Microsoft Defender 바이러스 백신 네트워크 연결 구성 및 유효성 검사Configure and validate Microsoft Defender Antivirus network connections

적용 대상:Applies to:

Microsoft Defender 바이러스 백신 클라우드 제공 보호가 제대로 작동하려면 보안 팀이 끝점과 특정 Microsoft 서버 간의 연결을 허용하도록 네트워크를 구성해야 합니다.To ensure Microsoft Defender Antivirus cloud-delivered protection works properly, your security team must configure your network to allow connections between your endpoints and certain Microsoft servers. 이 문서에서는 방화벽 규칙을 사용하는 등 허용해야 하는 연결을 나열하고 연결 유효성을 검사하기 위한 지침을 제공합니다.This article lists the connections that must be allowed, such as by using firewall rules, and provides instructions for validating your connection. 보호를 올바르게 구성하면 클라우드 제공 보호 서비스에서 최고의 가치를 받을 수 있습니다.Configuring your protection properly helps ensure that you receive the best value from your cloud-delivered protection services.

네트워크 연결에 대한 자세한 내용은 블로그 게시물 Microsoft Active Protection Services 끝점에 대한 중요한 변경 사항을 참조하세요.See the blog post Important changes to Microsoft Active Protection Services endpoint for some details about network connectivity.

Microsoft Defender for Endpoint 데모 웹 사이트를 demo.wd.microsoft.com 다음 기능이 작동하고 있는지 확인하세요.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm the following features are working:

  • 클라우드 제공 보호Cloud-delivered protection
  • 빠른 학습(차단 시 차단 포함)Fast learning (including block at first sight)
  • 잠재적으로 원치 않는 응용 프로그램 차단Potentially unwanted application blocking

Microsoft Defender 바이러스 백신 클라우드 서비스에 대한 연결 허용Allow connections to the Microsoft Defender Antivirus cloud service

Microsoft Defender 바이러스 백신 클라우드 서비스는 끝점을 빠르고 강력하게 보호합니다.The Microsoft Defender Antivirus cloud service provides fast, strong protection for your endpoints. 클라우드 제공 보호 서비스를 사용하도록 설정하는 것은 선택 사항이지만 끝점 및 네트워크 전체에서 맬웨어에 대한 중요한 보호 기능을 제공하기 때문에 이 서비스를 사용하도록 설정하는 것이 좋습니다.Enabling the cloud-delivered protection service is optional, however it's highly recommended because it provides important protection against malware on your endpoints and across your network. Intune, Microsoft Endpoint Configuration Manager, 그룹 정책, PowerShell cmdlet 또는 Windows 보안 앱의 개별 클라이언트에서 서비스를 사용하도록 설정하는 데 대한 자세한 내용은 클라우드 제공 보호 사용을 참조하세요. See Enable cloud-delivered protection for details on enabling the service with Intune, Microsoft Endpoint Configuration Manager, Group Policy, PowerShell cmdlets, or on individual clients in the Windows Security app.

서비스를 사용하도록 설정한 후 네트워크 또는 방화벽과 끝점 간의 연결을 허용하도록 구성해야 할 수 있습니다.After you've enabled the service, you might need to configure your network or firewall to allow connections between it and your endpoints. 보호는 클라우드 서비스이기 때문에 컴퓨터는 인터넷에 액세스할 수 있어야 합니다. Microsoft Defender for Office 365 기계 학습 서비스에 연결해야 합니다.Because your protection is a cloud service, computers must have access to the internet and reach the Microsoft Defender for Office 365 machine learning services. 모든 종류의 네트워크 검사에서 URL을 *.blob.core.windows.net 제외하지 않습니다.Don't exclude the URL *.blob.core.windows.net from any kind of network inspection.

참고

Microsoft Defender 바이러스 백신 클라우드 서비스는 네트워크 및 끝점에 업데이트된 보호를 제공하는 메커니즘입니다.The Microsoft Defender Antivirus cloud service is a mechanism for delivering updated protection to your network and endpoints. 클라우드 서비스라고 하지만 단순히 클라우드에 저장된 파일을 보호하는 것이 아니라 분산 리소스와 기계 학습을 사용하여 기존 보안 인텔리전스 업데이트보다 훨씬 빠른 속도로 끝점에 보호 기능을 제공합니다.Although it's called a cloud service, it's not simply protection for files stored in the cloud, rather it uses distributed resources and machine learning to deliver protection to your endpoints at a rate that is far faster than traditional Security intelligence updates.

서비스 및 URLServices and URLs

이 섹션의 표에는 서비스 및 해당 연결된 웹 사이트 주소(URL)가 나열됩니다.The table in this section lists the services and their associated website addresses (URLs).

이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인합니다.Make sure that there are no firewall or network filtering rules denying access to these URLs. 그렇지 않으면 URL을 제외한 해당 규칙에 대해 특별히 허용 규칙을 만들어야 할 수 *.blob.core.windows.net 있습니다.Otherwise, you might need to create an allow rule specifically for them (excluding the URL *.blob.core.windows.net). 다음 표의 URL은 통신에 포트 443을 사용 합니다.The URLs in the following table use port 443 for communication.

서비스 및 설명Service and description URLURL
MICROSOFT Defender 바이러스 백신 클라우드 제공 보호 서비스(MAPS(Microsoft Active Protection Service)라고도 합니다.Microsoft Defender Antivirus cloud-delivered protection service, also referred to as Microsoft Active Protection Service (MAPS)

이 서비스는 Microsoft Defender 바이러스 백신에서 클라우드 제공 보호를 제공하는 데 사용됩니다.This service is used by Microsoft Defender Antivirus to provide cloud-delivered protection

*.wdcp.microsoft.com

*.wdcpalt.microsoft.com

*.wd.microsoft.com

MICROSOFT 업데이트 서비스(MU) 및 WU(Windows 업데이트 서비스)Microsoft Update Service (MU) and Windows Update Service (WU)

이러한 서비스를 통해 보안 인텔리전스 및 제품 업데이트를 사용할 수 있습니다.These services allow for security intelligence and product updates

*.update.microsoft.com

*.delivery.mp.microsoft.com

*.windowsupdate.com

자세한 내용은 Windows 업데이트용 연결 끝점을 참조합니다.For more details, see Connection endpoints for Windows Update

보안 인텔리전스 업데이트 ADL(대체 다운로드 위치)Security intelligence updates Alternate Download Location (ADL)

설치된 보안 인텔리전스가 최신 상태로 유지된 경우(7일 이상 후) Microsoft Defender 바이러스 백신 보안 인텔리전스 업데이트의 대체 위치입니다.This is an alternate location for Microsoft Defender Antivirus Security intelligence updates if the installed Security intelligence is out of date (7 or more days behind)

*.download.microsoft.com

*.download.windowsupdate.com

go.microsoft.com

https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx

맬웨어 제출 저장소Malware submission storage

제출 양식 또는 자동 샘플 제출을 통해 Microsoft에 제출된 파일의 업로드 위치입니다.This is the upload location for files submitted to Microsoft via the Submission form or automatic sample submission

ussus1eastprod.blob.core.windows.net

ussus2eastprod.blob.core.windows.net

ussus3eastprod.blob.core.windows.net

ussus4eastprod.blob.core.windows.net

wsus1eastprod.blob.core.windows.net

wsus2eastprod.blob.core.windows.net

ussus1westprod.blob.core.windows.net

ussus2westprod.blob.core.windows.net

ussus3westprod.blob.core.windows.net

ussus4westprod.blob.core.windows.net

wsus1westprod.blob.core.windows.net

wsus2westprod.blob.core.windows.net

usseu1northprod.blob.core.windows.net

wseu1northprod.blob.core.windows.net

usseu1westprod.blob.core.windows.net

wseu1westprod.blob.core.windows.net

ussuk1southprod.blob.core.windows.net

wsuk1southprod.blob.core.windows.net

ussuk1westprod.blob.core.windows.net

wsuk1westprod.blob.core.windows.net

CRL(인증서 해지 목록)Certificate Revocation List (CRL)

이 목록은 CRL을 업데이트하기 위해 MAPS에 대한 SSL 연결을 만들 때 Windows에서 사용됩니다.This list is used by Windows when creating the SSL connection to MAPS for updating the CRL

http://www.microsoft.com/pkiops/crl/

http://www.microsoft.com/pkiops/certs

http://crl.microsoft.com/pki/crl/products

http://www.microsoft.com/pki/certs

기호 저장소Symbol Store

기호 저장소는 Microsoft Defender 바이러스 백신에서 수정 흐름 중에 중요한 특정 파일을 복원하는 데 사용됩니다.The symbol store is used by Microsoft Defender Antivirus to restore certain critical files during remediation flows

https://msdl.microsoft.com/download/symbols
유니버설 원격 분석 클라이언트Universal Telemetry Client

이 클라이언트는 Windows에서 클라이언트 진단 데이터를 전송하는 데 사용됩니다.This client is used by Windows to send client diagnostic data

Microsoft Defender 바이러스 백신은 제품 품질 모니터링을 위해 원격 분석 사용Microsoft Defender Antivirus uses telemetry for product quality monitoring purposes

이 업데이트는 SSL(TCP 포트 443)을 사용하여 매니페스트를 다운로드하고 다음 DNS 끝점을 사용하는 진단 데이터를 Microsoft에 업로드합니다.The update uses SSL (TCP Port 443) to download manifests and upload diagnostic data to Microsoft that uses the following DNS endpoints:

vortex-win.data.microsoft.com

settings-win.data.microsoft.com

네트워크와 클라우드 간의 연결 유효성 검사Validate connections between your network and the cloud

위에 나열된 URL을 허용한 후 Microsoft Defender 바이러스 백신 클라우드 서비스에 연결되어 있으며 완전히 보호되도록 정보를 올바르게 보고하고 받는지 테스트할 수 있습니다.After allowing the URLs listed above, you can test if you're connected to the Microsoft Defender Antivirus cloud service and are correctly reporting and receiving information to ensure you're fully protected.

cmdline 도구를 사용하여 클라우드 제공 보호 유효성 검사Use the cmdline tool to validate cloud-delivered protection

Microsoft Defender 바이러스 백신 명령줄 유틸리티()와 함께 다음 인수를 사용하여 네트워크가 Microsoft Defender 바이러스 백신 클라우드 서비스와 통신할 수 있는지 mpcmdrun.exe 확인합니다.Use the following argument with the Microsoft Defender Antivirus command-line utility (mpcmdrun.exe) to verify that your network can communicate with the Microsoft Defender Antivirus cloud service:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

참고

명령 프롬프트의 관리자 수준 버전을 열 필요가 있습니다.You need to open an administrator-level version of the command prompt. 시작 메뉴에서 항목을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 클릭한 다음 사용 권한 프롬프트에서 예를 클릭합니다.Right-click the item in the Start menu, click Run as administrator and click Yes at the permissions prompt. 이 명령은 Windows 10 버전 1703 이상에서만 작동됩니다.This command will only work on Windows 10, version 1703 or higher.

자세한 내용은 명령줄 도구를 사용하여 Microsoft Defender 바이러스 mpcmdrun.exe 관리를 참조하세요.For more information, see Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool.

Microsoft에서 가짜 맬웨어 파일을 다운로드하려고 시도Attempt to download a fake malware file from Microsoft

클라우드에 제대로 연결되어 있는 경우 Microsoft Defender 바이러스 백신에서 검색하고 차단하는 샘플 파일을 다운로드할 수 있습니다.You can download a sample file that Microsoft Defender Antivirus will detect and block if you're properly connected to the cloud.

를 방문하여 파일을 https://aka.ms/ioavtest 다운로드합니다.Download the file by visiting https://aka.ms/ioavtest.

참고

이 파일은 실제 맬웨어 조각이 아니기 때문에This file is not an actual piece of malware. 클라우드에 제대로 연결되어 있는지 테스트하도록 설계된 위조 파일입니다.It's a fake file that is designed to test if you're properly connected to the cloud.

제대로 연결된 경우 Microsoft Defender 바이러스 백신 알림이 표시됩니다.If you're properly connected, you'll see a warning Microsoft Defender Antivirus notification.

Microsoft Edge를 사용하는 경우 알림 메시지도 표시됩니다.If you're using Microsoft Edge, you'll also see a notification message:

Edge에서 맬웨어가 발견된 알림 스크린샷

다음을 사용하는 경우 유사한 메시지가 Internet Explorer.A similar message occurs if you're using Internet Explorer:

맬웨어가 발견된 Microsoft Defender AV 알림

또한 Windows 보안 앱의 검사 기록 섹션에서 Quarantined threats 아래에 검색이 표시됩니다.You'll also see a detection under Quarantined threats in the Scan history section in the Windows Security app:

  1. 작업 표시줄에서 방패 아이콘을 클릭하거나 보안에 대한 시작 메뉴를 검색하여 Windows 보안 앱을 열 수 있습니다.Open the Windows Security app by clicking the shield icon in the task bar or searching the start menu for Security.

  2. 바이러스 & 보호를 선택한 다음 보호 기록 을 선택합니다.Select Virus & threat protection, and then select Protection history.

  3. Quarantined threats(Quarantined threats) 섹션에서 전체 기록 보기를 선택하여 검색된 가짜 맬웨어를 표시합니다.Under the Quarantined threats section, select See full history to see the detected fake malware.

    참고

    버전 1703 이전의 Windows 10 버전에는 다른 사용자 인터페이스가 있습니다.Versions of Windows 10 before version 1703 have a different user interface. Windows 보안 앱에서 Microsoft Defender 바이러스 백신을 참조하세요.See Microsoft Defender Antivirus in the Windows Security app.

    Windows 이벤트 로그에는 클라이언트 Windows Defender ID 1116도 표시됩니다.The Windows event log will also show Windows Defender client event ID 1116.