Linux의 엔드포인트용 Microsoft Defender 대한 고급 배포 지침

  • 아티클

적용 대상:

이 문서에서는 Linux의 엔드포인트용 Microsoft Defender 대한 고급 배포 지침을 제공합니다. 배포 단계에 대한 간략한 요약을 얻고, 시스템 요구 사항에 대해 알아보고, 실제 배포 단계를 안내합니다. 디바이스가 올바르게 온보딩되었는지 확인하는 방법도 알아봅니다.

엔드포인트용 Microsoft Defender 기능에 대한 자세한 내용은 고급 엔드포인트용 Microsoft Defender 기능을 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender 배포하는 다른 방법에 대한 자세한 내용은 다음을 참조하세요.

배포 요약

Linux 배포의 일반적인 엔드포인트용 Microsoft Defender 대한 일반적인 지침에 대해 알아봅니다. 일부 단계의 적용 가능성은 Linux 환경의 요구 사항에 따라 결정됩니다.

  1. 방화벽, 프록시 및 네트워킹 관리자와 함께 작업합니다.

  2. 엔드포인트에서 성능 데이터를 캡처합니다.

    참고

    다음과 같은 선택적 항목을 수행하는 것이 좋습니다. 엔드포인트용 Microsoft Defender 특정 항목은 아니지만 Linux 시스템에서 성능을 향상시키는 경향이 있습니다.

  3. (선택 사항) 파일 시스템 오류 'fsck'(chkdsk와 비슷합니다)을 확인합니다.

  4. (선택 사항) 스토리지 하위 시스템 드라이버를 업데이트합니다.

  5. (선택 사항) nic 드라이버를 업데이트합니다.

  6. 시스템 요구 사항 및 리소스 권장 사항이 충족되는지 확인합니다.

  7. Microsoft Defender 바이러스 백신에 대한 제외 목록에 기존 솔루션을 추가합니다.

  8. 제외에 대한 중요한 사항을 검토합니다.

  9. 디바이스 그룹 Create.

  10. Linux 맬웨어 방지 설정에서 엔드포인트용 Microsoft Defender 구성합니다.

  11. Microsoft Defender 포털에서 Linux 온보딩 패키지의 엔드포인트용 Microsoft Defender 다운로드합니다.

  12. Ansible, Puppet 또는 Chef를 사용하여 Linux에서 엔드포인트용 Microsoft Defender 관리합니다.

  13. Linux의 엔드포인트용 Microsoft Defender 설치 문제를 해결합니다.

  14. 배포 후와 비교하여 리소스 사용률 통계를 확인하고 배포 전 사용률을 보고합니다.

  15. 엔드포인트용 Microsoft Defender 백 엔드와의 통신을 확인합니다.

  16. 에이전트 상태 문제를 조사합니다.

  17. "플랫폼 업데이트"(에이전트 업데이트)을 가져올 수 있는지 확인합니다.

  18. "보안 인텔리전스 업데이트"(서명/정의 업데이트)을 가져올 수 있는지 확인합니다.

  19. 테스트 검색.

  20. Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제를 해결합니다.

  21. ISV, Linux 앱 또는 스크립트의 높은 CPU 사용률 문제 해결

  22. 비 Microsoft 솔루션을 제거합니다.

1. 방화벽, 프록시 및 네트워킹 관리자 작업

방화벽, 프록시 및 네트워킹 관리자와 협력하여 허용된 목록에 엔드포인트용 Microsoft Defender URL을 추가하고 SSL 검사를 방지합니다.

자세한 내용은 클라우드 연결 문제 해결을 참조하세요.

엔드포인트용 Microsoft Defender 네트워크 연결

다음 단계를 사용하여 엔드포인트용 Microsoft Defender 네트워크 연결을 검사.

  1. 엔드포인트용 Microsoft Defender 트래픽에 허용되는 엔드포인트용 Microsoft Defender 트래픽에 대한 URL 허용을 참조하세요.

  2. Linux 서버가 프록시 뒤에 있는 경우 프록시 설정을 지정합니다. 자세한 내용은 프록시 설정 설정을 참조하세요.

  3. 트래픽이 SSL 검사(TLS 검사)에 의해 검사되지 않는지 확인합니다. 이 문제는 Microsoft Defender 엔드포인트를 설정할 때 가장 일반적인 네트워크 관련 문제입니다. 네트워크 트래픽에서 SSL 검사가 수행되지 않는지 확인을 참조하세요.

참고

일반적으로 엔드포인트용 Defender의 트래픽은 SSL 검사(TLS 검사)를 통해 검사하지 않는 것이 좋습니다. 이는 지원되는 모든 운영 체제(Windows, Linux 및 MacOS)에 적용됩니다.

1단계: 엔드포인트용 Microsoft Defender 트래픽에 대한 URL 허용

  1. 네트워크에서 연결할 수 있어야 하는 서비스 목록 및 관련 URL의 경우 상용 고객을 위한엔드포인트용 Microsoft Defender URL 목록 또는 Gov/GCC/DoD의 엔드포인트용 Microsoft Defender URL 목록을 다운로드합니다.

  2. Geography 열에서 다음 확인란이 선택되어 있는지 확인합니다.

    • EU, 영국 또는 미국
    • Ww
    • (공백)

    참고

    이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인해야 합니다. 있는 경우 특별히 허용 규칙을 만들어야 할 수 있습니다.

  3. 방화벽/프록시/네트워킹 관리자와 협력하여 관련 URL을 허용합니다.

2단계: 프록시 설정

Linux 서버가 프록시 뒤에 있는 경우 다음 설정 지침을 사용합니다.

다음 표에는 지원되는 프록시 설정이 나와 있습니다.

지원 지원되지 않음
투명한 프록시 프록시 자동 구성(PAC, 인증된 프록시 유형)
수동 정적 프록시 구성 웹 프록시 자동 검색 프로토콜(WPAD, 인증된 프록시 유형)

3단계: 네트워크 트래픽에서 SSL 검사가 수행되지 않는지 확인

중간자 공격을 방지하기 위해 모든 Microsoft Azure 호스팅 트래픽은 인증서 고정을 사용합니다. 따라서 주요 방화벽 시스템의 SSL 검사는 허용되지 않습니다. 엔드포인트용 Microsoft Defender URL에 대한 SSL 검사를 무시해야 합니다.

클라우드 연결 문제 해결

자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결을 참조하세요.

2. 엔드포인트에서 성능 데이터 캡처

엔드포인트용 Defender가 설치된 엔드포인트에서 성능 데이터를 캡처합니다. 여기에는 탑재된 모든 파티션의 디스크 공간 가용성, 메모리 사용량, 프로세스 목록 및 CPU 사용량(모든 코어에서 집계)이 포함됩니다.

3. (선택 사항) 파일 시스템 오류 'fsck'(chkdsk와 유사한) 확인

모든 파일 시스템이 손상될 수 있으므로 새 소프트웨어를 설치하기 전에 정상 파일 시스템에 설치하는 것이 좋습니다.

4. (선택 사항) 스토리지 하위 시스템 드라이버 업데이트

스토리지 하위 시스템의 최신 드라이버 또는 펌웨어는 성능 및/또는 안정성에 도움이 될 수 있습니다.

5. (선택 사항) nic 드라이버 업데이트

NIC 또는 NIC 팀 소프트웨어의 최신 드라이버/펌웨어는 성능 및/또는 안정성에 도움이 될 수 있습니다.

6. 시스템 요구 사항 및 리소스 권장 사항이 충족되는지 확인

다음 섹션에서는 지원되는 Linux 버전 및 리소스에 대한 권장 사항에 대한 정보를 제공합니다.

지원되는 Linux 배포판의 자세한 목록은 시스템 요구 사항을 참조하세요.

리소스 권장 사항
디스크 공간 최소: 2GB
참고: 크래시 컬렉션에 클라우드 진단 사용하도록 설정된 경우 더 많은 디스크 공간이 필요할 수 있습니다.
RAM 1GB
4GB가 선호됩니다.
CPU Linux 시스템이 하나의 vcpu만 실행하는 경우 vcpu를 두 개의 vcpu로 늘리는 것이 좋습니다.
4개 코어가 선호됩니다.
OS 버전 커널 필터 드라이버 설명
RHEL 7.x, RHEL 8.x 및 RHEL 9.x 커널 필터 드라이버가 없으므로 fanotify 커널 옵션을 사용하도록 설정해야 합니다. Windows에서 필터 관리자(fltmgr, 를 통해 fltmc.exe액세스할 수 있음)와 비슷합니다.
RHEL 6.x TALPA 커널 드라이버

7. Microsoft Defender 바이러스 백신에 대한 제외 목록에 기존 솔루션 추가

설치 프로세스의 이 단계에는 기존 엔드포인트 보호 솔루션 및 organization 사용 중인 다른 보안 제품에 대한 제외 목록에 엔드포인트용 Defender를 추가하는 작업이 포함됩니다. 여러 가지 방법 중에서 선택하여 Microsoft Defender 바이러스 백신에 제외를 추가할 수 있습니다.

제외 구성에 대한 도움말을 보려면 솔루션 공급자의 설명서를 참조하세요.

  • 비 Microsoft 맬웨어 방지 제품과 함께 Linux에서 엔드포인트용 Microsoft Defender 실행하는 기능은 해당 제품의 구현 세부 정보에 따라 달라집니다. 다른 맬웨어 방지 제품이 fanotify를 사용하는 경우 두 개의 충돌 에이전트를 실행하여 발생하는 성능 및 안정성 부작용을 제거하기 위해 제거해야 합니다.

  • FANotify를 실행하는 비 Microsoft 맬웨어 방지 소프트웨어가 있는지 검사 하려면 를 실행mdatp health한 다음 결과를 검사.

    mdatp 상태 결과 이미지

    "conflicting_applications"에서 "사용할 수 없음" 이외의 결과가 표시되는 경우 타사 맬웨어 방지 프로그램을 제거합니다.

  • 타사 맬웨어 방지 제품을 제거하지 않으면 성능 문제, 시스템 중단과 같은 안정성 문제 또는 커널 패닉과 같은 예기치 않은 동작이 발생할 수 있습니다.

  • 비 Microsoft 맬웨어 방지 제품에서 제외해야 하는 Linux 프로세스 및 경로의 엔드포인트용 Microsoft Defender 식별하려면 를 실행systemctl status -l mdatp합니다.

    비 Microsoft 맬웨어 방지 제품에서 다음 프로세스를 제외합니다.

    wdavdaemon
    crashpad_handler
    mdatp_audis_plugin
    telemetryd_v2

    비 Microsoft 맬웨어 방지 제품에서 다음 경로를 제외합니다.

    /opt/microsoft/mdatp/
    /var/opt/microsoft/mdatp/
    /etc/opt/microsoft/mdatp/

8. 제외에 대한 다음 사항을 염두에 두십시오.

Microsoft Defender 바이러스 백신 검사에 제외를 추가하는 경우 경로 및 프로세스 제외를 추가해야 합니다.

참고

  • 바이러스 백신 제외는 바이러스 백신 엔진에 적용됩니다.
  • 표시기 허용/차단은 바이러스 백신 엔진에 적용됩니다.

다음 사항에 유의하세요.

  • 경로 제외는 특정 파일 및 해당 파일이 액세스하는 모든 파일을 제외합니다.
  • 프로세스 제외는 프로세스와 관련된 모든 항목을 제외하지만 프로세스 자체를 제외하지는 않습니다.
  • 이름만 사용하는 것이 아니라 전체 경로를 사용하여 프로세스 제외를 나열합니다. (이름 전용 메서드는 보안이 떨어집니다.)
  • 각 실행 파일을 경로 제외 및 프로세스 제외로 나열하면 프로세스와 처리 대상은 제외됩니다.

"제외를 정의할 때 피해야 할 일반적인 실수", 특히 폴더 위치 및 Linux 및 macOS 플랫폼에 대한 섹션을 처리합니다.

9. 디바이스 그룹 Create

디바이스 그룹, 디바이스 컬렉션 및 조직 구성 단위 디바이스 그룹, 디바이스 컬렉션 및 조직 단위를 설정하면 보안 팀이 보안 정책을 효율적이고 효과적으로 관리하고 할당할 수 있습니다. 다음 표에서는 이러한 각 그룹과 이러한 그룹을 구성하는 방법에 대해 설명합니다. organization 세 가지 컬렉션 형식을 모두 사용하지 않을 수 있습니다.

컬렉션 유형 수행할 작업
디바이스 그룹 (이전 의 컴퓨터 그룹)을 사용하면 보안 운영 팀이 자동화된 조사 및 수정과 같은 보안 기능을 구성할 수 있습니다.

디바이스 그룹은 필요한 경우 보안 운영 팀이 수정 작업을 수행할 수 있도록 해당 디바이스에 대한 액세스 권한을 할당하는 데에도 유용합니다.

공격이 감지되고 중지되는 동안 디바이스 그룹이 생성되고 "초기 액세스 경고"와 같은 경고가 트리거되어 Microsoft Defender 포털에 표시됩니다.		 1. Microsoft Defender 포털(https://security.microsoft.com)로 이동합니다.

2. 왼쪽 탐색 창에서 설정>엔드포인트>권한>디바이스 그룹을 선택합니다.

3. + 디바이스 그룹 추가를 선택합니다.

4. 디바이스 그룹의 이름과 설명을 지정합니다.

5. Automation 수준 목록에서 옵션을 선택합니다. ( 전체 - 위협을 자동으로 수정하는 것이 좋습니다.) 다양한 자동화 수준에 대한 자세한 내용은 위협 수정 방법을 참조하세요.

6. 일치하는 규칙에 대한 조건을 지정하여 디바이스 그룹에 속하는 디바이스를 결정합니다. 예를 들어 도메인, OS 버전을 선택하거나 디바이스 태그를 사용할 수도 있습니다.

7. 사용자 액세스 탭에서 디바이스 그룹에 포함된 디바이스에 대한 액세스 권한이 있어야 하는 역할을 지정합니다.

8. 완료를 선택합니다.
디바이스 컬렉션을 사용하면 보안 운영 팀이 애플리케이션을 관리하거나, 규정 준수 설정을 배포하거나, organization 디바이스에 소프트웨어 업데이트를 설치할 수 있습니다.

디바이스 컬렉션은 Configuration Manager 사용하여 만들어집니다.		 컬렉션 Create 단계를 따릅니다.
조직 단위 를 사용하면 사용자 계정, 서비스 계정 또는 컴퓨터 계정과 같은 개체를 논리적으로 그룹화할 수 있습니다.

그런 다음 특정 조직 단위에 관리자를 할당하고 그룹 정책을 적용하여 대상 구성 설정을 적용할 수 있습니다.

조직 단위는 Microsoft Entra Domain Services 정의됩니다.		 Microsoft Entra Domain Services 관리되는 도메인에서 조직 구성 단위를 Create 단계를 수행합니다.

10. Linux 맬웨어 방지 설정에서 엔드포인트용 Microsoft Defender 구성

시작하기 전에 다음을 수행합니다.

  • 이미 Linux 서버에 Microsoft 이외의 맬웨어 방지 제품을 사용하고 있는 경우 기존 제외를 Linux의 엔드포인트용 Microsoft Defender 복사해야 할 수 있습니다.

  • Linux 서버에 비 Microsoft 맬웨어 방지 제품을 사용하지 않는 경우 모든 Linux 애플리케이션 목록을 가져와서 제외를 위해 공급업체 웹 사이트를 검사.

  • Microsoft 이외의 맬웨어 방지 제품을 실행하는 경우 프로세스/경로를 엔드포인트용 Microsoft Defender 바이러스 백신 제외 목록에 추가합니다. 자세한 내용은 비 Microsoft 맬웨어 방지 설명서를 검사 지원팀에 문의하세요.

  • 한 컴퓨터에서 테스트하는 경우 명령줄을 사용하여 제외를 설정할 수 있습니다.

  • 여러 컴퓨터에서 테스트하는 경우 다음 mdatp_managed.json 파일을 사용합니다. Windows에서 온 경우 이는 Linux의 엔드포인트용 Defender에 대한 '그룹 정책'처럼 표시됩니다.

    필요에 따라 파일을 수정하는 것이 좋습니다.

        {
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "maximumOnDemandScanThreads":1,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home"
         },
         {
            "$type":"excludedFileExtension",
            "extension":"pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

    권장 사항:

           {
    "antivirusEngine":{
       "enforcementLevel":"real_time",
       "scanAfterDefinitionUpdate":true,
       "scanArchives":true,
       "maximumOnDemandScanThreads":1,
       "exclusionsMergePolicy":"merge",
       "exclusions":[
          {
             "$type":"excludedPath",
             "isDirectory":false,
             "path":"/var/log/system.log"
          },
          {
             "$type":"excludedPath",
             "isDirectory":true,
             "path":"/proc"
          },
          {
             "$type":"excludedPath",
             "isDirectory":true,
             "path":"/sys"
          },
          {
             "$type":"excludedPath",
             "isDirectory":true,
             "path":"/dev"
          },
          {
             "$type":"excludedFileExtension",
             "extension":""
          },
          {
             "$type":"excludedFileName",
             "name":""
          }
       ],
       "allowedThreats":[
          ""
       ],
       "disallowedThreatActions":[
          "allow",
          "restore"
       ],
       "threatTypeSettingsMergePolicy":"merge",
       "threatTypeSettings":[
          {
             "key":"potentially_unwanted_application",
             "value":"block"
          },
          {
             "key":"archive_bomb",
             "value":"audit"
          }
       ]
    },
    "cloudService":{
       "enabled":true,
       "diagnosticLevel":"optional",
       "automaticSampleSubmissionConsent":"safe",
       "automaticDefinitionUpdateEnabled":true
       "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
    }
}

참고

Linux(및 macOS)에서는 와일드카드로 시작하는 경로를 지원합니다.

다음 표에서는 파일의 일부로 권장되는 설정에 mdatp_managed.json 대해 설명합니다.

Settings 설명
exclusionsMergePolicy 로 설정됨 admin_only 로컬 관리자가 bash(명령 프롬프트)를 통해 로컬 제외를 추가할 수 없도록 합니다.
disallowedThreatActions 로 설정됨 allow and restore 로컬 관리자가 bash(명령 프롬프트)를 통해 격리된 항목을 복원할 수 없도록 합니다.
threatTypeSettingsMergePolicy 로 설정됨 admin_only 로컬 관리자가 bash(명령 프롬프트)를 통해 위협 유형에 무해한 가양성 또는 참 긍정을 추가할 수 없도록 합니다.

엔드포인트용 Microsoft Defender 영향을 미칠 수 있는 애플리케이션

Postgres, OracleDB, Jira 및 Jenkins와 같은 높은 I/O 워크로드는 처리되는 작업의 양(엔드포인트용 Defender에서 모니터링)에 따라 다른 제외가 필요할 수 있습니다. 엔드포인트용 Defender를 설치한 후 성능 저하가 발생하는 경우 비 Microsoft 애플리케이션 공급자의 제외 지침을 따르는 것이 가장 좋습니다. 또한 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수에 유의하세요.

성능 저하가 발생하는 경우 다음 리소스를 참조하세요.

11. Linux 온보딩 패키지에서 엔드포인트용 Microsoft Defender 다운로드

자세한 내용은 Microsoft Defender 포털에서 온보딩 패키지 다운로드를 참조하세요.

참고

이 다운로드는 linux에서 엔드포인트용 Microsoft Defender 등록하여 데이터를 엔드포인트용 Microsoft Defender instance 보냅니다.

이 패키지를 다운로드한 후 수동 설치 지침을 따르거나 Linux 관리 플랫폼을 사용하여 Linux에서 엔드포인트용 Defender를 배포하고 관리할 수 있습니다.

12. Linux에서 엔드포인트용 Microsoft Defender 관리하는 Ansible, Puppet 및 Chef 예제

Linux의 엔드포인트용 Defender는 거의 모든 관리 솔루션이 Linux에서 엔드포인트용 Defender 설정을 쉽게 배포하고 관리할 수 있도록 설계되었습니다. 몇 가지 일반적인 Linux 관리 플랫폼은 Ansible, Puppet 및 Chef입니다. 다음 문서에는 Linux에서 엔드포인트용 Defender를 배포하고 구성하도록 이러한 관리 플랫폼을 구성하는 방법에 대한 예제가 포함되어 있습니다.

Puppet을 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포

Ansible을 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포

Chef를 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포

참고

다시 부팅은 변경할 수 없는 모드에서 auditD를 실행하는 경우를 제외하고 Linux에서 엔드포인트용 Microsoft Defender 설치하거나 업데이트한 후에는 필요하지 않습니다.

예약된 검사 cronjob 설정 제공

Linux의 엔드포인트용 Microsoft Defender Anacron을 사용하여 바이러스 백신 검사를 예약합니다. 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender Anacron을 사용하여 바이러스 백신 검사 예약을 참조하세요.

Linux 에이전트 cronjob 설정에서 엔드포인트용 Microsoft Defender 업데이트

Linux에서 엔드포인트용 Microsoft Defender 업데이트를 예약합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 업데이트 예약을 참조하세요.

13. Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결

Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결에서 설치 중에 발생할 수 있는 문제를 해결하는 방법을 알아봅니다.

14. 리소스 사용률 통계 확인

배포 후와 비교하여 성능 통계를 확인하고 배포 전 사용률과 비교합니다.

15. 엔드포인트용 Microsoft Defender 백 엔드와의 통신 확인

현재 네트워크 설정을 사용하여 클라우드에 대한 Linux 통신의 엔드포인트용 Microsoft Defender 확인하려면 명령줄에서 다음 연결 테스트를 실행합니다.

mdatp connectivity test

다음 이미지는 테스트의 예상 출력을 표시합니다.

통신 이미지 확인

자세한 내용은 연결 유효성 검사를 참조하세요.

16. 에이전트 상태 문제 조사

명령을 실행할 때 반환되는 값을 기반으로 에이전트 상태 문제를 조사합니다 mdatp health . 자세한 내용은 에이전트 상태 문제 조사를 참조하세요.

17. 플랫폼 업데이트를 받을 수 있는지 확인(에이전트 업데이트)

Linux 플랫폼 업데이트에서 엔드포인트용 Microsoft Defender 확인하려면 다음 명령줄을 실행합니다.

sudo yum update mdatp

또는

apt-get update mdatp

패키지 관리자에 따라 다릅니다.

자세한 내용은 디바이스 상태 및 Microsoft Defender 맬웨어 방지 상태 보고서를 참조하세요.

최신 Broad 채널 릴리스를 찾으려면 Linux의 엔드포인트용 Microsoft Defender 새로운 기능 을 방문하세요.

Linux에서 엔드포인트용 Microsoft Defender 업데이트하는 방법

Microsoft는 성능, 보안을 개선하고 새로운 기능을 제공하기 위해 소프트웨어 업데이트를 정기적으로 게시합니다. Linux에서 엔드포인트용 Microsoft Defender 업데이트하려면 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.

참고

Redhat의 위성(Windows의 WSUS와 비슷하게)이 있는 경우 업데이트된 패키지를 가져올 수 있습니다.

Cron 작업을 사용하여 월별(권장) 일정에 따라 에이전트 업데이트를 자동화합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 업데이트 예약을 참조하세요.

비 Windows 엔드포인트

macOS 및 Linux를 사용하면 몇 가지 시스템을 사용하고 베타 채널에서 실행할 수 있습니다.

참고

빌드가 현재 채널로 전환되기 전에 호환성, 성능 및 안정성 문제를 찾을 수 있도록 미리 보기 채널에서 실행 중인 각 유형의 Linux 시스템 중 하나를 포함하는 것이 가장 좋습니다.

채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 베타의 디바이스는 업데이트 및 새 기능을 수신하는 첫 번째 디바이스이며, 이후 미리 보기와 마지막으로 Current가 그 뒤를 따릅니다.

내부자 반지.

새 기능을 미리 보고 초기 피드백을 제공하려면 베타 또는 미리 보기를 사용하도록 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.

경고

초기 설치 후 채널을 전환하려면 제품을 다시 설치해야 합니다. 제품 채널을 전환하려면 기존 패키지를 제거하고 새 채널을 사용하도록 디바이스를 다시 구성하고 이 문서의 단계에 따라 새 위치에서 패키지를 설치합니다.

18. 보안 인텔리전스 업데이트(서명/정의 업데이트)를 가져올 수 있는지 확인합니다.

Linux 서명/정의 업데이트에서 엔드포인트용 Microsoft Defender 확인하려면 다음 명령줄을 실행합니다.

mdatp definitions update

자세한 내용은 Microsoft Defender 맬웨어 방지에 대한 새 디바이스 상태 보고를 참조하세요.

19. 테스트 검색

디바이스가 올바르게 온보딩되어 서비스에 보고되었는지 확인하려면 다음 검색 테스트를 실행합니다.

20. Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결

자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결을 참조하세요.

21. ISV, Linux 앱 또는 스크립트의 높은 CPU 사용률 문제 해결

타사 ISV, 내부적으로 개발된 Linux 앱 또는 스크립트가 높은 CPU 사용률로 실행되는 것을 관찰하는 경우 다음 단계를 수행하여 원인을 조사합니다.

  1. 증상을 유발하는 스레드 또는 프로세스를 식별합니다.
  2. 식별된 프로세스에 따라 추가 진단 단계를 적용하여 문제를 해결합니다.

1단계: 증상을 유발하는 Linux 스레드의 엔드포인트용 Microsoft Defender 식별

다음 구문을 사용하여 CPU 오버헤드를 일으키는 프로세스를 식별할 수 있습니다.

  • 문제를 일으키는 엔드포인트용 Microsoft Defender 프로세스 ID를 가져오려면 다음을 실행합니다.

    sudo top -c

  • 엔드포인트용 Microsoft Defender 프로세스에 대한 자세한 내용을 보려면 다음을 실행합니다.

    sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp

  • 프로세스 내에서 CPU 사용률이 가장 높은 특정 엔드포인트용 Microsoft Defender 스레드 ID를 식별하려면 다음을 실행합니다.

    sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log

    CPU 사용률입니다.

다음 표에서는 높은 CPU 사용량을 유발할 수 있는 프로세스를 나열합니다.

프로세스 이름 사용된 구성 요소 사용된 MDE 엔진
wdavdaemon FANotify 바이러스 백신 & EDR
wdavdaemon 권한 없는 바이러스 백신 엔진
wdavdaemon edr EDR 엔진
mdatp_audisp_plugin 감사 프레임워크(감사) 감사 로그 수집

2단계: 식별된 프로세스에 따라 추가 진단 단계 적용

높은 CPU 사용량을 유발하는 프로세스를 확인했으므로 다음 섹션의 해당 진단 지침을 사용합니다.

예를 들어 이전 단계에서 wdavdaemon unprivileged 는 높은 CPU 사용량을 유발하는 프로세스로 식별되었습니다. 결과에 따라 wdavdaemon 권한 없는 프로세스를 검사 지침을 적용할 수 있습니다.

높은 CPU 사용률 문제를 해결하려면 다음 표를 사용합니다.

프로세스 이름 사용된 구성 요소 사용된 엔드포인트용 Microsoft Defender 엔진 단계
wdavdaemon FANotify 바이러스 백신 & EDR - 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요.

- 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다.

- Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요.
wdavdaemon 권한 없는 해당 없음 바이러스 백신 엔진 다음 다이어그램에서는 바이러스 백신 제외를 추가하기 위해 필요한 워크플로 및 단계를 보여 줍니다.

권한 없는 센서임을 보여 주는 스크린샷.

일반적인 문제 해결 지침
- 사내 앱/스크립트 또는 합법적인 타사 앱/스크립트에 플래그가 지정된 경우 Microsoft 보안 연구원은 의심스러운 파일을 분석하여 위협 파일, 원치 않는 애플리케이션 또는 일반 파일인지 확인합니다. 통합 제출 환경(자세한 내용은 통합 제출 환경 참조) 또는 파일 제출을 사용하여 맬웨어 또는 맬웨어로 잘못 분류된 것으로 생각되는 파일 제출.

- Linux의 엔드포인트용 Microsoft Defender 성능 문제 해결을 참조하세요.

- 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요.

- 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다.

- Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요.
wdavdaemon edr 해당 없음 EDR 엔진 다음 다이어그램에서는 wdavedaemon_edr 프로세스 문제를 해결하는 워크플로 및 단계를 보여 줍니다.

wdavdaemon edr 프로세스 문제 해결 이미지

일반적인 문제 해결 지침
- 사내 앱/스크립트 또는 합법적인 타사 앱/스크립트에 플래그가 지정된 경우 Microsoft 보안 연구원은 의심스러운 파일을 분석하여 위협 파일, 원치 않는 애플리케이션 또는 일반 파일인지 확인합니다. 통합 제출 환경(자세한 내용은 통합 제출 환경 참조) 또는 파일 제출을 사용하여 맬웨어 또는 맬웨어로 잘못 분류된 것으로 생각되는 파일 제출.

- Linux의 엔드포인트용 Microsoft Defender 성능 문제 해결을 참조하세요.

- 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요.

- 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다.

- Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요.
mdatp_audisp_plugin 감사 프레임워크 감사 로그 수집 Linux의 엔드포인트용 Microsoft Defender AuditD 성능 문제 해결을 참조하세요.

22. 비 Microsoft 솔루션 제거

이 시점에서 다음이 있는 경우:

  • 엔드포인트용 Defender에 organization 디바이스를 온보딩하고
  • Microsoft Defender 바이러스 백신이 설치되고 사용하도록 설정됩니다.

그런 다음, 다음 단계는 비 Microsoft 바이러스 백신, 맬웨어 방지 및 엔드포인트 보호 솔루션을 제거하는 것입니다. 비 Microsoft 솔루션을 제거할 때 설치 또는 구성 중에 엔드포인트용 Defender를 수동 모드로 설정하는 경우 수동 모드에서 활성으로 전환하도록 구성을 업데이트해야 합니다.

진단 및 문제 해결 리소스

고급 엔드포인트용 Microsoft Defender 기능

참조

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.