macOS에서 Microsoft Defender 바이러스 백신의 동작 모니터링

적용 대상:

• XDR용 Microsoft Defender
• 엔드포인트용 Microsoft Defender 플랜 2
• 엔드포인트용 Microsoft Defender 플랜 1
• 비즈니스용 Microsoft Defender
• 개인용 Microsoft Defender
• Microsoft Defender 바이러스 백신
• 지원되는 macOS 버전

중요

일부 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 미리 출시된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

동작 모니터링 개요

동작 모니터링은 프로세스 동작을 모니터링하여 시스템 내의 애플리케이션, 디먼 및 파일의 동작에 따라 잠재적 위협을 감지하고 분석합니다. 동작 모니터링은 소프트웨어가 실시간으로 작동하는 방식을 관찰하므로 새롭고 진화하는 위협에 신속하게 적응하고 차단할 수 있습니다.

필수 구성 요소

• 엔드포인트용 Microsoft Defender 디바이스를 온보딩해야 합니다.
• 미리 보기 기능은Microsoft Defender 포털에서 사용하도록 설정해야 합니다.
• 디바이스는 베타 채널 (이전 InsiderFast의 )에 있어야 합니다.
• 최소 엔드포인트용 Microsoft Defender 버전 번호는 베타(Insiders-Fast): 101.24042.0002 이상이어야 합니다. 버전 번호는 (플랫폼 업데이트라고도 함)를 나타냅니다 app_version .
• RTP(실시간 보호)를 사용하도록 설정해야 합니다.
• 클라우드 제공 보호를 사용하도록 설정해야 합니다.
• 디바이스를 미리 보기 프로그램에 명시적으로 등록해야 합니다.

동작 모니터링에 대한 배포 지침

macOS에서 엔드포인트용 Microsoft Defender 동작 모니터링을 배포하려면 다음 방법 중 하나를 사용하여 동작 모니터링 정책을 변경해야 합니다.

• Intune
• JamF 또는 기타 타사 MDM
• 수동으로

다음 섹션에서는 이러한 각 메서드에 대해 자세히 설명합니다.

Intune 배포

1. 다음 XML을 복사하여 .plist 파일을 만들고 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig로 저장합니다.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. 디바이스>구성 프로필을 엽니다.

3. 프로필 만들기를 선택하고 새 정책을 선택합니다.

4. 프로필에 이름을 지정합니다. Platform=macOS를 프로필 형식=템플릿으로 변경하고 템플릿 이름 섹션에서 사용자 지정을 선택합니다. 구성을 선택합니다.

5. 이전에 저장한 plist 파일로 이동하여 로 com.microsoft.wdav.xml저장합니다.

6. 를 사용자 지정 구성 프로필 이름으로 입력 com.microsoft.wdav 합니다.

7. 구성 프로필을 열고 파일을 업로드 com.microsoft.wdav.xml 하고 확인을 선택합니다.

8. 할당관리를> 선택합니다. 포함 탭에서 모든 사용자에게 할당 & 모든 디바이스 또는 디바이스 그룹 또는 사용자 그룹에 할당을 선택합니다.

JamF 배포

1. 다음 XML을 복사하여 .plist 파일을 만들고 BehaviorMonitoring_for_MDE_on_macOS.plist로 저장

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. 컴퓨터>구성 프로필에서 옵션>애플리케이션 & 사용자 지정 설정을 선택합니다.

3. 파일 업로드(.plist 파일)를 선택합니다.

4. 기본 설정 도메인을 com.microsoft.wdav로 설정

5. 이전에 저장된 plist 파일을 업로드합니다.

자세한 내용은 macOS에서 엔드포인트용 Microsoft Defender 대한 기본 설정 설정을 참조하세요.

수동 배포

터미널에서 다음 명령을 실행하여 macOS의 엔드포인트용 Microsoft Defender 동작 모니터링을 사용하도록 설정할 수 있습니다.

sudo mdatp config behavior-monitoring --value enabled

사용하지 않도록 설정하려면 다음을 수행합니다.

sudo mdatp config behavior-monitoring --value disabled

자세한 내용은 macOS에서 엔드포인트용 Microsoft Defender 리소스를 참조하세요.

동작 모니터링(방지/차단) 검색을 테스트하려면

동작 모니터링 데모를 참조하세요.

동작 모니터링 검색 확인

macOS 명령줄 인터페이스의 기존 엔드포인트용 Microsoft Defender 동작 모니터링 세부 정보 및 아티팩트 검토에 사용할 수 있습니다.

sudo mdatp threat list

FAQ(질문과 대답)

CPU 사용률 또는 메모리 사용률이 증가하는 경우 어떻게 해야 하나요?

동작 모니터링을 사용하지 않도록 설정하고 문제가 사라졌는지 확인합니다.

• 문제가 사라지지 않으면 동작 모니터링과 관련이 없습니다.
• 문제가 발생하면 XMDE 클라이언트 분석기를 다운로드한 다음 Microsoft 지원에 문의하세요.

macOS에 대한 네트워크 실시간 검사

중요

일부 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 미리 출시된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

macOS 기능에 대한 NRI(네트워크 실시간 검사)는 파일, 프로세스 및 기타 이벤트와 함께 동작 모니터링을 사용하여 의심스러운 활동을 감지하여 RTP(실시간 보호)를 향상시킵니다. 동작 모니터링은 Microsoft가 클라우드 보호 백 엔드에서 분석하기 위해 의심스러운 파일에 대한 원격 분석 및 샘플 제출을 모두 트리거하고 클라이언트 디바이스로 전달되어 위협이 제거됩니다.

성능에 영향을 주나요?

NRI는 네트워크 성능에 미치는 영향이 낮아야 합니다. NRI는 연결을 유지하고 차단하는 대신 네트워크를 교차할 때 패킷의 복사본을 만들고 NRI는 비동기 검사를 수행합니다.

참고

macOS에 대한 NRI(네트워크 실시간 검사)를 사용하도록 설정하면 메모리 사용률이 약간 증가할 수 있습니다.

macOS용 NRI 요구 사항

• 엔드포인트용 Microsoft Defender 디바이스를 온보딩해야 합니다.
• 미리 보기 기능은 Microsoft Defender 포털에서 켜져 있어야 합니다.
• 디바이스는 베타 채널(이전 InsiderFast의 )에 있어야 합니다.
• 엔드포인트용 Defender 버전 번호의 최소 버전 번호는 베타(Insiders-Fast): 101.24092.0004 이상이어야 합니다. 버전 번호는 (플랫폼 업데이트라고도 함)를 나타냅니다 app version .
• 실시간 보호를 사용하도록 설정해야 합니다.
• 동작 모니터링을 사용하도록 설정해야 합니다.
• 클라우드 제공 보호를 사용하도록 설정해야 합니다.
• 디바이스를 미리 보기에 명시적으로 등록해야 합니다.

macOS용 NRI에 대한 배포 지침

1. macOS에 대한 NRI(네트워크 실시간 검사)를 사용하도록 설정하려는 엔드포인트용 Microsoft Defender OrgID에 대한 정보를 전자 메일로 보내주세요NRIonMacOS@microsoft.com.

   중요

   macOS에 대한 NRI를 평가하려면 에 전자 메일을 NRIonMacOS@microsoft.com보냅니다. 엔드포인트용 Defender 조직 ID를 포함합니다. 각 테넌트마다 요청별로 이 기능을 사용하도록 설정하고 있습니다.

2. 아직 사용하도록 설정되지 않은 경우 동작 모니터링을 사용하도록 설정합니다.

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. 블록 모드에서 네트워크 보호를 사용하도록 설정합니다.

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. NRI(네트워크 실시간 검사 사용):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   참고

   이 기능은 미리 보기 상태이며 명령줄을 사용하여 설정되므로 다시 부팅 후 NRI(네트워크 실시간 검사)가 유지되지 않습니다. 다시 사용하도록 설정해야 합니다.