Linux의 엔드포인트용 Microsoft Defender 기본 설정
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
중요
이 항목에는 엔터프라이즈 환경에서 Linux의 엔드포인트용 Defender에 대한 기본 설정을 설정하는 방법에 대한 지침이 포함되어 있습니다. 명령줄에서 디바이스에서 제품을 구성하는 데 관심이 있는 경우 리소스를 참조하세요.
엔터프라이즈 환경에서 Linux의 엔드포인트용 Defender는 구성 프로필을 통해 관리할 수 있습니다. 이 프로필은 선택한 관리 도구에서 배포됩니다. 엔터프라이즈에서 관리하는 기본 설정이 디바이스에서 로컬로 설정된 기본 설정보다 우선합니다. 즉, 엔터프라이즈의 사용자는 이 구성 프로필을 통해 설정된 기본 설정을 변경할 수 없습니다. 관리되는 구성 프로필을 통해 제외를 추가한 경우 관리되는 구성 프로필을 통해서만 제거할 수 있습니다. 명령줄은 로컬로 추가된 제외에 대해 작동합니다.
이 문서에서는 이 프로필의 구조(시작하는 데 사용할 수 있는 권장 프로필 포함)와 프로필을 배포하는 방법에 대한 지침을 설명합니다.
구성 프로필 구조
구성 프로필은 키(기본 설정의 이름을 나타내는)로 식별되는 항목과 기본 설정의 특성에 따라 달라지는 값으로 구성된 .json 파일입니다. 값은 숫자 값과 같이 단순하거나 기본 설정의 중첩 목록과 같이 복잡할 수 있습니다.
일반적으로 구성 관리 도구를 사용하여 위치에 /etc/opt/microsoft/mdatp/managed/이름이 mdatp_managed.json 인 파일을 푸시합니다.
구성 프로필의 최상위 수준에는 제품 전체 기본 설정 및 제품의 하위 영역에 대한 항목이 포함되며, 다음 섹션에서 자세히 설명합니다.
바이러스 백신 엔진 기본 설정
구성 프로필의 바이러스 백신Engine 섹션은 제품의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | antivirusEngine |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
바이러스 백신 엔진에 대한 적용 수준
바이러스 백신 엔진의 적용 기본 설정을 지정합니다. 적용 수준을 설정하기 위한 세 가지 값이 있습니다.
- 실시간(
real_time): 실시간 보호(수정할 때 파일 검색)가 사용하도록 설정됩니다. - 주문형(
on_demand): 파일은 요청 시만 검사됩니다. 이 예제에서는 다음을 수행합니다.- 실시간 보호가 꺼져 있습니다.
- 수동(
passive): 수동 모드에서 바이러스 백신 엔진을 실행합니다. 이 예제에서는 다음을 수행합니다.- 실시간 보호가 꺼져 있습니다. 위협은 Microsoft Defender 바이러스 백신에 의해 수정되지 않습니다.
- 주문형 검사가 켜져 있습니다. 엔드포인트에서 검사 기능을 계속 사용합니다.
- 자동 위협 수정이 해제됨: 파일이 이동되지 않으며 보안 관리자가 필요한 조치를 취할 것으로 예상됩니다.
- 보안 인텔리전스 업데이트가 켜져 있습니다. 경고는 보안 관리자 테넌트에서 사용할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | enforcementLevel |
| Data type | String |
| 사용 가능한 값: | real_time on_demand 수동(기본값) |
| Comments | 엔드포인트용 Defender 버전 101.10.72 이상에서 사용할 수 있습니다. 엔드포인트 버전 101.23062.0001 이상에서는 기본값이 real_time 에서 수동으로 변경됩니다. |
동작 모니터링 사용/사용 안 함
디바이스에서 동작 모니터링 및 차단 기능을 사용할 수 있는지 여부를 결정합니다.
참고
이 기능은 Real-Time 보호 기능을 사용하는 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | behaviorMonitoring |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
정의가 업데이트된 후 검사 실행
디바이스에서 새 보안 인텔리전스 업데이트를 다운로드한 후 프로세스 검사를 시작할지 여부를 지정합니다. 이 설정을 사용하도록 설정하면 디바이스의 실행 중인 프로세스에서 바이러스 백신 검사가 트리거됩니다.
| 설명 | 값 |
|---|---|
| 키 | scanAfterDefinitionUpdate |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
| Comments | 엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
검사 보관 파일(주문형 바이러스 백신 검사만 해당)
주문형 바이러스 백신 검사 중에 보관 파일을 검사할지 여부를 지정합니다.
참고
보관 파일은 실시간 보호 중에 검사되지 않습니다. 보관 파일의 파일이 추출되면 검색됩니다. scanArchives 옵션은 주문형 검사 중에만 보관 파일을 강제로 검사하는 데 사용할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | scanArchives |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
| Comments | 엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
주문형 검사에 대한 병렬 처리 수준
주문형 검사에 대한 병렬 처리 수준을 지정합니다. 이는 검사를 수행하는 데 사용되는 스레드 수에 해당하며 CPU 사용량과 주문형 검사 기간에 영향을 줍니다.
| 설명 | 값 |
|---|---|
| 키 | maximumOnDemandScanThreads |
| Data type | 정수 |
| 사용 가능한 값: | 2(기본값). 허용되는 값은 1에서 64 사이의 정수입니다. |
| Comments | 엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
제외 병합 정책
제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(mergeadmin_only)만 조합할 수 있습니다. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | exclusionsMergePolicy |
| Data type | String |
| 사용 가능한 값: | merge(기본값) admin_only |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
제외 검사
검사에서 제외된 엔터티입니다. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)
| 설명 | 값 |
|---|---|
| 키 | 제외 |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
제외 유형
검사에서 제외된 콘텐츠의 형식을 지정합니다.
| 설명 | 값 |
|---|---|
| 키 | $type |
| Data type | String |
| 사용 가능한 값: | excludedPath excludedFileExtension excludedFileName |
제외된 콘텐츠의 경로
전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | 경로 |
| Data type | String |
| 사용 가능한 값: | 유효한 경로 |
| Comments | $typeexcludedPath인 경우에만 적용 가능 |
경로 형식(파일/디렉터리)
path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.
| 설명 | 값 |
|---|---|
| 키 | isDirectory |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | $typeexcludedPath인 경우에만 적용 가능 |
검사에서 제외된 파일 확장자
파일 확장명별 검색에서 콘텐츠를 제외하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | 확장 |
| Data type | String |
| 사용 가능한 값: | 유효한 파일 확장자 |
| Comments | $type제외된 경우에만 적용할 수 있습니다FileExtension |
검사에서 제외된 프로세스*
모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | 이름 |
| Data type | String |
| 사용 가능한 값: | 모든 문자열 |
| Comments | $type제외된 경우에만 적용할 수 있습니다FileName |
비 Exec 탑재 음소거
noexec로 표시된 탑재 지점에서 RTP의 동작을 지정합니다. 설정에는 다음 두 가지 값이 있습니다.
- unmuted(
unmute): 기본값인 모든 탑재 지점은 RTP의 일부로 검사됩니다. - 음소거됨(
mute): noexec로 표시된 탑재 지점은 RTP의 일부로 검사되지 않으므로 다음 탑재 지점을 만들 수 있습니다.- 데이터베이스 서버의 데이터베이스 파일은 데이터 기본 파일을 유지합니다.
- 파일 서버는 noexec 옵션으로 데이터 파일 탑재점을 유지할 수 있습니다.
- 백업은 noexec 옵션으로 데이터 파일 탑재점을 유지할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | nonExecMountPolicy |
| Data type | String |
| 사용 가능한 값: | 음소거 해제(기본값) 음소거 |
| Comments | 엔드포인트용 Defender 버전 101.85.27 이상에서 사용할 수 있습니다. |
모니터링 해제 파일 시스템
RTP(실시간 보호)에서 모니터링되지 않음/제외되도록 파일 시스템을 구성합니다. 구성된 파일 시스템은 Microsoft Defender 허용된 파일 시스템 목록에 대해 유효성을 검사합니다. 성공적인 유효성 검사 후에만 파일 시스템을 모니터링 해제할 수 있습니다. 이러한 구성된 모니터링되지 않는 파일 시스템은 빠른, 전체 및 사용자 지정 검사를 통해 계속 검사됩니다.
| 설명 | 값 |
|---|---|
| 키 | unmonitoredFilesystems |
| Data type | 문자열 배열 |
| Comments | 구성된 파일 시스템은 Microsoft의 허용된 모니터링되지 않는 파일 시스템 목록에 있는 경우에만 모니터링되지 않습니다. |
기본적으로 NFS 및 Fuse는 RTP, 빠른 검사 및 전체 검사에서 모니터링되지 않습니다. 그러나 사용자 지정 검사를 통해 검사할 수 있습니다. 예를 들어 모니터링되지 않는 파일 시스템 목록에서 NFS를 제거하려면 아래와 같이 관리되는 구성 파일을 업데이트합니다. 그러면 RTP에 대해 모니터링되는 파일 시스템 목록에 NFS가 자동으로 추가됩니다.
{
"antivirusEngine":{
"unmonitoredFilesystems": ["Fuse"]
}
}
모니터링되지 않는 파일 시스템 목록에서 NFS 및 Fuse를 모두 제거하려면 다음을 수행합니다.
{
"antivirusEngine":{
"unmonitoredFilesystems": []
}
}
참고
다음은 RTP에 대해 모니터링되는 파일 시스템의 기본 목록입니다.
[btrfs, ecryptfs, ext2, ext3, ext4, fuseblk, jfs, overlay, ramfs, reiserfs, tmpfs, vfat, xfs]
모니터링되는 파일 시스템을 모니터링되지 않는 파일 시스템 목록에 추가해야 하는 경우 클라우드 구성을 통해 Microsoft에서 평가하고 사용하도록 설정해야 합니다. 다음을 수행하여 managed_mdatp.json 해당 파일 시스템을 모니터링 해제하도록 업데이트할 수 있습니다.
파일 해시 계산 기능 구성
파일 해시 계산 기능을 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 검사하는 파일에 대한 해시를 계산합니다. 이 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 자세한 내용은 Create 표시기를 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | enableFileHashComputation |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | 엔드포인트용 Defender 버전 101.85.27 이상에서 사용할 수 있습니다. |
허용되는 위협
제품에 의해 차단되지 않고 대신 실행할 수 있는 위협 목록(이름으로 식별됨)입니다.
| 설명 | 값 |
|---|---|
| 키 | allowedThreats |
| Data type | 문자열 배열 |
허용되지 않는 위협 작업
위협이 감지될 때 디바이스의 로컬 사용자가 수행할 수 있는 작업을 제한합니다. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.
| 설명 | 값 |
|---|---|
| 키 | disallowedThreatActions |
| Data type | 문자열 배열 |
| 사용 가능한 값: | 허용(사용자가 위협을 허용하지 못하도록 제한) 복원(사용자가 격리에서 위협을 복원하지 못하도록 제한) |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
위협 유형 설정
바이러스 백신 엔진의 threatTypeSettings 기본 설정은 제품에서 특정 위협 유형을 처리하는 방법을 제어하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | threatTypeSettings |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
위협 유형
동작이 구성된 위협 유형입니다.
| 설명 | 값 |
|---|---|
| 키 | 키 |
| Data type | String |
| 사용 가능한 값: | potentially_unwanted_application archive_bomb |
수행할 작업
이전 섹션에 지정된 형식의 위협이 발생할 때 수행할 작업입니다. 다음이 될 수 있습니다.
- 감사: 디바이스는 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다.
- 차단: 디바이스는 이러한 유형의 위협으로부터 보호되며 보안 콘솔에서 알림을 받습니다.
- 끄기: 디바이스는 이러한 유형의 위협으로부터 보호되지 않으며 아무 것도 기록되지 않습니다.
| 설명 | 값 |
|---|---|
| 키 | 값 |
| Data type | String |
| 사용 가능한 값: | audit(기본값) 블록 끄기 |
위협 유형 설정 병합 정책
위협 유형 설정에 대한 병합 정책을 지정합니다. 이는 관리자 정의 설정과 사용자 정의 설정() 또는 관리자 정의 설정(mergeadmin_only)의 조합일 수 있습니다. 이 설정을 사용하여 로컬 사용자가 다양한 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | threatTypeSettingsMergePolicy |
| Data type | String |
| 사용 가능한 값: | merge(기본값) admin_only |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
바이러스 백신 검사 기록 보존(일)
디바이스의 검사 기록에 결과가 보존되는 일 수를 지정합니다. 이전 검사 결과가 기록에서 제거됩니다. 디스크에서 제거된 이전 격리된 파일입니다.
| 설명 | 값 |
|---|---|
| 키 | scanResultsRetentionDays |
| Data type | String |
| 사용 가능한 값: | 90(기본값). 허용되는 값은 1일에서 180일까지입니다. |
| Comments | 엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다. |
바이러스 백신 검사 기록의 최대 항목 수
검사 기록에 유지할 최대 항목 수를 지정합니다. 항목에는 과거에 수행된 모든 주문형 검사와 모든 바이러스 백신 검색이 포함됩니다.
| 설명 | 값 |
|---|---|
| 키 | scanHistoryMaximumItems |
| Data type | String |
| 사용 가능한 값: | 10000(기본값). 허용되는 값은 5000개 항목에서 15000개 항목까지입니다. |
| Comments | 엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다. |
고급 검사 옵션
특정 고급 검사 기능을 사용하도록 다음 설정을 구성할 수 있습니다.
참고
이러한 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 따라서 기본값을 유지하는 것이 좋습니다.
파일 수정 권한 이벤트의 검사 구성
이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 실행 비트를 설정하기 위해 권한이 변경된 경우 파일을 검색합니다.
참고
이 기능은 기능이 사용하도록 설정된 경우에만 enableFilePermissionEvents 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | scanFileModifyPermissions |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
파일 수정 소유권 이벤트 검사 구성
이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 소유권이 변경된 파일을 검색합니다.
참고
이 기능은 기능이 사용하도록 설정된 경우에만 enableFileOwnershipEvents 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | scanFileModifyOwnership |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
원시 소켓 이벤트 검사 구성
이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 원시 소켓/패킷 소켓 만들기 또는 소켓 옵션 설정과 같은 네트워크 소켓 이벤트를 검사합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
참고
이 기능은 기능이 사용하도록 설정된 경우에만 enableRawSocketEvent 적용됩니다. 자세한 내용은 아래 의 고급 선택적 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | scanNetworkSocketEvent |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
클라우드 제공 보호 기본 설정
구성 프로필의 cloudService 항목은 제품의 클라우드 기반 보호 기능을 구성하는 데 사용됩니다.
참고
클라우드 제공 보호는 모든 적용 수준 설정(real_time, on_demand, 수동)에 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | cloudService |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
클라우드 제공 보호 사용/사용 안 함
디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부를 결정합니다. 서비스의 보안을 개선하려면 이 기능을 계속 켜두는 것이 좋습니다.
| 설명 | 값 |
|---|---|
| 키 | 활성화됨 |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
진단 수집 수준
진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다. 이 설정은 제품에서 Microsoft로 보낸 진단 수준을 결정합니다.
| 설명 | 값 |
|---|---|
| 키 | diagnosticLevel |
| Data type | String |
| 사용 가능한 값: | 선택적 필수(기본값) |
클라우드 블록 수준 구성
이 설정은 엔드포인트용 Defender가 의심스러운 파일을 차단하고 검사하는 데 얼마나 적극적인지를 결정합니다. 이 설정이 켜진 경우 엔드포인트용 Defender는 차단하고 스캔할 의심스러운 파일을 식별할 때 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 더 적은 빈도로 차단하고 스캔합니다.
클라우드 블록 수준을 설정하기 위한 5가지 값은 다음과 같습니다.
- 보통(
normal): 기본 차단 수준입니다. - 보통(
moderate): 높은 신뢰도 검색에 대해서만 평결을 제공합니다. - 높음(
high): 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 높음). - High Plus(
high_plus): 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있음). - 무관용(
zero_tolerance): 알 수 없는 모든 프로그램을 차단합니다.
| 설명 | 값 |
|---|---|
| 키 | cloudBlockLevel |
| Data type | String |
| 사용 가능한 값: | normal(기본값) 온건한 높은 high_plus zero_tolerance |
| Comments | 엔드포인트용 Defender 버전 101.56.62 이상에서 사용할 수 있습니다. |
자동 샘플 제출 사용/사용 안 함
의심스러운 샘플(위협을 포함할 가능성이 있음)이 Microsoft로 전송되는지 여부를 결정합니다. 샘플 제출을 제어하는 세 가지 수준이 있습니다.
- 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
- 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 설정의 기본값입니다.
- 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.
| 설명 | 값 |
|---|---|
| 키 | automaticSampleSubmissionConsent |
| Data type | String |
| 사용 가능한 값: | 없음 safe(기본값) 모든 |
자동 보안 인텔리전스 업데이트 사용/사용 안 함
보안 인텔리전스 업데이트가 자동으로 설치되는지 여부를 결정합니다.
| 설명 | 값 |
|---|---|
| 키 | automaticDefinitionUpdateEnabled |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
고급 선택적 기능
특정 고급 기능을 사용하도록 다음 설정을 구성할 수 있습니다.
참고
이러한 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 기본값을 유지하는 것이 좋습니다.
| 설명 | 값 |
|---|---|
| 키 | 기능 |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
모듈 로드 기능
모듈 로드 이벤트(공유 라이브러리의 파일 열기 이벤트)를 모니터링할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | moduleLoad |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다. |
보조 센서 구성
다음 설정을 사용하여 특정 고급 보조 센서 기능을 구성할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | supplementarySensorConfigurations |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
파일 수정 권한 이벤트의 모니터링 구성
파일 수정 권한 이벤트(chmod)를 모니터링할지 여부를 결정합니다.
참고
이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 파일의 실행 비트에 대한 변경 내용을 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 고급 검사 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | enableFilePermissionEvents |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
파일 수정 소유권 이벤트의 모니터링 구성
파일 수정 소유권 이벤트(chown)를 모니터링할지 여부를 결정합니다.
참고
이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 파일 소유권에 대한 변경 내용을 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 고급 검사 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | enableFileOwnershipEvents |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
원시 소켓 이벤트 모니터링 구성
원시 소켓/패킷 소켓 생성 또는 소켓 옵션 설정과 관련된 네트워크 소켓 이벤트를 모니터링할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
참고
이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 이러한 네트워크 소켓 이벤트를 모니터링하지만 이러한 이벤트를 검사하지는 않습니다. 자세한 내용은 위의 고급 검사 기능 섹션을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | enableRawSocketEvent |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
부팅 로더 이벤트 모니터링 구성
부팅 로더 이벤트를 모니터링하고 검사할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | enableBootLoaderCalls |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다. |
ptrace 이벤트 모니터링 구성
ptrace 이벤트를 모니터링하고 검사할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | enableProcessCalls |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다. |
pseudofs 이벤트의 모니터링 구성
pseudofs 이벤트를 모니터링하고 검사할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | enablePseudofsCalls |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다. |
eBPF를 사용하여 모듈 로드 이벤트 모니터링 구성
eBPF를 사용하여 모듈 로드 이벤트를 모니터링하고 검사하는지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | enableEbpfModuleLoadEvents |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.68.80 이상에서 사용할 수 있습니다. |
EDR에 AV 의심스러운 이벤트 보고
바이러스 백신의 의심스러운 이벤트가 EDR에 보고되는지 여부를 확인합니다.
| 설명 | 값 |
|---|---|
| 키 | sendLowfiEvents |
| Data type | String |
| 사용 가능한 값: | disabled(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
네트워크 보호 구성
다음 설정을 사용하여 네트워크 보호에서 검사되는 트래픽을 제어하는 고급 네트워크 보호 검사 기능을 구성할 수 있습니다.
참고
이러한 기능을 적용하려면 네트워크 보호를 켜야 합니다. 자세한 내용은 Linux용 네트워크 보호 설정을 참조하세요.
| 설명 | 값 |
|---|---|
| 키 | networkProtection |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
ICMP 검사 구성
ICMP 이벤트를 모니터링하고 검사할지 여부를 결정합니다.
참고
이 기능은 동작 모니터링이 사용하도록 설정된 경우에만 적용됩니다.
| 설명 | 값 |
|---|---|
| 키 | disableIcmpInspection |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
| Comments | 엔드포인트용 Defender 버전 101.23062.0010 이상에서 사용할 수 있습니다. |
권장 구성 프로필
시작하려면 엔터프라이즈에서 엔드포인트용 Defender에서 제공하는 모든 보호 기능을 활용하려면 다음 구성 프로필을 사용하는 것이 좋습니다.
다음 구성 프로필은 다음과 같습니다.
- RTP(실시간 보호) 사용
- 다음 위협 유형을 처리하는 방법을 지정합니다.
- PUA(사용자 동의 없이 설치된 애플리케이션) 가 차단됨
- 보관 폭탄 (압축 속도가 높은 파일)은 제품 로그에 감사됩니다.
- 자동 보안 인텔리전스 업데이트 사용
- 클라우드 제공 보호 사용
- 수준에서 자동 샘플 제출 사용
safe
샘플 프로필
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
전체 구성 프로필 예제
다음 구성 프로필에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 제품에 대한 더 많은 제어를 원하는 고급 시나리오에 사용할 수 있습니다.
참고
이 JSON의 프록시 설정만으로 모든 엔드포인트용 Microsoft Defender 통신을 제어할 수 없습니다.
전체 프로필
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"behaviorMonitoring": "enabled",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"scanHistoryMaximumItems": 10000,
"scanResultsRetentionDays": 90,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>"
},
{
"$type":"excludedFileName",
"name":"cat<EXAMPLE DO NOT USE>"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"nonExecMountPolicy":"unmute",
"unmonitoredFilesystems": ["nfs,fuse"],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
구성 프로필에 태그 또는 그룹 ID 추가
명령을 처음 실행 mdatp health 하면 태그 및 그룹 ID의 값이 비어 있습니다. 파일에 태그 또는 그룹 ID를 mdatp_managed.json 추가하려면 다음 단계를 수행합니다.
- 경로
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json에서 구성 프로필을 엽니다. - 블록이 있는
cloudService파일의 맨 아래로 이동합니다. - 에 대한 닫는 중괄호 끝에 다음 예제와 같이 필요한 태그 또는 그룹 ID를
cloudService추가합니다.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
참고
블록 끝에 있는 닫는 중괄호 뒤에 쉼표를 추가합니다 cloudService . 또한 태그 또는 그룹 ID 블록을 추가한 후 두 개의 닫는 중괄호가 있는지 확인합니다(위의 예제 참조). 현재 태그에 대해 지원되는 유일한 키 이름은 입니다 GROUP.
구성 프로필 유효성 검사
구성 프로필은 유효한 JSON 형식의 파일이어야 합니다. 이를 확인하는 데 사용할 수 있는 많은 도구가 있습니다. 예를 들어 디바이스에 설치한 경우 python :
python -m json.tool mdatp_managed.json
JSON이 올바른 형식인 경우 위의 명령은 이를 터미널로 다시 출력하고 의 0종료 코드를 반환합니다. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령은 의 1종료 코드를 반환합니다.
mdatp_managed.json 파일이 예상대로 작동하는지 확인
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json 제대로 작동하는지 확인하려면 다음 설정 옆에 "[관리]"가 표시됩니다.
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
참고
mdatp_managed.json 대부분의 구성을 변경하여 적용하려면 mdatp 디먼을 다시 시작할 필요가 없습니다. 예외: 다음 구성을 적용하려면 디먼을 다시 시작해야 합니다.
- 클라우드 진단
- log-rotation-parameters
구성 프로필 배포
엔터프라이즈에 대한 구성 프로필을 빌드한 후에는 엔터프라이즈에서 사용하는 관리 도구를 통해 배포할 수 있습니다. Linux의 엔드포인트용 Defender는 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 파일에서 관리되는 구성을 읽습니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기