제외, 지표 및 기타 기술을 사용하여 엔드포인트용 Microsoft Defender 원치 않는 동작 해결
엔드포인트용 Defender의 기본 기능은 악의적인 프로세스 및 파일에 대한 액세스를 방지하고 검색하는 것입니다. 엔드포인트용 Defender는 기본적으로 보안 설정 및 정책에서 생산성을 유지하면서 organization 사용자를 위협으로부터 보호할 수 있도록 설계되었습니다. 경우에 따라 다음과 같은 원치 않는 동작이 발생할 수 있습니다.
- 가양성: 가양성 은 엔터티가 위협이 아니더라도 파일 또는 프로세스와 같은 엔터티가 검색되고 악의적인 것으로 식별되는 경우입니다.
- 성능 저하: 엔드포인트용 Defender의 특정 기능을 사용하도록 설정하면 애플리케이션에서 성능 문제가 발생합니다.
- 애플리케이션 비호환성: 엔드포인트용 Defender의 특정 기능이 사용하도록 설정된 경우 애플리케이션이 제대로 작동하지 않습니다.
이 문서에서는 이러한 유형의 원치 않는 동작을 해결하는 방법을 설명하고 몇 가지 예제 시나리오를 포함합니다.
참고
표시기 또는 제외를 만드는 것은 예기치 않은 동작의 근본 원인을 철저히 이해한 후에만 고려해야 합니다.
엔드포인트용 Defender를 사용하여 원치 않는 동작을 해결하는 방법
높은 수준에서 엔드포인트용 Defender에서 원치 않는 동작을 해결하는 일반적인 프로세스는 다음과 같습니다.
원치 않는 동작을 일으키는 기능을 식별합니다. 엔드포인트용 Defender에서 Microsoft Defender 바이러스 백신, 엔드포인트 검색 및 응답, 공격 표면 감소, 제어된 폴더 액세스 등의 잘못된 구성이 있는지 알아야 합니다. Microsoft Defender 포털 또는 디바이스에서 정보를 사용하여 결정을 내릴 수 있습니다.
위치 수행할 작업 Microsoft Defender 포털 다음 작업 중 하나 이상을 수행하여 무슨 일이 일어나고 있는지 식별합니다.
- 경고 조사
- 고급 헌팅 사용
- 보고서 보기디바이스에서 다음 단계 중 하나 이상을 수행하여 문제를 식별합니다.
- 성능 분석기 도구 사용
- 이벤트 로그 및 오류 코드 검토
- 보호 기록 확인이전 단계의 결과에 따라 다음 작업 중 하나 이상을 수행할 수 있습니다.
- Microsoft Defender 포털에서 경고 표시 안 함
- 사용자 지정 수정 작업 정의
- 분석을 위해 Microsoft에 파일 제출
- Microsoft Defender 바이러스 백신에 대한 제외 정의
- 엔드포인트용 Defender에 대한 표시기 만들기
변조 방지는 제외를 수정하거나 추가할 수 있는지 여부에 영향을 줍니다. 변조 방지가 켜져 있으면 어떻게 되나요?를 참조하세요.
변경 내용이 문제를 해결했는지 확인합니다.
원치 않는 동작의 예
이 섹션에는 제외 및 표시기를 사용하여 해결할 수 있는 몇 가지 예제 시나리오가 포함되어 있습니다. 제외에 대한 자세한 내용은 제외 개요를 참조하세요.
애플리케이션이 실행될 때 Microsoft Defender 바이러스 백신에 의해 앱이 검색됩니다.
이 시나리오에서는 사용자가 특정 애플리케이션을 실행할 때마다 바이러스 백신을 잠재적인 위협으로 Microsoft Defender 애플리케이션이 검색됩니다.
해결 방법: 엔드포인트용 Microsoft Defender 대한 "허용" 표시기를 만듭니다. 예를 들어 파일의 "허용" 표시기(예: 실행 파일)를 만들 수 있습니다. 파일에 대한 표시기 만들기를 참조하세요.
애플리케이션이 실행될 때 Microsoft Defender 바이러스 백신에서 자체 서명된 사용자 지정 앱이 검색됩니다.
이 시나리오에서는 잠재적인 위협으로 바이러스 백신을 Microsoft Defender 사용자 지정 앱을 검색합니다. 앱은 주기적으로 업데이트되며 자체 서명됩니다.
해결 방법: 인증서 또는 파일에 대한 "허용" 표시기를 만듭니다. 다음 문서를 참조하세요.
사용자 지정 앱은 애플리케이션이 실행될 때 악성으로 검색되는 파일 형식 집합에 액세스합니다.
이 시나리오에서 사용자 지정 앱은 집합 파일 형식에 액세스하고 애플리케이션이 실행될 때마다 Microsoft Defender 바이러스 백신에 의해 집합이 악성으로 검색됩니다.
관찰 방법: 애플리케이션이 실행되면 바이러스 백신을 동작 모니터링 검색으로 Microsoft Defender 의해 검색됩니다.
해결 방법: 와일드카드를 포함할 수 있는 파일 또는 경로 제외와 같은 Microsoft Defender 바이러스 백신에 대한 제외를 정의합니다. 또는 사용자 지정 파일 경로 제외를 정의합니다. 다음 문서를 참조하세요.
바이러스 백신을 "동작" 검색으로 Microsoft Defender 애플리케이션을 검색합니다.
이 시나리오에서는 애플리케이션이 위협이 아니더라도 특정 동작으로 인해 Microsoft Defender 바이러스 백신에 의해 애플리케이션이 검색됩니다.
해결 방법: 프로세스 제외를 정의합니다. 다음 문서를 참조하세요.
앱은 잠재적으로 원치 않는 애플리케이션(PUA)으로 간주됩니다.
이 시나리오에서는 앱이 PUA로 검색되고 앱이 실행되도록 허용하려고 합니다.
해결 방법: 앱에 대한 제외를 정의합니다. 다음 문서를 참조하세요.
앱이 보호된 폴더에 쓸 수 없습니다.
이 시나리오에서는 합법적인 앱이 제어된 폴더 액세스로 보호되는 폴더에 쓰지 못하도록 차단됩니다.
해결 방법: 제어된 폴더 액세스를 위해 "허용됨" 목록에 앱을 추가합니다. 특정 앱이 제어된 폴더를 변경하도록 허용을 참조하세요.
타사 앱이 Microsoft Defender 바이러스 백신에 의해 악성으로 검색됨
이 시나리오에서는 위협이 아닌 타사 앱이 검색되고 Microsoft Defender 바이러스 백신에 의해 악의적인 것으로 식별됩니다.
해결 방법: 분석을 위해 앱을 Microsoft에 제출합니다. 분석을 위해 Microsoft에 파일을 제출하는 방법을 참조하세요.
엔드포인트용 Defender에서 앱이 잘못 검색되고 악성으로 식별됨
이 시나리오에서는 엔드포인트용 Defender의 공격 표면 감소 규칙에 의해 합법적인 앱이 검색되고 악의적인 것으로 식별됩니다. 사용자가 앱을 사용할 때마다 앱 및 다운로드한 콘텐츠는 공격 표면 감소 규칙인 JavaScript 차단 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단됩니다.
해결 방법:
Microsoft Defender 포털에서 보고서로 이동합니다. 보고서에서보안 보고서를 선택합니다.
디바이스까지 아래로 스크롤하여 공격 표면 감소 카드를 찾습니다. 자세한 내용은 공격 표면 감소 규칙 보고서를 참조하세요.
정보를 사용하여 제외할 파일 및 폴더 위치를 식별합니다.
제외를 추가합니다. 파일 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.
다른 앱을 시작하는 매크로가 포함된 Word 템플릿이 차단됩니다.
이 시나리오에서는 사용자가 매크로가 포함된 Microsoft Word 템플릿을 사용하여 만든 문서를 열고 해당 매크로가 다른 애플리케이션을 시작할 때마다 공격 표면 감소 규칙 Office 매크로에서 Win32 API 호출 차단은 Microsoft Word 차단합니다.
해결 방법:
Microsoft Defender 포털에서 보고서로 이동합니다. 보고서에서보안 보고서를 선택합니다.
디바이스까지 아래로 스크롤하여 공격 표면 감소 카드를 찾습니다. 자세한 내용은 공격 표면 감소 규칙 보고서를 참조하세요.
정보를 사용하여 제외할 파일 및 폴더 위치를 식별합니다.
제외를 추가합니다. 파일 확장명 및 폴더 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.