다음을 통해 공유


Linux의 엔드포인트용 Microsoft Defender 기본 설정

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

중요

이 문서에는 엔터프라이즈 환경에서 Linux의 엔드포인트용 Defender에 대한 기본 설정을 설정하는 방법에 대한 지침이 포함되어 있습니다. 명령줄에서 디바이스에서 제품을 구성하는 데 관심이 있는 경우 리소스를 참조하세요.

엔터프라이즈 환경에서 Linux의 엔드포인트용 Defender는 구성 프로필을 통해 관리할 수 있습니다. 이 프로필은 선택한 관리 도구에서 배포됩니다. 엔터프라이즈에서 관리하는 기본 설정이 디바이스에서 로컬로 설정된 기본 설정보다 우선합니다. 즉, 엔터프라이즈의 사용자는 이 구성 프로필을 통해 설정된 기본 설정을 변경할 수 없습니다. 관리되는 구성 프로필을 통해 제외를 추가한 경우 관리되는 구성 프로필을 통해서만 제거할 수 있습니다. 명령줄은 로컬로 추가된 제외에 대해 작동합니다.

이 문서에서는 이 프로필의 구조(시작하는 데 사용할 수 있는 권장 프로필 포함)와 프로필을 배포하는 방법에 대한 지침을 설명합니다.

구성 프로필 구조

구성 프로필은 .json 키(기본 설정의 이름을 나타내는)로 식별된 항목과 기본 설정의 특성에 따라 달라지는 값으로 구성된 파일입니다. 값은 숫자 값과 같이 단순하거나 기본 설정의 중첩 목록과 같이 복잡할 수 있습니다.

일반적으로 구성 관리 도구를 사용하여 위치에 /etc/opt/microsoft/mdatp/managed/이름이 mdatp_managed.json 인 파일을 푸시합니다.

구성 프로필의 최상위 수준에는 제품 전체 기본 설정 및 제품의 하위 영역에 대한 항목이 포함되며, 다음 섹션에서 자세히 설명합니다.

바이러스 백신 엔진 기본 설정

구성 프로필의 바이러스 백신Engine 섹션은 제품의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.

설명 JSON 값 Defender 포털 값
antivirusEngine 바이러스 백신 엔진
Data type 사전(중첩된 기본 설정) 축소된 섹션
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요. 정책 속성에 대한 설명은 다음 섹션을 참조하세요.

바이러스 백신 엔진에 대한 적용 수준

바이러스 백신 엔진의 적용 기본 설정을 지정합니다. 적용 수준을 설정하기 위한 세 가지 값이 있습니다.

  • 실시간(real_time): 실시간 보호(수정할 때 파일 검색)가 사용하도록 설정됩니다.
  • 주문형(on_demand): 파일은 요청 시만 검사됩니다. 이 예제에서는 다음을 수행합니다.
    • 실시간 보호가 꺼져 있습니다.
    • 정의 업데이트는 가 주문형 모드로 설정된 true 경우에도 automaticDefinitionUpdateEnabled 검사가 시작될 때만 발생합니다.
  • 수동(passive): 수동 모드에서 바이러스 백신 엔진을 실행합니다. 이 경우 다음이 모두 적용합니다.
    • 실시간 보호가 꺼져 있습니다. 위협은 Microsoft Defender 바이러스 백신에 의해 수정되지 않습니다.
    • 주문형 검사가 켜져 있습니다. 엔드포인트에서 검사 기능을 계속 사용합니다.
    • 자동 위협 수정이 꺼져 있습니다. 파일이 이동되지 않으며 보안 관리자가 필요한 조치를 취할 것으로 예상됩니다.
    • 보안 인텔리전스 업데이트가 켜져 있습니다. 경고는 보안 관리자의 테넌트에서 사용할 수 있습니다.
    • 정의 업데이트는 가 수동 모드로 설정된 true 경우에도 automaticDefinitionUpdateEnabled 검사가 시작될 때만 발생합니다.
설명 JSON 값 Defender 포털 값
enforcementLevel 적용 수준
Data type String 드롭다운
사용 가능한 값: real_time
on_demand
passive (기본값)
구성되지 않음
실시간
OnDemand
수동(기본값)

참고

엔드포인트용 Defender 버전 101.10.72 이상에서 사용할 수 있습니다. 엔드포인트용 Defender 버전 이상에서는 기본값 101.23062.0001 이 에서 real_timepassive 로 변경됩니다. 또한 요구 사항에 따라 예약된 검사를 사용하는 것이 좋습니다.

동작 모니터링 사용/사용 안 함

디바이스에서 동작 모니터링 및 차단 기능을 사용할 수 있는지 여부를 결정합니다.

설명 JSON 값 Defender 포털 값
behaviorMonitoring 동작 모니터링 사용
Data type String 드롭다운
사용 가능한 값: disabled (기본값)

enabled

구성되지 않음
사용 안 함(기본값)
사용

참고

엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. 이 기능은 실시간 보호가 사용하도록 설정된 경우에만 적용됩니다.

정의가 업데이트된 후 검사 실행

디바이스에서 새 보안 인텔리전스 업데이트를 다운로드한 후 프로세스 검사를 시작할지 여부를 지정합니다. 이 설정을 사용하도록 설정하면 디바이스의 실행 중인 프로세스에서 바이러스 백신 검사가 트리거됩니다.

설명 JSON 값 Defender 포털 값
scanAfterDefinitionUpdate 정의 업데이트 후 검사 사용
Data type 부울 드롭다운
사용 가능한 값: true (기본값)

false

구성되지 않음
사용 안 함
사용(기본값)

참고

엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. 이 기능은 적용 수준이 로 설정된 경우에만 작동합니다 real-time.

검사 보관 파일(주문형 바이러스 백신 검사만 해당)

주문형 바이러스 백신 검사 중에 보관 파일을 검사할지 여부를 지정합니다.

설명 JSON 값 Defender 포털 값
scanArchives 보관 검색 사용
Data type 부울 드롭다운
사용 가능한 값: true (기본값)

false

구성되지 않음
사용 안 함
사용(기본값)

참고

엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다. 보관 파일은 실시간 보호 중에 검사되지 않습니다. 보관 파일의 파일이 추출되면 검색됩니다. scanArchives 옵션은 주문형 검사 중에만 보관 파일을 강제로 검사하는 데 사용할 수 있습니다.

주문형 검사에 대한 병렬 처리 수준

주문형 검사에 대한 병렬 처리 수준을 지정합니다. 이는 검사를 수행하는 데 사용되는 스레드 수에 해당하며 CPU 사용량과 주문형 검사 기간에 영향을 줍니다.

설명 JSON 값 Defender 포털 값
maximumOnDemandScanThreads 최대 주문형 검사 스레드
Data type 정수 스위치 & 정수 전환
사용 가능한 값: 2(기본값). 허용되는 값은 1에서 64 사이의 정수입니다. 구성되지 않음(기본값을 2로 설정 해제)
구성됨(토글 켜기) 및 1에서 64 사이의 정수입니다.

참고

엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다.

제외 병합 정책

제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(mergeadmin_only)만 조합할 수 있습니다. 관리자 정의(admin_only)는 엔드포인트용 Defender 정책에 의해 구성된 제외입니다. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.

설명 JSON 값 Defender 포털 값
exclusionsMergePolicy 제외 병합
Data type String 드롭다운
사용 가능한 값: merge (기본값)

admin_only

구성되지 않음
merge(기본값)
admin_only

참고

엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. exclusionSettings에서 제외를 구성할 수도 있습니다.

제외 검사

검사에서 제외된 엔터티입니다. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)

설명 JSON 값 Defender 포털 값
제외 제외 검사
Data type 사전(중첩된 기본 설정) 동적 속성 목록
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
제외 유형

검사에서 제외된 콘텐츠의 형식을 지정합니다.

설명 JSON 값 Defender 포털 값
$type 유형
Data type String 드롭다운
사용 가능한 값: excludedPath

excludedFileExtension

excludedFileName

경로
파일 확장명
프로세스 이름
제외된 콘텐츠의 경로

전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.

설명 JSON 값 Defender 포털 값
경로
Data type String String
사용 가능한 값: 유효한 경로 유효한 경로
Comments $typeexcludedPath인 경우에만 적용 가능 편집 instance 팝업에서 액세스
경로 형식(파일/디렉터리)

path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.

설명 JSON 값 Defender 포털 값
isDirectory 디렉터리인가요?
Data type 부울 드롭다운
사용 가능한 값: false (기본값)

true

사용
사용 안 함
Comments $typeexcludedPath인 경우에만 적용 가능 편집 instance 팝업에서 액세스
검사에서 제외된 파일 확장자

파일 확장명별 검색에서 콘텐츠를 제외하는 데 사용됩니다.

설명 JSON 값 Defender 포털 값
확장 파일 확장명
Data type String String
사용 가능한 값: 유효한 파일 확장자 유효한 파일 확장자
Comments $type제외된 경우에만 적용할 수 있습니다FileExtension instance 구성 팝업에서 액세스
검사에서 제외된 프로세스*

모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.

설명 JSON 값 Defender 포털 값
이름 파일 이름
Data type String String
사용 가능한 값: 모든 문자열 모든 문자열
Comments $type제외된 경우에만 적용할 수 있습니다FileName instance 구성 팝업에서 액세스

비 exec 탑재 음소거

noexec로 표시된 탑재 지점에서 RTP의 동작을 지정합니다. 설정에는 다음 두 가지 값이 있습니다.

  • unmuted(unmute): 기본값인 모든 탑재 지점은 RTP의 일부로 검사됩니다.
  • 음소거됨(mute): noexec로 표시된 탑재 지점은 RTP의 일부로 검사되지 않으므로 다음 탑재 지점을 만들 수 있습니다.
    • 데이터베이스 파일을 보관하기 위한 데이터베이스 서버의 데이터베이스 파일입니다.
    • 파일 서버는 noexec 옵션으로 데이터 파일 탑재점을 유지할 수 있습니다.
    • 백업은 noexec 옵션으로 데이터 파일 탑재 지점을 유지할 수 있습니다.
설명 JSON 값 Defender 포털 값
nonExecMountPolicy 실행하지 않는 탑재 음소거
Data type String 드롭다운
사용 가능한 값: unmute (기본값)

mute

구성되지 않음
음소거 해제(기본값)
음소거

참고

엔드포인트용 Defender 버전 101.85.27 이상에서 사용할 수 있습니다.

모니터링 해제 파일 시스템

RTP(실시간 보호)에서 모니터링되지 않음/제외되도록 파일 시스템을 구성합니다. 구성된 파일 시스템은 Microsoft Defender 허용된 파일 시스템 목록에 대해 유효성을 검사합니다. 파일 시스템은 유효성 검사가 성공한 후에만 모니터링할 수 있습니다. 이러한 구성된 모니터링되지 않는 파일 시스템은 Microsoft Defender 바이러스 백신에서 빠른, 전체 및 사용자 지정 검사로 계속 검사됩니다.

설명 JSON 값 Defender 포털 값
unmonitoredFilesystems 모니터링되지 않는 파일 시스템
Data type 문자열 배열 동적 문자열 목록

참고

구성된 파일 시스템은 Microsoft의 허용된 모니터링되지 않는 파일 시스템 목록에 있는 경우에만 모니터링되지 않습니다.

기본적으로 NFS 및 Fuse는 RTP, 빠른 검사 및 전체 검사에서 모니터링되지 않습니다. 그러나 사용자 지정 검사를 통해 검사할 수 있습니다. 예를 들어 모니터링되지 않는 파일 시스템 목록에서 NFS를 제거하려면 아래와 같이 관리되는 구성 파일을 업데이트합니다. 그러면 RTP에 대해 모니터링되는 파일 시스템 목록에 NFS가 자동으로 추가됩니다.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

모니터링되지 않는 파일 시스템 목록에서 NFS 및 Fuse를 모두 제거하려면 다음을 수행합니다.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

참고

RTPbtrfsecryptfsext2에 대해 모니터링되는 파일 시스템의 기본 목록은 , , ext4ext3, fuseblk, jfs, , overlayramfs, tmpfsreiserfs, vfat입니다. xfs

모니터링되는 파일 시스템을 모니터링되지 않는 파일 시스템 목록에 추가해야 하는 경우 클라우드 구성을 통해 Microsoft에서 평가하고 사용하도록 설정해야 합니다. 다음을 수행하여 managed_mdatp.json 해당 파일 시스템을 모니터링 해제하도록 업데이트할 수 있습니다.

파일 해시 계산 기능 구성

파일 해시 계산 기능을 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 검사하는 파일에 대한 해시를 계산합니다. 이 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 자세한 내용은 파일 표시기 만들기를 참조하세요.

설명 JSON 값 Defender 포털 값
enableFileHashComputation 파일 해시 계산 사용
Data type 부울 드롭다운
사용 가능한 값: false (기본값)

true

구성되지 않음
사용 안 함(기본값)
사용

참고

엔드포인트용 Defender 버전 101.85.27 이상에서 사용할 수 있습니다.

허용되는 위협

제품에 의해 차단되지 않고 대신 실행할 수 있는 위협 목록(이름으로 식별됨)입니다.

설명 JSON 값 Defender 포털 값
allowedThreats 허용되는 위협
Data type 문자열 배열 동적 문자열 목록

허용되지 않는 위협 작업

위협이 감지될 때 디바이스의 로컬 사용자가 수행할 수 있는 작업을 제한합니다. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.

설명 JSON 값 Defender 포털 값
disallowedThreatActions 허용되지 않는 위협 작업
Data type 문자열 배열 동적 문자열 목록
사용 가능한 값: allow (사용자가 위협을 허용하지 못하도록 제한)

restore (사용자가 격리에서 위협을 복원하지 못하도록 제한)

허용(사용자가 위협을 허용하지 못하도록 제한)

복원(사용자가 격리에서 위협을 복원하지 못하도록 제한)

참고

엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다.

위협 유형 설정

바이러스 백신 엔진의 threatTypeSettings 기본 설정은 제품에서 특정 위협 유형을 처리하는 방법을 제어하는 데 사용됩니다.

설명 JSON 값 Defender 포털 값
threatTypeSettings 위협 유형 설정
Data type 사전(중첩된 기본 설정) 동적 속성 목록
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요. 동적 속성에 대한 설명은 다음 섹션을 참조하세요.
위협 유형

동작이 구성된 위협 유형입니다.

설명 JSON 값 Defender 포털 값
위협 유형
Data type String 드롭다운
사용 가능한 값: potentially_unwanted_application

archive_bomb

potentially_unwanted_application

archive_bomb

수행할 작업

이전 섹션에 지정된 형식의 위협이 발생할 때 수행할 작업입니다. 다음이 될 수 있습니다.

  • 감사: 디바이스는 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다. 이것이 기본값입니다.
  • 차단: 디바이스는 이러한 유형의 위협으로부터 보호되며 보안 콘솔에서 알림을 받습니다.
  • 끄기: 디바이스는 이러한 유형의 위협으로부터 보호되지 않으며 아무 것도 기록되지 않습니다.
설명 JSON 값 Defender 포털 값
수행할 작업
Data type String 드롭다운
사용 가능한 값: audit (기본값)

block

off

감사

차단

끄기

위협 유형 설정 병합 정책

위협 유형 설정에 대한 병합 정책을 지정합니다. 이는 관리자 정의 설정과 사용자 정의 설정() 또는 관리자 정의 설정(mergeadmin_only)의 조합일 수 있습니다. 관리자 정의(admin_only)는 엔드포인트용 Defender 정책에 의해 구성된 위협 유형 설정입니다. 이 설정을 사용하여 로컬 사용자가 다양한 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.

설명 JSON 값 Defender 포털 값
threatTypeSettingsMergePolicy 위협 형식 설정 병합
Data type String 드롭다운
사용 가능한 값: merge(기본값)

admin_only

구성되지 않음
merge(기본값)
admin_only

참고

엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다.

바이러스 백신 검사 기록 보존(일)

디바이스의 검사 기록에 결과가 보존되는 일 수를 지정합니다. 이전 검사 결과가 기록에서 제거됩니다. 디스크에서 제거된 이전 격리된 파일입니다.

설명 JSON 값 Defender 포털 값
scanResultsRetentionDays 검사 결과 보존
Data type String 스위치 및 정수 토글
사용 가능한 값: 90(기본값). 허용되는 값은 1일에서 180일까지입니다. 구성되지 않음(토글 오프 - 90일 기본값)
구성됨(토글 켜기) 및 허용되는 값 1~180일.

참고

엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다.

바이러스 백신 검사 기록의 최대 항목 수

검사 기록에 유지할 최대 항목 수를 지정합니다. 항목에는 과거에 수행된 모든 주문형 검사와 모든 바이러스 백신 검색이 포함됩니다.

설명 JSON 값 Defender 포털 값
scanHistoryMaximumItems 검사 기록 크기
Data type String 토글 및 정수
사용 가능한 값: 10000(기본값). 허용되는 값은 5000개 항목에서 15000개 항목까지입니다. 구성되지 않음(토글 오프 - 기본값 10000)
5000개에서 15,000개 항목으로 구성된(토글 켜기) 및 허용된 값입니다.

참고

엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다.

제외 설정 기본 설정

Exlusion 설정 기본 설정은 현재 미리 보기로 제공됩니다.

참고

전역 제외는 현재 공개 미리 보기로 제공되며, 참가자 슬로우 및 프로덕션 링의 버전 101.23092.0012 이상부터 엔드포인트용 Defender에서 사용할 수 있습니다.

구성 프로필의 섹션은 exclusionSettings Linux용 엔드포인트용 Microsoft Defender 대한 다양한 제외를 구성하는 데 사용됩니다.

설명 JSON 값
exclusionSettings
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

참고

관리되는 JSON의 (antivirusEngine)에서 이미 구성된 바이러스 백신 제외는 영향을 주지 않고 있는 그대로 계속 작동합니다. 바이러스 백신 제외를 포함한 모든 새 제외는 이 완전히 새로운 섹션(exclusionSettings)에 추가할 수 있습니다. 이 섹션은 나중에 제공되는 모든 유형의 제외를 구성하기 위한 전용으로 (antivirusEngine) 태그 외부에 있습니다. 바이러스 백신 제외를 구성하기 위해 (antivirusEngine)를 계속 사용할 수도 있습니다.

병합 정책

제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(merge)만 조합할 수 있는지 여부를 지정합니다admin_only. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다. 모든 범위를 제외하는 경우 적용됩니다.

설명 JSON 값
mergePolicy
Data type String
사용 가능한 값: merge(기본값)

admin_only

Comments 엔드포인트용 Defender 버전 2023 이상에서 사용할 수 있습니다.

제외

제외해야 하는 엔터티는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. 각 제외 엔터티, 즉 전체 경로, 확장명 또는 파일 이름에는 지정할 수 있는 선택적 scope 있습니다. 지정하지 않으면 이 섹션의 scope 기본값은 전역입니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)

설명 JSON 값
제외
Data type 사전(중첩된 기본 설정)
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
제외 유형

검사에서 제외된 콘텐츠의 형식을 지정합니다.

설명 JSON 값
$type
Data type String
사용 가능한 값: excludedPath

excludedFileExtension

excludedFileName

제외 범위(선택 사항)

제외된 콘텐츠의 exlusion 범위 집합을 지정합니다. 현재 지원되는 범위는 및 global입니다epp.

관리되는 구성 globalexclusionSettings에서 제외에 대해 에 아무것도 지정되지 않은 경우 는 scope 간주됩니다.

참고

관리되는 JSON의 (antivirusEngine)에서 이전에 구성된 바이러스 백신 제외는 계속 작동하며 바이러스 백신 제외로 추가되었으므로 해당 scope (epp)로 간주됩니다.

설명 JSON 값
범위
Data type 문자열 집합
사용 가능한 값: epp

글로벌

참고

(mdatp_managed.json) 또는 CLI를 사용하여 이전에 적용된 제외는 영향을 받지 않습니다. 이러한 제외에 대한 scope (epp)에 추가되었으므로 (antivirusEngine)가 됩니다.

제외된 콘텐츠의 경로

전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.

설명 JSON 값
Data type String
사용 가능한 값: 유효한 경로
Comments $typeexcludedPath인 경우에만 적용됩니다.
제외에 전역이 scope 경우 와일드카드가 지원되지 않습니다.
경로 형식(파일/디렉터리)

path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.

참고

전역 scope 파일 제외를 추가하는 경우 파일 경로가 이미 있어야 합니다.

설명 JSON 값
isDirectory
Data type 부울
사용 가능한 값: false(기본값)

true

Comments $typeexcludedPath인 경우에만 적용됩니다.
제외에 전역이 scope 경우 와일드카드가 지원되지 않습니다.
검사에서 제외된 파일 확장자

파일 확장명별 검색에서 콘텐츠를 제외하는 데 사용됩니다.

설명 JSON 값
확장
Data type String
사용 가능한 값: 유효한 파일 확장자
Comments $typeexcludedFileExtension인 경우에만 적용됩니다.
제외에 전역이 scope 경우 지원되지 않습니다.
검사에서 제외된 프로세스*

모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.

설명 JSON 값
이름
Data type String
사용 가능한 값: 모든 문자열
Comments $typeexcludedFileName인 경우에만 적용됩니다.
제외에 전역 scope 있는 경우 와일드카드 및 프로세스 이름이 지원되지 않습니다. 전체 경로를 제공해야 합니다.

고급 검사 옵션

특정 고급 검사 기능을 사용하도록 다음 설정을 구성할 수 있습니다.

참고

이러한 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 따라서 기본값을 유지하는 것이 좋습니다.

파일 수정 권한 이벤트의 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 실행 비트를 설정하기 위해 권한이 변경된 경우 파일을 검색합니다.

참고

이 기능은 기능이 사용하도록 설정된 경우에만 enableFilePermissionEvents 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
scanFileModifyPermissions 사용할 수 없음
Data type 부울 해당 없음
사용 가능한 값: false(기본값)

true

해당 없음

참고

엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.

파일 수정 소유권 이벤트 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 소유권이 변경된 파일을 검색합니다.

참고

이 기능은 기능이 사용하도록 설정된 경우에만 enableFileOwnershipEvents 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
scanFileModifyOwnership 사용할 수 없음
Data type 부울 해당 없음
사용 가능한 값: false(기본값)

true

해당 없음

참고

엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.

원시 소켓 이벤트 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 원시 소켓/패킷 소켓 만들기 또는 소켓 옵션 설정과 같은 네트워크 소켓 이벤트를 검사합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다. 이 기능은 기능이 사용하도록 설정된 경우에만 enableRawSocketEvent 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
scanNetworkSocketEvent 사용할 수 없음
Data type 부울 해당 없음
사용 가능한 값: false(기본값)

true

해당 없음

참고

엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.

클라우드 제공 보호 기본 설정

구성 프로필의 cloudService 항목은 제품의 클라우드 기반 보호 기능을 구성하는 데 사용됩니다.

참고

클라우드 제공 보호는 모든 적용 수준 설정(real_time, on_demand, 수동)에 적용됩니다.

설명 JSON 값 Defender 포털 값
cloudService 클라우드 제공 보호 기본 설정
Data type 사전(중첩된 기본 설정) 축소된 섹션
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요. 정책 설정에 대한 설명은 다음 섹션을 참조하세요.

클라우드 제공 보호 사용/사용 안 함

디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부를 결정합니다. 서비스의 보안을 개선하려면 이 기능을 계속 켜두는 것이 좋습니다.

설명 JSON 값 Defender 포털 값
활성화됨 클라우드 제공 보호 사용
Data type 부울 드롭다운
사용 가능한 값: true (기본값)

false

구성되지 않음
사용 안 함
사용(기본값)

진단 수집 수준

진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다. 이 설정은 제품에서 Microsoft로 보낸 진단 수준을 결정합니다. 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 개인 정보를 참조하세요.

설명 JSON 값 Defender 포털 값
diagnosticLevel 진단 데이터 수집 수준
Data type String 드롭다운
사용 가능한 값: optional

required (기본값)

구성되지 않음
optional(기본값)
필수

클라우드 블록 수준 구성

이 설정은 엔드포인트용 Defender가 의심스러운 파일을 차단하고 검사하는 데 얼마나 적극적인지를 결정합니다. 이 설정이 켜진 경우 엔드포인트용 Defender는 차단하고 스캔할 의심스러운 파일을 식별할 때 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 더 적은 빈도로 차단하고 스캔합니다.

클라우드 블록 수준을 설정하기 위한 5가지 값은 다음과 같습니다.

  • 보통(normal): 기본 차단 수준입니다.
  • 보통(moderate): 높은 신뢰도 검색에 대해서만 평결을 제공합니다.
  • 높음(high): 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 높음).
  • High Plus(high_plus): 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있음).
  • 무관용(zero_tolerance): 알 수 없는 모든 프로그램을 차단합니다.
설명 JSON 값 Defender 포털 값
cloudBlockLevel 클라우드 블록 수준 구성
Data type String 드롭다운
사용 가능한 값: normal (기본값)

moderate

high

high_plus

zero_tolerance

구성되지 않음
보통(기본값)
보통
높음
High_Plus
Zero_Tolerance

참고

엔드포인트용 Defender 버전 101.56.62 이상에서 사용할 수 있습니다.

자동 샘플 제출 사용/사용 안 함

의심스러운 샘플(위협을 포함할 가능성이 있음)이 Microsoft로 전송되는지 여부를 결정합니다. 샘플 제출을 제어하는 세 가지 수준이 있습니다.

  • 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
  • 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 설정의 기본값입니다.
  • 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.
설명 JSON 값 Defender 포털 값
automaticSampleSubmissionConsent 자동 샘플 제출 사용
Data type String 드롭다운
사용 가능한 값: none

safe (기본값)

all

구성되지 않음
없음
안전(기본값)
전체

자동 보안 인텔리전스 업데이트 사용/사용 안 함

보안 인텔리전스 업데이트가 자동으로 설치되는지 여부를 결정합니다.

설명 JSON 값 Defender 포털 값
automaticDefinitionUpdateEnabled 자동 보안 인텔리전스 업데이트
Data type 부울 드롭다운
사용 가능한 값: true (기본값)

false

구성되지 않음
사용 안 함
사용(기본값)

적용 수준에 따라 자동 보안 인텔리전스 업데이트가 다르게 설치됩니다. RTP 모드에서는 업데이트가 주기적으로 설치됩니다. 수동/주문형 모드 업데이트는 모든 검사 전에 설치됩니다.

고급 선택적 기능

특정 고급 기능을 사용하도록 다음 설정을 구성할 수 있습니다.

참고

이러한 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 기본값을 유지하는 것이 좋습니다.

설명 JSON 값 Defender 포털 값
기능 사용할 수 없음
Data type 사전(중첩된 기본 설정) n/a
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.

모듈 로드 기능

모듈 로드 이벤트(공유 라이브러리의 파일 열기 이벤트)를 모니터링할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
moduleLoad 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다.

보조 센서 구성

다음 설정을 사용하여 특정 고급 보조 센서 기능을 구성할 수 있습니다.

설명 JSON 값 Defender 포털 값
supplementarySensorConfigurations 사용할 수 없음
Data type 사전(중첩된 기본 설정) n/a
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요.
파일 수정 권한 이벤트의 모니터링 구성

파일 수정 권한 이벤트(chmod)를 모니터링할지 여부를 결정합니다.

참고

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 파일의 실행 비트에 대한 변경 내용을 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 고급 검사 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
enableFilePermissionEvents 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.
파일 수정 소유권 이벤트의 모니터링 구성

파일 수정 소유권 이벤트(chown)를 모니터링할지 여부를 결정합니다.

참고

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 파일 소유권에 대한 변경 내용을 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 고급 검사 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
enableFileOwnershipEvents 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.
원시 소켓 이벤트 모니터링 구성

원시 소켓/패킷 소켓 생성 또는 소켓 옵션 설정과 관련된 네트워크 소켓 이벤트를 모니터링할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 이러한 네트워크 소켓 이벤트를 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 위의 고급 검사 기능 섹션을 참조하세요.

설명 JSON 값 Defender 포털 값
enableRawSocketEvent 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.
부팅 로더 이벤트 모니터링 구성

부팅 로더 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
enableBootLoaderCalls 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다.
ptrace 이벤트 모니터링 구성

ptrace 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
enableProcessCalls 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다.
pseudofs 이벤트의 모니터링 구성

pseudofs 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
enablePseudofsCalls 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다.
eBPF를 사용하여 모듈 로드 이벤트 모니터링 구성

eBPF를 사용하여 모듈 로드 이벤트를 모니터링하고 검사하는지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
enableEbpfModuleLoadEvents 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다.

EDR에 AV 의심스러운 이벤트 보고

바이러스 백신의 의심스러운 이벤트가 EDR에 보고되는지 여부를 확인합니다.

설명 JSON 값 Defender 포털 값
sendLowfiEvents 사용할 수 없음
Data type String n/a
사용 가능한 값: disabled(기본값)

활성화됨

n/a
Comments 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.

네트워크 보호 구성

다음 설정을 사용하여 네트워크 보호에서 검사되는 트래픽을 제어하는 고급 네트워크 보호 검사 기능을 구성할 수 있습니다.

참고

이러한 기능을 적용하려면 네트워크 보호를 켜야 합니다. 자세한 내용은 Linux용 네트워크 보호 설정을 참조하세요.

설명 JSON 값 Defender 포털 값
networkProtection 네트워크 보호
Data type 사전(중첩된 기본 설정) 축소된 섹션
Comments 사전 내용에 대한 설명은 다음 섹션을 참조하세요. 정책 설정에 대한 설명은 다음 섹션을 참조하세요.

적용 수준

설명 JSON 값 Defender 포털 값
enforcementLevel 적용 수준
Data type String 드롭다운
사용 가능한 값: disabled (기본값)
audit
block
구성되지 않음
disabled(기본값)
감사
차단

ICMP 검사 구성

ICMP 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

참고

이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.

설명 JSON 값 Defender 포털 값
disableIcmpInspection 사용할 수 없음
Data type 부울 n/a
사용 가능한 값: true (기본값)

false

n/a
Comments 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다.

시작하려면 엔터프라이즈에서 엔드포인트용 Defender에서 제공하는 모든 보호 기능을 활용하려면 다음 구성 프로필을 사용하는 것이 좋습니다.

다음 구성 프로필:

  • RTP(실시간 보호) 사용
  • 다음 위협 유형을 처리하는 방법을 지정합니다.
    • PUA(사용자 동의 없이 설치된 애플리케이션) 가 차단됨
    • 보관 폭탄 (압축 속도가 높은 파일)은 제품 로그에 감사됩니다.
  • 자동 보안 인텔리전스 업데이트 사용
  • 클라우드 제공 보호 사용
  • 수준에서 자동 샘플 제출을 safe 사용하도록 설정

샘플 프로필

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

전체 구성 프로필 예제

다음 구성 프로필에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 제품에 대한 더 많은 제어를 원하는 고급 시나리오에 사용할 수 있습니다.

참고

이 JSON의 프록시 설정만으로 모든 엔드포인트용 Microsoft Defender 통신을 제어할 수 없습니다.

전체 프로필

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

구성 프로필에 태그 또는 그룹 ID 추가

명령을 처음 실행 mdatp health 하면 태그 및 그룹 ID의 값이 비어 있습니다. 파일에 태그 또는 그룹 ID를 mdatp_managed.json 추가하려면 다음 단계를 수행합니다.

  1. 경로 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json에서 구성 프로필을 엽니다.

  2. 블록이 있는 cloudService 파일의 맨 아래로 이동합니다.

  3. 에 대한 닫는 중괄호 끝에 다음 예제와 같이 필요한 태그 또는 그룹 ID를 cloudService추가합니다.

    },
    "cloudService": {
     "enabled": true,
     "diagnosticLevel": "optional",
     "automaticSampleSubmissionConsent": "safe",
     "automaticDefinitionUpdateEnabled": true,
     "proxy": "http://proxy.server:port/"
    },
    "edr": {
    "groupIds":"GroupIdExample",
    "tags": [
             {
             "key": "GROUP",
             "value": "Tag"
             }
           ]
       }
    }
    

참고

블록 끝에 있는 닫는 중괄호 뒤에 쉼표를 추가합니다 cloudService . 또한 태그 또는 그룹 ID 블록을 추가한 후 두 개의 닫는 중괄호가 있는지 확인합니다(위의 예제 참조). 현재 태그에 대해 지원되는 유일한 키 이름은 입니다 GROUP.

구성 프로필 유효성 검사

구성 프로필은 유효한 JSON 형식의 파일이어야 합니다. 이를 확인하는 데 사용할 수 있는 많은 도구가 있습니다. 예를 들어 디바이스에 설치한 경우 python :

python -m json.tool mdatp_managed.json

JSON이 올바른 형식인 경우 위의 명령은 이를 터미널로 다시 출력하고 의 0종료 코드를 반환합니다. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령은 의 1종료 코드를 반환합니다.

mdatp_managed.json 파일이 예상대로 작동하는지 확인

/etc/opt/microsoft/mdatp/managed/mdatp_managed.json 제대로 작동하는지 확인하려면 다음 설정 옆에 "[관리]"가 표시됩니다.

  • cloud_enabled
  • cloud_automatic_sample_submission_consent
  • passive_mode_enabled
  • real_time_protection_enabled
  • automatic_definition_update_enabled

참고

대부분의 구성을 변경하여 적용하려면 mdatp 디먼을 mdatp_managed.json 다시 시작할 필요가 없습니다. 예외: 다음 구성을 적용하려면 디먼을 다시 시작해야 합니다.

  • cloud-diagnostic
  • log-rotation-parameters

구성 프로필 배포

엔터프라이즈에 대한 구성 프로필을 빌드한 후에는 엔터프라이즈에서 사용하는 관리 도구를 통해 배포할 수 있습니다. Linux의 엔드포인트용 Defender는 파일에서 관리되는 구성을 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 읽습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.