Como usar o firewall baseado em host do VMware Carbon Black Cloud
Resumo: Saiba como configurar regras de firewall baseadas em host do VMware Carbon Black Cloud, abrangendo ações, objetos, precedência e etapas para usar as regras de firewall.
Instruções
Saiba mais sobre regras de firewall baseadas em host, precedência de regras e configuração do firewall baseado em host do Carbon Black Cloud.
Produtos afetados:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versões afetadas:
- Sensor do Windows 3.9 ou superior
Sistemas operacionais afetados:
- Windows
Regras de firewall baseadas em host
Uma regra de firewall é composta por uma ação e um objeto. As ações disponíveis são:
- Permita: Permite o tráfego de rede
- Bloco: Bloqueia o tráfego de rede
- Bloqueio e alerta: Bloqueia o tráfego de rede e envia um alerta para a página Alerts
As regras de firewall baseiam-se na avaliação dos seguintes tipos de objetos:
- Local (computador cliente)
- Remoto (computador que se comunica com o computador cliente)
Nota: O host local é sempre o computador cliente instalado pelo sensor. O host remoto é qualquer computador ou dispositivo com o qual ele se comunica. Essa expressão da relação de host é independente da direção do tráfego.
- Endereço IP e intervalos de sub-rede
- Intervalos de portas ou portas
- Protocolo (TCP, UDP, ICMP)
- Direção (entrada e saída)
- Aplicativo, determinado pelo caminho do arquivo
As regras de firewall podem ser combinadas em um grupo de regras de firewall. Um grupo de regras de firewall é um conjunto lógico de regras de firewall que simplifica o gerenciamento de várias regras individuais em um único grupo que tem uma finalidade compartilhada (por exemplo, várias regras para controlar o acesso a servidores FTP).
Grupos de regras e regras são definidos em políticas, e as políticas são atribuídas a ativos.
Precedência da regra
Ao criar e aplicar regras, lembre-se da seguinte ordem de precedência:
- As regras de desvio têm precedência sobre todas as outras regras. Por isso, as regras de firewall baseadas em host têm precedência menor do que as regras de desvio.
- As regras de firewall baseadas em host têm precedência maior do que as regras de permissões definidas como Allow ou Allow & Log.
As condições de sensores existentes podem afetar a aplicação de regras. Por exemplo, o sensor pode estar em modo de desvio ou em quarentena, ou os aplicativos podem ser bloqueados. O VMware Carbon Black Cloud Host-Based Firewall mantém a ação pretendida da regra conforme especificado pelo usuário, embora a regra possa executar uma ação real diferente quando aplicada com base na condição do sensor.
Por exemplo:
| Modo do sensor | Ação de firewall baseada em host pretendida | Permissão pretendida ou regra de bloqueio e isolamento | Ação real | Resumo |
|---|---|---|---|---|
| Quarentena | Qualquer um | Qualquer um | Bloquear | As regras de bloqueio de quarentena substituem as regras e a permissão do Firewall baseado em host. |
| Bypass | Qualquer um | Qualquer um | Permitir | Como o sensor está no modo de desvio, a regra de firewall baseado em host é ineficaz. |
| Ativa | Qualquer um | Desvio no nível do processo | Permitir | Os processos ignorados e seus descendentes não são bloqueados pelas regras de firewall baseado em host. |
| Ativa | Bloquear | Permitir, Permitir & Log | Bloquear | As regras de firewall baseadas em host têm precedência sobre as regras de permissão sem bypass. |
| Ativa | Permitir | Bloquear | Bloquear | O firewall baseado em host que permite uma conexão não impede que uma regra de Comunicações pela rede de bloqueio e isolamento seja imposta. |
Como usar o firewall baseado em host do Carbon Black Cloud
Esta seção fornece uma visão geral de alto nível de como criar e executar regras de firewall.
- Selecione uma política à qual adicionar regras de firewall.
- Defina a regra padrão (Permitir todos ou Bloquear tudo).
- Crie um grupo de regras e preencha-o com regras de firewall.
- Visualize, crie e modifique grupos de regras e regras conforme necessário.
- Alterne o firewall baseado em host para Ativado na guia Sensor .
- Teste as regras.
Nota: Você só pode testar uma regra quando seu Status for definido como Disabled.
- Analise o resultado das regras. Os dados da regra de teste são exibidos na página Investigar.
- Modifique as regras conforme necessário e teste novamente até que elas tenham o desempenho esperado.
- Pare de testar as regras que são verificadas para executar conforme o esperado e defina seu Status como Ativado.
- Se você o tiver desativado durante as modificações, alterne Host-Based Firewall para Enabled na guia Sensor .
- Visualize eventos e alertas relacionados ao firewall nas páginas Investigar e Alertas , respectivamente.
- Continue modificando as regras conforme necessário. Associação de grupos de regras ordenadas (classificadas) a políticas de segurança; Os grupos de regras podem ser reutilizados nas políticas de segurança.
- As regras são avaliadas em ordem de precedência definida pelo usuário.
- Capacidade de testar regras antes da imposição.
- Contagem de comportamentos bloqueados pela política de firewall baseada em host.
- Visibilidade da postura de segurança dos ativos por meio das páginas Alertas e Investigação no console do Carbon Black Cloud.
Nota: O complemento Carbon Black Cloud Host-Based Firewall requer o sensor Windows v3.9 e superior.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.