Carbon Black Cloud はファイルのレピュテーションを割り当て、ファイルの信頼レベルまたは不信レベルを識別します。
ファイルに対するレピュテーションを割り当てる方法は、レピュテーションの優先順位、ファイルのタイプ、
Endpoint Standard 構成、ファイルの実行レベルによって異なります。
| ファイルのタイプ | Endpoint Standard 構成 | ファイルの実行状態 |
|---|---|---|
|
|
レピュテーションの優先順位
アプリケーションは複数のレピュテーションを持つことができます。レピュテーションの数は、センサーが同じ SHA256 ファイルのレピュテーションをキャッシュするために使用するさまざまなソースの数によって異なります。たとえば、クラウドからの 1 つのレピュテーションと、ローカル スキャナからの 1 つのレピュテーションと、既存のレピュテーションを 1 つ持つことができます。
表は、アプリケーションごとに複数のレピュテーションがある場合に、
Carbon Black Cloud がレピュテーションを使用する順序を一覧表示しています。レピュテーションの優先度は降順で、
1 が最高で
11 が最低になります。
レピュテーション ソース CLOUD は、クラウド データベースとアンチウイルス(ローカル スキャナ)を表します。
重要:
Carbon Black Cloud は、
ブラックリストと
ホワイトリストという用語を
禁止リストと
承認リストに置き換えます。API、TTP、およびレピュテーションの用語の更新に先立って、通知が提供されます。
| 優先度 | レピュテーション | レピュテーションの検索値 | レピュテーション ソース | 説明 |
|---|---|---|---|---|
| 1 | Ignore | IGNORE | IGNORE | これは、Carbon Black Cloud が製品ファイルに割り当て、実行するための完全な権限を付与するセルフチェック レピュテーションです。
重要: Carbon Black によって署名されたファイルにのみ、
[Ignore] のステータスが割り当てられます。Carbon Black によって署名されていない無視されたファイルには、追加の関心を向ける必要があります。
|
| 2 | Company Approved List | COMPANY_WHITE_LIST | HASH_REP | 優先順位の低いレピュテーションをオーバーライドする特定のハッシュが含まれています。コンソール管理者として、SHA-256 ハッシュを使用してアプリケーションを割り当てることで、アプリケーションを会社の承認リストのレピュテーションに手動で追加します。詳細については、承認済みリストへの追加 を参照してください。 |
| 3 | Company Banned List | COMPANY_BLACK_LIST | HASH_REP | 選択した組織に固有です。会社の禁止リストのレピュテーションは、悪意のある動作または不当な動作を示し、優先順位の低いレピュテーションをオーバーライドする特定のハッシュが含まれます。会社の禁止リストに手動で追加する SHA-256 ハッシュは、アプリケーションをそのレピュテーションに割り当てます。詳細については、禁止リストへの追加 を参照してください。 |
| 4 | Trusted Approved List | TRUSTED_WHITE_LIST | CLOUD, APPROVED_DATABASE | Carbon Black Analytics と脅威インテリジェンス フィードは、信頼済みの承認リストのレピュテーションを決定します。このレピュテーションは、ハッシュが既知の良好なファイルであることを示しており、Carbon Black Cloud またはローカル スキャナによって割り当てられます。ここで、VMware Carbon Black が管理するリスト上の発行者と CA によってファイルに署名します。 |
| 5 | Known Malware | KNOWN_MALWARE | CLOUD, AV | Carbon Black Analytics と脅威インテリジェンス フィードは、既知のマルウェアのレピュテーションを決定します。このレピュテーションは、アプリケーションが既知のマルウェアであることを示しており、Carbon Black Cloud またはローカル スキャナによって割り当てられます。 |
| 6 | Suspect Malware Heuristic |
SUSPECT_MALWARE HEURISTIC |
CLOUD, AV | Carbon Black Analytics と脅威インテリジェンス フィードは、疑わしいマルウェアのレピュテーションを決定します。このレピュテーションは、アプリケーションが疑わしいマルウェアであることを示しており、Carbon Black Cloud またはローカル スキャナによって割り当てられます。分析では、ファイルが良好かマルウェアかを判断できません。レピュテーションは、さらなる分析またはレピュテーション ソースを使用して更新できます。 |
| 7 | Adware/PUP Malware | ADWARE PUP |
CLOUD, AV | Carbon Black Analytics と脅威インテリジェンス フィードは、アドウェア/PUP マルウェアのレピュテーションを決定します。このレピュテーションは、ハッシュ/アプリケーションが PUP (アドウェアまたはポップアップの潜在的な不要プログラムのステータス) に設定されていることを示します。 |
| 8 | Local White | LOCAL_WHITE | CERT PRE_EXISTING IT_TOOLS |
Local White レピュテーションは、次のタイプのファイルに割り当てられます。
Local White のレピュテーションは会社固有であり、次のいずれかの方法で割り当てることができます。
|
| 9 | Common Approved List | COMMON_WHITE_LIST | CLOUD, AV | Carbon Black Cloud とローカル スキャナは、次のいずれかの方法でこのレピュテーションを割り当てます。
分析後、ハッシュ レピュテーションはすべての組織にわたって信頼済みと判断されます。 |
| 10 | Not Listed/Adaptive Approved List | NOT_LISTED ADAPTIVE_WHITE_LIST |
CLOUD, AV | Not Listed のレピュテーションは、センサーがローカル スキャナまたはクラウドを使用してアプリケーション ハッシュをチェックした後、レコードが見つからないことを示します。これはレピュテーション データベースにリストされていません。Carbon Black Cloud は、ハッシュが以前に識別されていない場合は、Not Listed のレピュテーションをファイルに割り当て、ファイルが既知の不良ファイルでない場合はローカル スキャナによって割り当てられます。このレピュテーションはゼロデイ マルウェアからの保護に役立ち、新しいハッシュ/更新されたアプリケーションに割り当てられます。 適応承認リストは、分析後、ハッシュ レピュテーションが信頼できないと判断したことを示します。完全に検査されているわけではないため、すべての組織で完全に信頼されるには追加情報が必要です。 |
| 11 | Unknown | RESOLVING | CLOUD, AV | Unknown のレピュテーションは、センサーが使用するレピュテーション ソースからの応答がないことを示します。Unknown のレピュテーションはすべての新しいファイル、センサーがローカルスキャナ機能を有効にしておらずクラウドへのネットワーク接続がない場合はデバイスにドロップされたアプリケーションに割り当てられます。レピュテーションは、どちらのソースからも確立できません。 |
