如何為 VMware Carbon Black Cloud 建立排除項目或包含項目
摘要: 瞭解如何依照下列逐步指示,設定 VMware Carbon Black 的排除項目和包含項目。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
VMware Carbon Black 使用聲譽和權限規則來處理新一代防毒軟體 (NGAV) 排除項目 (核准清單) 與包含項目 (禁止清單)。VMware Carbon Black Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 使用端點偵測與回應 (EDR)。EDR 也會受到聲譽和權限規則影響。本文會引導系統管理員設定這些值,以及可能相關的任何注意事項。
受影響的產品:
- VMware Carbon Black Cloud Prevention
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
受影響的作業系統:
- Windows
- Mac
- Linux
VMware Carbon Black 導入第 3 部份:原則與群組
持續時間:上午 03:37
隱藏式輔助字幕:提供多種語言版本
VMware Carbon Black Cloud 使用原則與聲譽的結合來決定要進行哪些操作。
如需詳細資訊,請按一下適當的主題。
原則
VMware Carbon Black Cloud Prevention原則不同於 VMware Carbon Black Cloud Standard、Advanced 和 Enterprise 的原則。如需詳細資訊,請按一下適當的產品。
Prevention
VMware Carbon Black Cloud Prevention 提供 權限規則 和 封鎖與隔離規則 簡化的方法,因為它不會使用 EDR。
注意:其他選項包含在 VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 以及 VMware Carbon Black Cloud Enterprise 中。如需影響 EDR 的其他選項相關資訊,請參閱本文的 Standard、Advanced, 和 Enterprise 一節。
如需詳細資訊,請按一下適當的主題。
權限規則
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包含路徑的所有磁碟機上的所有檔案
\program files\dell\dell data protection\和\programdata\dell\dell data protection\。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用下列路徑:
- 選擇要強制執行的動作。
注意:- 在範例影像中,選取允許或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 動作定義:
- 允許 - 允許在指定路徑中的行為,包含關於 VMware Carbon Black Cloud 所記錄動作的資訊。
- 略過 - 允許在指定路徑中的所有行為。不會收集任何資訊。
- 在頁面右上方或底部按一下儲存。
封鎖與隔離規則
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:- 範例影像使用
excel.exe。 - 設定的操作適用於具有名稱的應用程式
excel.exe從任何目錄運行。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用
- 按一下右上角的儲存。
注意:一旦指定的操作嘗試執行,終止程序就會結束程序。
Standard、Advanced 和 Enterprise
VMware Carbon Black Cloud Standard、VMware Carbon Black Cloud Advanced 和 VMware Carbon Black Cloud Enterprise 提供 有權限規則的選項,以及 封鎖與隔離規則,因為包含 EDR。
如需詳細資訊,請按一下適當的主題。
權限規則
權限規則決定在指定路徑可執行的作業應用程式。
權限規則以路徑為基礎,並優先於封鎖和隔離規則以及聲譽。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開權限。
- 按一下以展開新增應用程式路徑。
- 填入預期的路徑,以設定略過開啟。
注意:- 範例影像使用下列路徑:
*:\program files\dell\dell data protection\***:\programdata\dell\dell data protection\**
- 在此範例中,套用的動作會影響到包含路徑的所有磁碟機上的所有檔案
\program files\dell\dell data protection\和\programdata\dell\dell data protection\。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (
*) 與同一目錄中的所有字元匹配。 - 雙星號 (
**) 匹配同一目錄、多個目錄中的所有字元以及指定位置或檔上方或下方的所有目錄。 - 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 範例影像使用下列路徑:
- 選擇要強制執行的動作。
注意:- 在範例影像中,選取允許、允許和記錄或略過時,會以不同的動作進行操作嘗試。
- 選取執行任何操作的操作嘗試時,這會覆寫任何其他操作嘗試,並停用其他任何選項的選取。
- 除執行任何操作以外的每個動作都可套用到多項操作嘗試。
- 動作定義:
- 允許 - 允許在指定路徑中的行為;未記錄路徑的任何指定行為。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 允許和記錄 - 允許指定路徑中的行為;所有活動都會記錄下來。所有資料都會報告至 VMware Carbon Black Cloud。
- 略過 - 允許在指定路徑中的所有行為;未記錄任何內容。沒有任何資料傳送至 VMware Carbon Black Cloud。
- 按一下權限底部的確認,以設定原則變更。
- 按一下右上角的儲存。
封鎖與隔離規則
封鎖與隔離規則是以路徑為基礎的規則,優先於聲譽。封鎖與隔離規則可讓我們在嘗試執行特定操作時設定「拒絕操作」或「終止程序」動作。
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下原則。
- 選擇要修改的策略集。
注意:範例影像使用 Standard 作為所選要修改的原則集合。 - 在右側功能表窗格中,按一下 Prevention。
- 按一下以展開封鎖和隔離。
- 按一下以展開新增應用程式路徑。
- 填入應用程式路徑,以設定封鎖和隔離規則開啟。
注意:- 範例影像使用的是 excel.exe。
- 設定的操作適用於具有名稱的應用程式
excel.exe從任何目錄運行。 - VMware Carbon Black 的權限清單採用 glob 型格式化結構。
- 環境變數,例如
%WINDIR%都受支援。 - 一個星號 (*) 與同一目錄中的所有字元相符。
- 兩個星號 (**) 符合相同目錄、多個目錄中的所有字元,以及指定位置或檔案上方或下方的所有目錄。
- 範例:
- Windows:
**\powershell.exe - Mac:
/Users/*/Downloads/**
- Windows:
- 選取要在符合操作嘗試時採取的動作,然後按一下確認。
- 按一下右上角的儲存。
注意:- 拒絕操作會防止列出的應用程式執行其嘗試執行的指定操作。
- 一旦指定的操作嘗試執行,終止程序就會結束程序。
聲譽
VMware Carbon Black 會指派一個聲譽至每個已在安裝了感應器的裝置上執行的檔案。預先存在的檔案會以有效的聲譽 LOCAL_WHITE 直到運行或直到後台掃描處理完它們並提供更明確的聲譽。
請將應用程式新增至聲譽清單或參考聲譽說明。如需詳細資訊,請按一下適當的主題。
將應用程式新增至聲譽清單
您可以透過聲譽頁面或警示頁面,將應用程式新增至聲譽清單中。如需詳細資訊,請按一下適當的選項。
聲譽頁面
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 在左側功能表窗格中,按一下強制執行。
- 按一下聲譽。
系統管理員可使用 SHA256 雜湊、IT 工具或簽署認證,將應用程式新增至聲譽清單。如需詳細資訊,請按一下適當的選項。
SHA256 雜湊
注意:VMware Carbon Black Cloud 必須透過顯示檔案的方式知道在環境中的檔案,且必須由 VMware Carbon Black Cloud 處理 SHA256 雜湊。在第一次偵測到新的應用程式之後,VMware Carbon Black Cloud 可能需要一段時間才會知道其存在。這可能會導致 核准清單 或 禁止清單 無法立即指派給受影響的檔案。
- 按一下新增。
- 從 新增聲譽:
- 選取類型的雜湊。
- 為清單選取核准清單或禁止清單。
- 填入 SHA-256 雜湊。
- 填入項目的名稱。
- 或者,填入註解。
- 按一下儲存。
注意:- 核准清單 會自動設定任何受影響和已知的檔案,以擁有 公司核准的聲譽。
- 禁止清單 會自動設定任何受影響和已知的檔案,以擁有 公司禁止的聲譽。
IT 工具
- 按一下新增。
- 從 新增聲譽:
- 選取類型的IT 工具。
- 填入相關的受信任 IT 工具的路徑。
- 或者,選取包含所有子處理程序。
- 或者,填入註解。
- 按一下儲存。
注意:- IT 工具只能新增至核准清單。核准清單 會自動設定任何受影響和已知的檔案,以擁有 本機白名單的聲譽。
- 此選項包含所有子處理程序備註,如果選取此選項,所有由新定義的受信任 IT 工具的子處理程序放下的檔案,也會收到初始信任。
- IT 工具的相對路徑表示定義的路徑可由定義的路徑設計來完成。
範例:
在下列範例中,受信任 IT 工具的路徑設為:
\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,排除會成功:
\\server\tools\sharefolder\folder2\application.exeD:\ITTools\sharefolder\folder2\application.exe
如果系統管理員嘗試在這些位置執行檔案,排除會失敗:
E:\folder2\application.exeH:\sharefolder\application.exe
在失敗的範例中,路徑無法完全滿足。
簽署認證
- 按一下新增。
- 從 新增聲譽:
- 選取類型的認證。
- 填入簽署者欄位。
- 或者,填入認證機構。
- 或者,填入註解。
- 按一下儲存。
注意:
- 簽署認證只能新增至核准清單。核准清單 會自動設定任何受影響和已知的檔案,以擁有 本機白名單的聲譽。
- 如需新增聲譽簽署認證的詳細資訊,請參閱如何將簽署認證新增至 VMware Carbon Black Cloud 聲譽清單。
警示頁面
- 在網頁瀏覽器中,前往 [REGION].conferdeploy.net。
注意:[REGION] = 租戶的地區
- 登入 VMware Carbon Black Cloud。
- 按一下警示。
- 選取警示旁邊的 V 形箭號以核准應用程式。
- 在「補救」小節下,按一下全部顯示。
- 按一下以將檔案新增至禁止清單或核准清單,視雜湊為不受信任或受信任而定。
注意:您可以新增簽署認證,讓共用此認證的其他應用程式自動新增至本機核准清單。
聲譽說明
| 優先順序 | 聲譽 | 聲譽搜尋值 | 說明 |
|---|---|---|---|
| 1 | 略過 | IGNORE |
Carbon Black Cloud 指派給產品檔案的自我檢查聲譽,並授予他們完整的執行權限。
|
| 2 | 公司核准清單 | COMPANY_WHITE_LIST |
透過強制執行,然後前往聲譽,手動新增到公司核准清單中的雜湊 |
| 3 | 公司禁止清單 | COMPANY_BLACK_LIST |
透過強制執行,然後前往聲譽,手動新增到公司禁止清單中的雜湊 |
| 4 | 信任的核准清單 | TRUSTED_WHITE_LIST |
Carbon Black 從雲端、本機掃描器或兩者中已知良好 |
| 5 | 已知的惡意軟體 | KNOWN_MALWARE |
Carbon Black 從雲端、本機掃描器或兩者中已知不良 |
| 6 | 可疑/啟發式惡意軟體 | SUSPECT_MALWARE HEURISTIC |
Carbon Black 偵測到的可疑惡意軟體,但不一定是惡意的 |
| 7 | 廣告軟體/PUP 惡意軟體 | ADWARE PUP |
Carbon Black 偵測到的廣告軟體和可能不需要的程式 |
| 8 | 本機白名單 | LOCAL_WHITE |
檔案已符合下列任何條件:
|
| 9 | 常見核准清單 | COMMON_WHITE_LIST |
檔案已符合下列任何條件:
|
| 10 | 未列出/可自我調整核准清單 | NOT_LISTEDADAPTIVE_WHITE_LIST |
未列出的聲譽表示感應器檢查本機掃描器或雲端的應用程式雜湊後,找不到其任何相關記錄,也未列在聲譽資料庫中。
|
| 11 | 未知 | RESOLVING |
未知的聲譽表示感應器使用的任何聲譽來源均無回應。
|
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
其他資訊
影片
受影響的產品
VMware Carbon Black文章屬性
文章編號: 000182859
文章類型: How To
上次修改時間: 15 7月 2025
版本: 33
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。