Como usar o firewall baseado em host do VMware Carbon Black Cloud

Summary: O firewall baseado em host do VMware Carbon Black é usado pela configuração de regras de firewall.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produtos afetados:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Versões afetadas:

  • Sensor do Windows 3.9 ou superior

Sistemas operacionais afetados:

  • Windows
Nota: Para obter mais informações sobre as versões do VMware Carbon Black Cloud, consulte Quais são as diferenças entre as versões do VMware Carbon Black Cloud.

Regras de firewall baseadas em host

Uma regra de firewall é composta por uma ação e um objeto. As ações disponíveis são:

  • Permitir: Permite o tráfego de rede
  • Ação Block: Bloqueia o tráfego de rede
  • Bloco e alerta: Bloqueia o tráfego de rede e envia um alerta para a página Alerts

As regras de firewall são baseadas na avaliação dos seguintes tipos de objetos:

  • Local (computador cliente)
  • Remoto (computador que se comunica com o computador cliente)
Nota: O host local é sempre o computador cliente instalado por sensor. O host remoto é qualquer computador ou dispositivo com o qual se comunica. Essa expressão da relação do host é independente da direção do tráfego.
  • Endereço IP e intervalos de sub-rede
  • Faixas de portas ou portas
  • Protocolo (TCP, UDP, ICMP)
  • Direção (entrada e saída)
  • Aplicativo, determinado pelo caminho do arquivo

As regras de firewall podem ser combinadas no que é chamado de grupo de regras de firewall. Um grupo de regras de firewall é um conjunto lógico de regras de firewall que simplifica o gerenciamento de várias regras individuais em um único grupo que tem uma finalidade compartilhada (por exemplo, várias regras para controlar o acesso aos servidores FTP).

Os grupos de regras e regras são definidos em políticas, e as políticas são atribuídas aos ativos.

Precedência da regra

Ao criar e aplicar regras, lembre-se da seguinte ordem de precedência:

  • As regras de bypass têm precedência sobre todas as outras regras. Por isso, as regras de Firewall baseadas em host têm precedência menor do que as regras bypass.
  • As regras de Firewall baseadas em host têm precedência maior do que as regras permissions definidas como Allow ou Allow & Log.
Nota: Uma regra bypass de permissão no nível do processo não apenas ignora o processo especificado pela regra, mas também ignora qualquer um de seus processos filhos.

As condições existentes do sensor podem afetar a imposição de regras. Por exemplo, o sensor pode estar no modo de bypass ou em quarentena, ou os aplicativos podem ser bloqueados. O Firewall baseado em host do Carbon Black Cloud mantém a ação pretendida da regra, conforme especificado pelo usuário, embora a regra possa tomar uma ação real diferente quando ela for imposta com base na condição do sensor.

Por exemplo:

Modo sensor Ação de firewall baseada em host pretendida Permissão pretendida ou regra de bloqueio e isolamento Ação real Resumo
Quarentena Qualquer um Qualquer um Bloquear As regras de block de quarentena substituem as regras e a permissão do Firewall baseado em host.
Ignorar Qualquer um Qualquer um Permitir Como o sensor está no modo bypass, a regra firewall baseado em host é ineficaz.
Ativa Qualquer um Ignorar o nível do processo Permitir Processos ignorados e seus descendentes não são bloqueados por regras de firewall baseadas em host.
Ativa Bloquear Permitir, Permitir e Registrar Bloquear As regras de firewall baseadas em host têm precedência sobre regras de permissão não ignorada.
Ativa Permitir Bloquear Bloquear O firewall baseado em host que permite uma conexão não impede que uma regra de bloqueio e isolamento de rede seja imposta.

Usando o Firewall baseado em host do Carbon Black Cloud

Esta seção fornece uma visão geral de alto nível sobre como criar e executar regras de firewall.

  1. Selecione uma política à qual adicionar regras de firewall.
  2. Defina a regra padrão (Allow all ouBlock all).
  3. Crie um grupo de regras e preencha-o com regras de firewall.
  4. Visualize, crie e modifique grupos de regras e regras conforme necessário.
  5. Alterne Firewall baseado em host para Ativado na guia Sensor.
  6. Teste as regras.
Nota: Você só pode testar uma regra quando seu status estiver definido como Disabled.
  1. Analise o resultado das regras. Os dados da regra de teste são exibidos na página Investigar.
  2. Modifique as regras conforme necessário e teste novamente até que as regras executem conforme o esperado.
  3. Interrompa as regras de teste que são verificadas para serem executadas conforme o esperado e defina seu statuscomo Enabled.
  4. Se você tiver desabilitado isso durante as modificações, alterne Firewall baseado em host para Ativado naguia Sensor.
  5. Visualize eventos e alertas relacionados ao firewall nas páginas Investigate e Alerts, respectivamente.
  6. Continue modificando as regras conforme necessário. Associação de grupos de regras ordenados (classificados) a políticas de segurança; grupos de regras podem ser reutilizadas em políticas de segurança.
    • As regras são avaliadas em ordem de precedência definida pelo usuário.
    • Capacidade de testar regras antes da imposição.
    • Contagem de comportamentos bloqueados pela política de firewall baseado em host.
    • Visibilidade da postura de segurança dos ativos por meio das páginas Alerts e Investigate no console do Carbon Black Cloud.
Nota: O complemento firewall baseado em host do Carbon Black Cloud requer o sensor do Windows v3.9 e superior.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000214381
Article Type: How To
Last Modified: 31 May 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.