策不同。如需詳細資訊,請按一下適當的產品。
VMware Carbon Black Cloud Prevention 提供權限規則以及封鎖和隔離規則簡化的方法,因為它不會使用 EDR。
注意:其他選項包含在 VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 以及 VMware Carbon Black Cloud Enterprise 中。如需影響 EDR 的其他選項相關資訊,請參閱本文的 Standard、Advanced, 和 Enterprise 一節。
如需詳細資訊,請按一下適當的主題。
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
若要建立權限規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:
- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響包含路徑
\program files\dell\dell data protection\和\programdata\dell\dell data protection\所有磁碟機上的所有檔案。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選擇要強制執行的動作。
注意:
- 在範例影像中,選取允許或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 動作定義:
- 允許 - 允許在指定路徑中的行為,包含關於 VMware Carbon Black Cloud 所記錄動作的資訊。
- 略過 - 允許在指定路徑中的所有行為。不會收集任何資訊。
- 在頁面右上方或底部按一下儲存。
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
若要建立封鎖與隔離規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:
- 範例影像使用的是 excel.exe。
- 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 按一下右上角的儲存。
注意:一旦指定的操作嘗試執行,終止程序就會結束程序。
由於包含 EDR,VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 提供許可權 規則以及 封鎖與隔離規則的選項。
如需詳細資訊,請按一下適當的主題。
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
若要建立權限規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:
- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包括路徑 \program files\dell\dell data protection\ 和 \programdata\dell\dell data protection\ 的所有磁碟機上的所有檔案。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是 %WINDIR% 等環境變數。
- 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選擇要強制執行的動作。
注意:
- 在範例影像中,選取允許、允許和記錄或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 除執行任何操作以外的每個動作都可套用到多項操作嘗試。
- 動作定義:
- 允許 - 允許在指定路徑中的行為;未記錄路徑的任何指定行為。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 允許和記錄 - 允許指定路徑中的行為;所有活動都會記錄下來。所有資料都會報告至 VMware Carbon Black Cloud。
- 略過 - 允許在指定路徑中的所有行為;未記錄任何內容。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 按一下權限底部的確認,以設定原則變更。
- 按一下右上角的儲存。
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
若要建立封鎖與隔離規則:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選取您要修改的原則集合。
注意:範例影像使用 Standard 作為所選要修改的原則集合。
- 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 按一下以展開新增應用程式路徑。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:
- 範例影像使用的是 excel.exe。
- 設定的動作會套用至應用程式,其名稱是從任何目錄執行的 excel.exe。
- VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 支援像是
%WINDIR%等環境變數。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選取要在符合操作嘗試時採取的動作,然後按一下確認。
- 按一下右上角的儲存。
注意:
- 拒絕操作會防止列出的應用程式執行其嘗試執行的指定操作。
- 一旦指定的操作嘗試執行,終止程序就會結束程序。
VMware Carbon Black 會指派一個聲譽至每個已在安裝了感應器的裝置上執行的檔案。預先存在的檔案會以 LOCAL_WHITE 的有效聲譽開始,直到執行為止,或直到背景掃描已處理完成,並提供更明確的聲譽。
請將應用程式新增至聲譽清單或參考聲譽說明。如需詳細資訊,請按一下適當的主題。
您可以透過聲譽頁面或警示頁面,將應用程式新增至聲譽清單中。如需詳細資訊,請按一下適當的選項。
若要透過聲譽頁面將應用程式新增至聲譽清單:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下聲譽。
系統管理員可使用 SHA256 雜湊、IT 工具或簽署認證,將應用程式新增至聲譽清單。如需詳細資訊,請按一下適當的選項。
注意:VMware Carbon Black Cloud 必須透過顯示檔案的方式知道在環境中的檔案,且必須由 VMware Carbon Black Cloud 處理 SHA256 雜湊。在第一次偵測到新的應用程式之後,VMware Carbon Black Cloud 可能需要一段時間才會知道其存在。這可能會導致核准清單或禁止清單不會立即指派至受影響的檔案。
若要手動新增 SHA256 雜湊:
- 按一下新增。
- 從新增聲譽:
- 選取類型的雜湊。
- 為清單選取核准清單或禁止清單。
- 填入 SHA-256 雜湊。
- 填入項目的名稱。
- 或者,填入註解。
- 按一下儲存。
注意:
- 核准清單會自動設定任何受影響和已知的檔案,以擁有公司核准的聲譽。
- 禁止清單會自動設定任何受影響和已知的檔案,以擁有公司禁止的聲譽。
若要手動新增 IT 工具:
- 按一下新增。
- 從新增聲譽:
- 選取類型的 IT 工具。
- 填入相關的受信任 IT 工具的路徑。
- 或者,選取包含所有子處理程序。
- 或者,填入註解。
- 按一下儲存。
注意:
- IT 工具只能新增至核准清單。核准清單會自動設定任何受影響和已知的檔案,以擁有本機白名單的聲譽。
- 此選項包含所有子處理程序備註,如果選取此選項,所有由新定義的受信任 IT 工具的子處理程序放下的檔案,也會收到初始信任。
- IT 工具的相對路徑表示定義的路徑可由定義的路徑設計來完成。
範例:
在下列範例中,受信任 IT 工具的路徑設為:
\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,則排除專案 會成功:
\\server\tools\sharefolder\folder2\application.exeD:\ITTools\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,則排除 專案會失敗:
E:\folder2\application.exeH:\sharefolder\application.exe
在失敗的範例中,路徑無法完全滿足。
若要手動新增簽署認證:
- 按一下新增。
- 從新增聲譽:
- 選取類型的認證。
- 填入簽署者欄位。
- 或者,填入認證機構。
- 或者,填入註解。
- 按一下儲存。
注意:
- 簽署認證只能新增至核准清單。核准清單會自動設定任何受影響和已知的檔案,以擁有本機白名單的聲譽。
- 如需新增聲譽簽署認證的詳細資訊,請參閱如何將簽署認證新增至 VMware Carbon Black Cloud 聲譽清單。
若要透過警示頁面將應用程式新增至聲譽清單:
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 按一下警示。
- 選取您要核准應用程式的警示旁邊的 V 形箭號。
- 在「補救」小節中,按一下全部顯示。
- 按一下以將檔案新增至禁止清單或核准清單,視雜湊為不受信任或受信任而定。
注意:您可以新增簽署認證,讓共用此認證的其他應用程式自動新增至本機核准清單。
| 優先順序 | 聲譽 | 聲譽搜尋值 | 描述名稱 |
|---|---|---|---|
| 1 | 略過 | 略過 | Carbon Black Cloud 指派給產品檔案的自我檢查聲譽,並授予他們完整的執行權限。
|
| 2 | 公司核准清單 | COMPANY_WHITE_LIST | 前往強制執行 > 聲譽,手動新增到公司核准清單中的雜湊 |
| 3 | 公司禁止清單 | COMPANY_BLACK_LIST | 前往強制執行 > 聲譽,手動新增到公司禁止清單中的雜湊 |
| 4 | 信任的核准清單 | TRUSTED_WHITE_LIST | Carbon Black 從雲端、本機掃描器或兩者中已知良好 |
| 5 | 已知的惡意軟體 | KNOWN_MALWARE | Carbon Black 從雲端、本機掃描器或兩者中已知不良 |
| 6 | 可疑/啟發式惡意軟體 | SUSPECT_MALWARE HEURISTIC | Carbon Black 偵測到的可疑惡意軟體,但不一定是惡意的 |
| 7 | 廣告軟體/PUP 惡意軟體 | 廣告軟體 PUP | Carbon Black 偵測到的廣告軟體和可能不需要的程式 |
| 8 | 本機白名單 | LOCAL_WHITE | 檔案已符合下列任何條件:
|
| 9 | 常見核准清單 | COMMON_WHITE_LIST | 檔案已符合下列任何條件:
|
| 10 | 未列出/可自我調整核准清單 | NOT_LISTEDADAPTIVE_WHITE_LIST | 未列出的聲譽表示感應器檢查本機掃描器或雲端的應用程式雜湊後,找不到其任何相關記錄,也未列在聲譽資料庫中。
|
| 11 | 未知 | 解決中 | 未知的聲譽表示感應器使用的任何聲譽來源均無回應。
|
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Additional Information
Videos
Article Properties
Affected Product
VMware Carbon Black
Last Published Date
04 Jan 2023
Version
32
Article Type
How To