Linux의 엔드포인트용 Microsoft Defender 기본 설정
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
중요
이 항목에는 엔터프라이즈 환경에서 Linux의 엔드포인트용 Defender 기본 설정을 지정하는 방법에 대한 지침이 포함되어 있습니다. 명령줄에서 디바이스에서 제품을 구성하려면 리소스를 참조 하세요.
엔터프라이즈 환경에서는 Linux의 엔드포인트용 Defender를 구성 프로필을 통해 관리할 수 있습니다. 이 프로필은 선택한 관리 도구에서 배포됩니다. 엔터프라이즈에서 관리하는 기본 설정이 디바이스에 로컬로 설정된 기본 설정보다 우선합니다. 즉, 엔터프라이즈의 사용자는 이 구성 프로필을 통해 설정된 기본 설정을 변경할 수 없습니다. 관리되는 구성 프로필을 통해 제외를 추가한 경우 관리되는 구성 프로필을 통해서만 제거할 수 있습니다. 명령줄은 로컬에 추가된 제외에 대해 작동합니다.
이 문서에서는 이 프로필의 구조(시작하는 데 사용할 수 있는 권장 프로필 포함) 및 프로필을 배포하는 방법에 대한 지침을 설명합니다.
구성 프로필 구조
구성 프로필은 기본 설정의 특성에 따라 값이 뒤에 있는 키(기본 설정의 이름을 나타내는)로 식별되는 항목으로 구성된 .json 파일입니다. 값은 숫자 값과 같이 단순하거나 기본 설정의 중첩된 목록과 같이 복잡할 수 있습니다.
일반적으로 구성 관리 도구를 사용하여 위치에 /etc/opt/microsoft/mdatp/managed/이름이 mdatp_managed.json 있는 파일을 푸시합니다.
구성 프로필의 최상위 수준에는 제품 전체 기본 설정 및 제품의 하위 영역에 대한 항목이 포함되며, 다음 섹션에서 자세히 설명합니다.
바이러스 백신 엔진 기본 설정
구성 프로필의 바이러스 백신 섹션은 제품의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | antivirusEngine |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
바이러스 백신 엔진에 대한 적용 수준
바이러스 백신 엔진의 적용 기본 설정을 지정합니다. 적용 수준을 설정하는 세 가지 값이 있습니다.
- 실시간(
real_time): 실시간 보호(액세스 시 파일 검색)가 사용하도록 설정됩니다. - 주문형(
on_demand): 파일은 요청 시만 검사됩니다. 여기서는 다음을 수행합니다.- 실시간 보호가 꺼져 있습니다.
- 수동(
passive): 수동 모드에서 바이러스 백신 엔진을 실행합니다. 여기서는 다음을 수행합니다.- 실시간 보호가 꺼져 있습니다.
- 주문형 검색이 켜져 있습니다.
- 자동 위협 수정이 꺼져 있습니다.
- 보안 인텔리전스 업데이트가 켜져 있습니다.
| 설명 | 값 |
|---|---|
| 키 | enforcementLevel |
| Data type | String |
| 사용 가능한 값: | real_time(기본값) on_demand 수동 |
| Comments | 엔드포인트용 Defender 버전 101.10.72 이상에서 사용할 수 있습니다. |
동작 모니터링 사용/사용 안 함
디바이스에서 동작 모니터링 및 차단 기능을 사용할 수 있는지 여부를 결정합니다. 보안 보호의 효율성을 향상하려면 이 기능을 계속 켜두는 것이 좋습니다.
| 설명 | 값 |
|---|---|
| 키 | behaviorMonitoring |
| Data type | String |
| 사용 가능한 값: | 사용 안 함(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
파일 해시 계산 기능 구성
파일 해시 계산 기능을 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 검사하는 파일에 대한 해시를 계산합니다. 이 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 자세한 내용은 다음을 참조하세요. 파일에 대한 표시기 만들기.
| 설명 | 값 |
|---|---|
| 키 | enableFileHashComputation |
| Data type | String |
| 사용 가능한 값: | 사용 안 함(기본값) 활성화됨 |
| Comments | 엔드포인트용 Defender 버전 101.73.77 이상에서 사용할 수 있습니다. |
정의가 업데이트된 후 검사 실행
디바이스에서 새 보안 인텔리전스 업데이트를 다운로드한 후 프로세스 검사를 시작할지 여부를 지정합니다. 이 설정을 사용하도록 설정하면 디바이스의 실행 중인 프로세스에서 바이러스 백신 검사가 트리거됩니다.
| 설명 | 값 |
|---|---|
| 키 | scanAfterDefinitionUpdate |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
| Comments | 엔드포인트용 Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
보관 파일 검사(주문형 바이러스 백신 검사만 해당)
주문형 바이러스 백신 검사 중에 보관 파일을 검사할지 여부를 지정합니다.
| 설명 | 값 |
|---|---|
| 키 | scanArchives |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
| Comments | 엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
주문형 검사에 대한 병렬 처리 수준
주문형 검사에 대한 병렬 처리 수준을 지정합니다. 이는 검색을 수행하는 데 사용되는 스레드 수에 해당하며 CPU 사용량과 주문형 검사 기간에 영향을 줍니다.
| 설명 | 값 |
|---|---|
| 키 | maximumOnDemandScanThreads |
| Data type | 정수 |
| 사용 가능한 값: | 2(기본값). 허용되는 값은 1에서 64 사이의 정수입니다. |
| Comments | 엔드포인트용 Microsoft Defender 버전 101.45.00 이상에서 사용할 수 있습니다. |
제외 병합 정책
제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(merge``admin_only)만 조합할 수 있습니다. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | exclusionsMergePolicy |
| Data type | String |
| 사용 가능한 값: | merge(기본값) admin_only |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
제외 검사
검사에서 제외된 엔터티입니다. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. (제외는 항목 배열로 지정되며, 관리자는 필요에 따라 모든 순서로 많은 요소를 지정할 수 있습니다.)
| 설명 | 값 |
|---|---|
| 키 | 제외 |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
제외 유형
검사에서 제외된 콘텐츠의 형식을 지정합니다.
| 설명 | 값 |
|---|---|
| 키 | $type |
| Data type | String |
| 사용 가능한 값: | excludedPath excludedFileExtension excludedFileName |
제외된 콘텐츠의 경로
전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | 경로 |
| Data type | String |
| 사용 가능한 값: | 유효한 경로 |
| Comments | $type excludedPath 인 경우에만 적용할 수 있습니다. |
경로 형식(파일/디렉터리)
경로 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.
| 설명 | 값 |
|---|---|
| 키 | isDirectory |
| Data type | 부울 |
| 사용 가능한 값: | false(기본값) true |
| Comments | $type excludedPath 인 경우에만 적용할 수 있습니다. |
검사에서 제외된 파일 확장자
파일 확장자를 통해 검색에서 콘텐츠를 제외하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | 확장 |
| Data type | String |
| 사용 가능한 값: | 유효한 파일 확장자 |
| Comments | $type excludedFileExtension인 경우에만 적용할 수 있습니다. |
검사에서 제외된 프로세스*
모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat``/bin/cat: )로 지정할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | 이름 |
| Data type | String |
| 사용 가능한 값: | 모든 문자열 |
| Comments | $type excludedFileName 인 경우에만 적용할 수 있습니다. |
허용되는 위협
제품에 의해 차단되지 않고 대신 실행할 수 있는 위협 목록(이름으로 식별됨)입니다.
| 설명 | 값 |
|---|---|
| 키 | allowedThreats |
| Data type | 문자열 배열 |
허용되지 않는 위협 작업
위협이 감지될 때 디바이스의 로컬 사용자가 수행할 수 있는 작업을 제한합니다. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.
| 설명 | 값 |
|---|---|
| 키 | disallowedThreatActions |
| Data type | 문자열 배열 |
| 사용 가능한 값: | 허용(사용자가 위협을 허용하지 않도록 제한) 복원(사용자가 격리에서 위협을 복원하지 못하도록 제한) |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
위협 유형 설정
바이러스 백신 엔진의 threatTypeSettings 기본 설정은 제품에서 특정 위협 유형을 처리하는 방법을 제어하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | threatTypeSettings |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
위협 유형
동작이 구성된 위협 유형입니다.
| 설명 | 값 |
|---|---|
| 키 | 키 |
| Data type | String |
| 사용 가능한 값: | potentially_unwanted_application archive_bomb |
수행할 작업
이전 섹션에 지정된 형식의 위협이 발생할 때 수행할 작업입니다. 다음을 수행할 수 있습니다.
- 감사: 디바이스는 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다.
- 차단: 디바이스는 이러한 유형의 위협으로부터 보호되며 보안 콘솔에서 알림을 받습니다.
- 끄기: 디바이스는 이러한 유형의 위협으로부터 보호되지 않으며 아무 것도 기록되지 않습니다.
| 설명 | 값 |
|---|---|
| 키 | 값 |
| Data type | String |
| 사용 가능한 값: | audit(기본값) 블록 끄기 |
위협 유형 설정 병합 정책
위협 유형 설정에 대한 병합 정책을 지정합니다. 관리자 정의 설정과 사용자 정의 설정() 또는 관리자 정의 설정(merge``admin_only)만 조합할 수 있습니다. 이 설정을 사용하여 로컬 사용자가 다양한 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.
| 설명 | 값 |
|---|---|
| 키 | threatTypeSettingsMergePolicy |
| Data type | String |
| 사용 가능한 값: | merge(기본값) admin_only |
| Comments | 엔드포인트용 Defender 버전 100.83.73 이상에서 사용할 수 있습니다. |
바이러스 백신 검사 기록 보존(일)
디바이스의 검사 기록에 결과가 보존되는 일 수를 지정합니다. 이전 검사 결과가 기록에서 제거됩니다. 디스크에서 제거된 오래된 격리된 파일입니다.
| 설명 | 값 |
|---|---|
| 키 | scanResultsRetentionDays |
| Data type | String |
| 사용 가능한 값: | 90(기본값). 허용되는 값은 1일에서 180일까지입니다. |
| Comments | 엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다. |
바이러스 백신 검사 기록의 최대 항목 수
검사 기록에 유지할 최대 항목 수를 지정합니다. 항목에는 과거에 수행된 모든 주문형 검사와 모든 바이러스 백신 검색이 포함됩니다.
| 설명 | 값 |
|---|---|
| 키 | scanHistoryMaximumItems |
| Data type | String |
| 사용 가능한 값: | 10000(기본값). 허용되는 값은 5000개 항목에서 15000개 항목까지입니다. |
| Comments | 엔드포인트용 Defender 버전 101.04.76 이상에서 사용할 수 있습니다. |
클라우드 제공 보호 기본 설정
구성 프로필의 cloudService 항목은 제품의 클라우드 기반 보호 기능을 구성하는 데 사용됩니다.
| 설명 | 값 |
|---|---|
| 키 | cloudService |
| Data type | 사전(중첩된 기본 설정) |
| Comments | 사전 내용에 대한 설명은 다음 섹션을 참조하세요. |
클라우드 제공 보호 사용/사용 안 함
디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부를 결정합니다. 서비스의 보안을 향상하려면 이 기능을 계속 켜두는 것이 좋습니다.
| 설명 | 값 |
|---|---|
| 키 | 활성화됨 |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
진단 수집 수준
진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다. 이 설정은 제품에서 Microsoft로 보낸 진단 수준을 결정합니다.
| 설명 | 값 |
|---|---|
| 키 | diagnosticLevel |
| Data type | String |
| 사용 가능한 값: | 선택적 필수(기본값) |
클라우드 블록 수준 구성
이 설정은 엔드포인트용 Defender가 의심스러운 파일을 차단하고 검색하는 데 얼마나 적극적인지를 결정합니다. 이 설정이 설정되면 차단 및 검색할 의심스러운 파일을 식별할 때 엔드포인트용 Defender가 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 더 적은 빈도로 차단하고 스캔합니다. 클라우드 블록 수준을 설정하기 위한 다섯 가지 값이 있습니다.
- 보통(
normal): 기본 차단 수준입니다. - 보통(
moderate): 높은 신뢰도 감지에 대해서만 평결을 제공합니다. - 높음(
high): 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(유해하지 않은 파일을 차단할 가능성이 높음). - High Plus(
high_plus): 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있음). - 무관용(
zero_tolerance): 알 수 없는 모든 프로그램을 차단합니다.
| 설명 | 값 |
|---|---|
| 키 | cloudBlockLevel |
| Data type | String |
| 사용 가능한 값: | normal(기본값) 온건한 높은 high_plus zero_tolerance |
| Comments | 엔드포인트용 Defender 버전 101.56.62 이상에서 사용할 수 있습니다. |
자동 샘플 제출 사용/사용 안 함
의심스러운 샘플(위협을 포함할 가능성이 있는)이 Microsoft로 전송되는지 여부를 결정합니다. 샘플 제출을 제어하기 위한 세 가지 수준이 있습니다.
- 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
- 안전: PII(개인 식별 정보)를 포함하지 않는 의심스러운 샘플만 자동으로 제출됩니다. 이 설정의 기본값입니다.
- 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.
| 설명 | 값 |
|---|---|
| 키 | automaticSampleSubmissionConsent |
| Data type | String |
| 사용 가능한 값: | 없음 safe(기본값) 모든 |
자동 보안 인텔리전스 업데이트 사용/사용 안 함
보안 인텔리전스 업데이트가 자동으로 설치되는지 여부를 결정합니다.
| 설명 | 값 |
|---|---|
| 키 | automaticDefinitionUpdateEnabled |
| Data type | 부울 |
| 사용 가능한 값: | true(기본값) false |
권장 구성 프로필
시작하려면 엔드포인트용 Defender에서 제공하는 모든 보호 기능을 활용하려면 엔터프라이즈에 대해 다음 구성 프로필을 사용하는 것이 좋습니다.
다음 구성 프로필은 다음과 같습니다.
- RTP(실시간 보호) 사용
- 다음 위협 유형을 처리하는 방법을 지정합니다.
- PUA(잠재적으로 원치 않는 애플리케이션) 가 차단됨
- 보관 폭탄 (압축 속도가 높은 파일)은 제품 로그에 감사됩니다.
- 자동 보안 인텔리전스 업데이트 사용
- 클라우드 제공 보호 사용
- 수준에서 자동 샘플 제출 사용
safe - 동작 모니터링 사용
샘플 프로필
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"automaticDefinitionUpdateEnabled":true,
"automaticSampleSubmissionConsent":"safe",
"enabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
전체 구성 프로필 예제
다음 구성 프로필에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 제품에 대한 더 많은 제어를 원하는 고급 시나리오에 사용할 수 있습니다.
전체 프로필
{
"antivirusEngine":{
"enforcementLevel":"real_time",
"scanAfterDefinitionUpdate":true,
"scanArchives":true,
"maximumOnDemandScanThreads":2,
"exclusionsMergePolicy":"merge",
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run"
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git"
},
{
"$type":"excludedFileExtension",
"extension":".pdf"
},
{
"$type":"excludedFileName",
"name":"cat"
}
],
"allowedThreats":[
"<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
],
"disallowedThreatActions":[
"allow",
"restore"
],
"threatTypeSettingsMergePolicy":"merge",
"threatTypeSettings":[
{
"key":"potentially_unwanted_application",
"value":"block"
},
{
"key":"archive_bomb",
"value":"audit"
}
]
},
"cloudService":{
"enabled":true,
"diagnosticLevel":"optional",
"automaticSampleSubmissionConsent":"safe",
"automaticDefinitionUpdateEnabled":true,
"proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
}
}
구성 프로필에 태그 또는 그룹 ID 추가
명령을 처음으로 실행 mdatp health 하면 태그 및 그룹 ID의 값이 비어 있습니다. 파일에 태그 또는 그룹 ID를 mdatp_managed.json 추가하려면 다음 단계를 수행합니다.
- 경로
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json에서 구성 프로필을 엽니다. - 블록이 있는 파일의 아래쪽으로
cloudService이동합니다. - 에 대한 닫는 중괄호 끝에 다음 예제와 같이 필요한 태그 또는 그룹 ID를
cloudService추가합니다.
},
"cloudService": {
"enabled": true,
"diagnosticLevel": "optional",
"automaticSampleSubmissionConsent": "safe",
"automaticDefinitionUpdateEnabled": true,
"proxy": "http://proxy.server:port/"
},
"edr": {
"groupIds":"GroupIdExample",
"tags": [
{
"key": "GROUP",
"value": "Tag"
}
]
}
}
참고
블록 끝에 cloudService 있는 닫는 중괄호 뒤에 쉼표를 추가하는 것을 잊지 마세요. 또한 태그 또는 그룹 ID 블록을 추가한 후 두 개의 닫는 중괄호가 있는지 확인합니다(위의 예제 참조). 현재 태그에 대해 지원되는 유일한 키 이름은 .입니다 GROUP.
구성 프로필 유효성 검사
구성 프로필은 유효한 JSON 형식 파일이어야 합니다. 이를 확인하는 데 사용할 수 있는 여러 도구가 있습니다. 예를 들어 디바이스에 설치한 경우 python :
python -m json.tool mdatp_managed.json
JSON이 올바른 형식인 경우 위의 명령은 터미널로 다시 출력하고 종료 코드를 0반환합니다. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령이 종료 코드를 1반환합니다.
mdatp_managed.json 파일이 예상대로 작동하는지 확인
/etc/opt/microsoft/mdatp/managed/mdatp_managed.json이 제대로 작동하는지 확인하려면 다음 설정 옆에 "[관리]"가 표시됩니다.
- cloud_enabled
- cloud_automatic_sample_submission_consent
- passive_mode_enabled
- real_time_protection_enabled
- automatic_definition_update_enabled
참고
mdatp_managed.json을 적용하려면 디먼을 mdatp 다시 시작할 필요가 없습니다.
구성 프로필 배포
엔터프라이즈용 구성 프로필을 빌드한 후에는 엔터프라이즈에서 사용하는 관리 도구를 통해 배포할 수 있습니다. Defender for Endpoint on Linux는 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 파일에서 관리되는 구성을 읽습니다.