VMware Carbon Black Cloudの除外またはインクルージョンを作成する方法

摘要: 次の手順に従って、VMware Carbon Blackの除外と包含を構成する方法について説明します。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

VMware Carbon Blackは、レピュテーションと権限のルールを使用して、次世代ウイルス対策(NGAV)の除外(承認リスト)とインクルージョン(禁止リスト)を処理します。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterpriseは、エンドポイントでの検出と対応(EDR)を利用します。EDRは、レピュテーションと権限のルールにも影響します。この記事では、管理者がこれらの値と、関連する可能性のあるすべての注意事項を設定する方法について説明します。

対象製品:

  • VMware Carbon Black Cloud Prevention
  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

対象オペレーティング システム:

  • Windows
  • Mac
  • Linux

VMware Carbon Blackオンボーディング パート3:ポリシーとグループ

再生時間:3:37
字幕:複数の言語で使用できます

VMware Carbon Black Cloudは、ポリシーレピュテーションの組み合わせを使用して、どのような操作を実行するかを決定します。

詳細については、該当するトピックをクリックしてください。

Policies

VMware Carbon Black Cloud Preventionポリシーは、VMware Carbon Black Cloud Standard、Advanced、およびEnterpriseのポリシーとは異なります。詳細については、該当する製品をクリックしてください。

防止

VMware Carbon Black Cloud PreventionはEDRを使用しないため、 権限ルールブロックおよび分離ルール に対して合理化されたアプローチを提供します。

注:VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterprise内に追加のオプションが含まれています。EDRに影響するその他のオプションの詳細については、この記事の「Standard、Advanced、Enterprise」セクションを参照してください。

詳細については、該当するトピックをクリックしてください。

権限ルール

権限ルールは、指定されたパスで実行できる操作アプリケーションを決定します。

権限ルールはパスベースであり、ブロックと分離の両方のルールと、レピュテーションよりも優先されます。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左ペインで、[Enforce]をクリックします。
    Enforce
  4. Policies]をクリックします。
    Policies
  5. 変更するポリシー セットを選択します。
    ポリシー セットの選択
    注:イメージの例では、変更するために選択されたポリシー セットとして [標準 ] が使用されています。
  6. 右側のメニュー ペインで、[Prevention]をクリックします。
    防止
  7. Permissions]をクリックして展開します。
    権限
  8. Add application path]をクリックして展開します。
    アプリケーション パスの追加
  9. バイパスをオンに設定する目的のパスを入力します。
    バイパスの設定
    注:
    • イメージの例では、次のパスを使用しています。
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • この例では、適用されるアクションは、パスを含むすべてのドライブ上のすべてのファイルに影響します \program files\dell\dell data protection\\programdata\dell\dell data protection\の詳細を確認してください。
    • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
    • 環境変数 ( %WINDIR% がサポートされています。
    • 1 つのアスタリスク (*)は、同じディレクトリ内のすべての文字と一致します。
    • 二重アスタリスク (**)は、同じディレクトリー、複数のディレクトリー、および指定された場所またはファイルの上または下のすべてのディレクトリー内のすべての文字と一致します。
    • 例:
      • Windowsの場合: **\powershell.exe
      • Macの場合 /Users/*/Downloads/**
  10. 実施する[Action]を選択します。
    アクションの選択
    注:
    • 画像の例では、[Allow]または[Bypass]のどちらを選択しているかにより、操作の試行のアクションが異なります。
    • Performs any operation]の操作試行が選択されている場合、これは他の操作の試行よりも優先され、その他のオプションの選択は無効になります。
    • アクションの定義:
      • Allow - 指定されたパスの動作を、VMware Carbon Black Cloudによってログに記録されているアクションの情報とともに許可します。
      • Bypass - 指定されたパスですべての動作が許可されます。情報は収集されません。
  11. 右上またはページの下部にある[保存]をクリックします。
    保存
ブロックと分離のルール

ブロックと分離のルールはパスベースであり、レピュテーションよりも優先されます。ブロックと分離のルールを使用すると、特定の操作を試行したときに「Deny operation」アクションまたは「Terminate process」アクションを設定できます。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左ペインで、[Enforce]をクリックします。
    Enforce
  4. Policies]をクリックします。
    Policies
  5. 変更するポリシー セットを選択します。
    ポリシー セットの選択
    注:イメージの例では、変更するために選択されたポリシー セットとして [標準 ] が使用されています。
  6. 右側のメニュー ペインで、[Prevention]をクリックします。
    防止
  7. Blocking and Isolation]をクリックして展開します。
    ブロックと分離
  8. ブロックと分離のルールを設定するには、アプリケーション パスを入力します。
    アプリケーション パスの入力
    注:
    • 画像の例では、 excel.exeの詳細を確認してください。
    • 設定したアクションは、アプリケーションに適用されます。 excel.exe 任意のディレクトリから実行されました。
    • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
    • 環境変数 ( %WINDIR% がサポートされています。
    • 1 つのアスタリスク (*)は、同じディレクトリ内のすべての文字と一致します。
    • 二重アスタリスク (**)は、同じディレクトリー、複数のディレクトリー、および指定された場所またはファイルの上または下のすべてのディレクトリー内のすべての文字と一致します。
    • 例:
      • Windowsの場合: **\powershell.exe
      • Macの場合 /Users/*/Downloads/**
  9. 右上にある[保存]をクリックします。
    保存
    注:Terminate process]は、指定された操作が実行を試みると、プロセスが終了します。

Standard、Advanced、Enterprise

VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced、VMware Carbon Black Cloud Enterpriseには、EDRが含まれているため、 権限ルール、および ブロックと分離のルールを含むオプションが提供されます。

詳細については、該当するトピックをクリックしてください。

権限ルール

権限ルールは、指定されたパスで実行できる操作アプリケーションを決定します。

権限ルールはパスベースであり、ブロックと分離の両方のルールと、レピュテーションよりも優先されます。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左ペインで、[Enforce]をクリックします。
    Enforce
  4. Policies]をクリックします。
    Policies
  5. 変更するポリシー セットを選択します。
    ポリシー セットの選択
    注:イメージの例では、変更するために選択されたポリシー セットとして [標準 ] が使用されています。
  6. 右側のメニュー ペインで、[Prevention]をクリックします。
    防止
  7. Permissions]をクリックして展開します。
    権限
  8. Add application path]をクリックして展開します。
    アプリケーション パスの追加
  9. バイパスをオンに設定する目的のパスを入力します。
    パスの入力
    注:
    • イメージの例では、次のパスを使用しています。
      • *:\program files\dell\dell data protection\**
      • *:\programdata\dell\dell data protection\**
    • この例では、適用されるアクションは、パスを含むすべてのドライブ上のすべてのファイルに影響します \program files\dell\dell data protection\\programdata\dell\dell data protection\の詳細を確認してください。
    • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
    • 環境変数 ( %WINDIR% がサポートされています。
    • 1 つのアスタリスク (*)は、同じディレクトリ内のすべての文字と一致します。
    • 二重アスタリスク (**)は、同じディレクトリー、複数のディレクトリー、および指定された場所またはファイルの上または下のすべてのディレクトリー内のすべての文字と一致します。
    • 例:
      • Windowsの場合: **\powershell.exe
      • Macの場合 /Users/*/Downloads/**
  10. 実施する[Action]を選択します。
    アクションの選択
    注:
    • イメージの例では、[Allow]、[Allow and Log]、または[Bypass]のいずれかを選択することにより、操作の試行に異なるアクションが与えられます。
    • Performs any operation]の操作試行が選択されている場合、これは他の操作の試行よりも優先され、その他のオプションの選択は無効になります。
    • Performs any operation]を除くすべてのアクションは、複数の操作の試行に適用できます。
    • アクションの定義:
      • Allow - 指定されたパスの動作を許可します。パスに指定されたどの動作も記録されません。VMware Carbon Black Cloudにデータは送信されません。
      • Allow and Log - 指定されたパスでの動作を許可します。すべてのアクティビティーがログに記録されます。すべてのデータは、VMware Carbon Black Cloudにレポートされます。
      • Bypass - 指定されたパスですべての動作が許可されます。何も記録されません。VMware Carbon Black Cloudにデータは送信されません。
  11. Permissions]の下にある[Confirm]をクリックして、ポリシーの変更を設定します。
    [Confirm]
  12. 右上にある[保存]をクリックします。
    保存
ブロックと分離のルール

ブロックと分離のルールはパスベースであり、レピュテーションよりも優先されます。ブロックと分離のルールを使用すると、特定の操作を試行したときに「Deny operation」アクションまたは「Terminate process」アクションを設定できます。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左ペインで、[Enforce]をクリックします。
    Enforce
  4. Policies]をクリックします。
    Policies
  5. 変更するポリシー セットを選択します。
    ポリシー セットの選択
    注:イメージの例では、変更するために選択されたポリシー セットとしてStandardが使用されています。
  6. 右側のメニュー ペインで、[Prevention]をクリックします。
    防止
  7. Blocking and Isolation]をクリックして展開します。
    ブロックと分離
  8. Add application path]をクリックして展開します。
    アプリケーション パスの追加
  9. ブロックと分離のルールを設定するには、アプリケーション パスを入力します。
    アプリケーション パスの入力
    注:
    • イメージの例では、excel.exeを使用しています。
    • 設定したアクションは、アプリケーションに適用されます。 excel.exe 任意のディレクトリから実行されました。
    • VMware Carbon Blackの権限リストは、globベースのフォーマット構造を活用します。
    • 環境変数 ( %WINDIR% がサポートされています。
    • 単一のアスタリスク(*)は、同じディレクトリー内のすべての文字と一致します。
    • ダブル アスタリスク(**)は、同じディレクトリー内のすべての文字、複数のディレクトリー、および指定された場所またはファイルの上位または下位のすべてのディレクトリーと一致します。
    • 例:
      • Windowsの場合: **\powershell.exe
      • Macの場合 /Users/*/Downloads/**
  10. 操作の試行が行われたときに実行するアクションを選択し、[Confirm]をクリックします。
    アクションの選択
  11. 右上にある[保存]をクリックします。
    保存
    注:
    • Deny operation]は、リストされたアプリケーションが、指定の操作を実行できないようにします。
    • Terminate process]は、指定された操作が実行を試みると、プロセスが終了します。

レピュテーション

VMware Carbon Blackは、センサーがインストールされているデバイス上で実行されるすべてのファイルにレピュテーションを割り当てます。既存のファイルは、効果的なレピュテーション LOCAL_WHITE 実行されるまで、またはバックグラウンド スキャンによって処理され、より明確なレピュテーションが得られるまで。

アプリケーションの[Reputations]リストへの追加」、または「レピュテーションの説明」を参照してください。詳細については、該当するトピックをクリックしてください。

アプリケーションの[Reputations]リストへの追加

[Reputations]ページまたは[アラート]ページのいずれかを使用して、アプリケーションを[Reputations]ページに追加することができます。詳細については、該当するオプションをクリックしてください。

[Reputations]ページ
  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左ペインで、[Enforce]をクリックします。
    Enforce
  4. Reputation]をクリックします。
    レピュテーション

管理者は、SHA256ハッシュITツール署名証明書を使用して、アプリケーションを[Reputations]リストに追加することができます。詳細については、該当するオプションをクリックしてください。

SHA256ハッシュ
注:ファイルは、環境内で検出されたVMware Carbon Black Cloud、およびVMware Carbon Black Cloudによって処理されているSHA256ハッシュによって認識される必要があります。新しいアプリケーションは、最初に検出されてからVMware Carbon Black Cloudに認識されるまでに時間がかかる場合があります。これにより、 承認リスト または 禁止リスト が影響を受けるファイルにすぐに割り当てられない可能性があります。
  1. [Add](追加)をクリックします。
    追加
  2. [Add Reputation]から:
    1. タイプにはHashを選択します。
    2. リスト[Approved List]または[Banned List]のいずれかを選択します。
    3. SHA-256 hash]を入力します。
    4. エントリーの[Name]を入力します。
    5. 必要に応じて、[コメント]を入力します。
    6. Save(保存)」をクリックします。
    [Add Reputation]メニュー
    注:
    • 承認リストは 、影響を受ける既知のファイルを自動的に設定して 、会社の承認済みというレピュテーションを得ます。
    • 禁止リスト は、影響を受ける既知のファイルを自動的に設定して 、Company Bannedのレピュテーションを得ます。
ITツール
  1. [Add](追加)をクリックします。
    追加
  2. [Add Reputation]から:
    1. タイプには[IT Tools]を選択します。
    2. 信頼できるITツールの相対パスを入力します。
    3. オプションとして、[Include all child processes]を選択します。
    4. 必要に応じて、[コメント]を入力します。
    5. Save(保存)」をクリックします。
    [Add Reputation]メニュー
    注:
    • ITツールは、承認リストにのみ追加できます。承認リスト は、影響を受ける既知のファイルを自動的に設定して 、Local Whiteのレピュテーションを得ます。
    • Include all child processes]オプションを選択すると、新たに定義された信頼できるITツールの子プロセスによってドロップされたすべてのファイルも最初の信頼を受け取ることに注意してください。
    • ITツールの相対パスは、定義されたパスによって定義されたパスを満たすことを意味します。

Example:

以下の例では、[Path of trusted IT tool]は、次のように設定されています。

  • \sharefolder\folder2\application.exe

管理者がこれらの場所でファイルを実行しようとすると、除外は成功します。

  • \\server\tools\sharefolder\folder2\application.exe
  • D:\ITTools\sharefolder\folder2\application.exe

管理者がこれらの場所でファイルを実行しようとすると、除外は失敗します。

  • E:\folder2\application.exe
  • H:\sharefolder\application.exe

失敗の例では、パスを完全に満たすことはできません。

署名証明書
  1. [Add](追加)をクリックします。
    追加
  2. [Add Reputation]から:
    1. タイプにはCertsを選択します。
    2. Signed by]フィールドにデータを入力します。
    3. 必要に応じて、[認証局]を入力します。
    4. 必要に応じて、[コメント]を入力します。
    5. Save(保存)」をクリックします。

[Add Reputation]メニュー

注:
[アラート]ページ
  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. アラート]をクリックします。
    警告
  4. アラートの横にある山形を選択して、アプリケーションを承認します。
    アラートの選択
  5. [修復]サブセクションですべて表示をクリックします。
    [Show all]
  6. これをクリックして、ファイルを禁止リストに追加するか、ハッシュが信頼されているかどうかに応じて承認リストに追加します。
    禁止リストまたは承認リストへのファイルの追加
    注:署名証明書を追加して、この証明書を共有する他のアプリケーションがローカル承認リストに自動的に追加されるようにすることができます。

レピュテーションの説明

重大度 レピュテーション レピュテーションの検索値 説明
1 無視 IGNORE Carbon Black Cloudが製品ファイルに割り当て、実行するための完全な権限を付与するセルフチェック レピュテーションです。
  • 最も高い優先度
  • ファイルには、Carbon Black(通常はCarbon Black製品)で実行するフルアクセス権限があります
2 Company Approved List COMPANY_WHITE_LIST [Enforce]、[Reputations]の順に移動して、[Company Approved List]に手動で追加されたハッシュ
3 Company Banned List COMPANY_BLACK_LIST [Enforce]、[Reputations]の順に移動して、会社の禁止リストに手動で追加されたハッシュ
4 Trusted Approved List TRUSTED_WHITE_LIST クラウド、ローカル スキャナー、またはその両方からCarbon Blackによって正常であることが知られている
5 既知のマルウェア KNOWN_MALWARE クラウド、ローカル スキャナー、またはその両方からのCarbon Blackによって不良であることが知られている
6 疑わしい/ヒューリスティック マルウェア SUSPECT_MALWARE HEURISTIC Carbon Blackによって検出されたが、必ずしも悪意があるとは限らない疑わしい/マルウェア
7 アドウェア/PUPマルウェア ADWARE PUP Carbon Blackによって検出されたアドウェアおよび望ましくない可能性のあるプログラム
8 Local White LOCAL_WHITE ファイルは、次のいずれかの条件を満たしています。
  • センサーのインストール前にすでに存在していたファイル
  • ITツールの承認リストに追加されたファイルは、[適用]、[評判]の順に選択して
  • [適用]、[評価]の順に移動して[証明書]の承認済みリストに追加されたファイル
9 Common Approved List COMMON_WHITE_LIST ファイルは、次のいずれかの条件を満たしています。
  • 既知の正常または既知の不良リストにないハッシュで、ファイルが署名されている
  • 以前に分析されたハッシュで、既知の正常または既知の不良リストに含まれていない
10 Not Listed/Adaptive Approved List NOT_LISTEDADAPTIVE_WHITE_LIST Not Listedのレピュテーションは、センサーがローカル スキャナーまたはクラウドを使用してアプリケーション ハッシュをチェックした後、レコードが見つからないことを示します。これはレピュテーション データベースにリストされていません。
  • クラウド: 以前に見られなかったハッシュ
  • ローカル スキャナー:不良であることが知られていない、ポリシーで構成済み
11 不明 RESOLVING Unknownのレピュテーションは、センサーが使用するレピュテーション ソースからの応答がないことを示します。
  • 最低の優先度
  • センサーはファイルのドロップを監視していますが、クラウドまたはローカル スキャナーからのレピュテーションはまだありません

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

其他信息

   

视频

 

受影响的产品

VMware Carbon Black
文章属性
文章编号: 000182859
文章类型: How To
上次修改时间: 15 7月 2025
版本:  33
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。