Linux에서 끝점용 Microsoft Defender에 대한 기본 설정 설정Set preferences for Microsoft Defender for Endpoint on Linux

적용 대상:Applies to:

Endpoint용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록합니다.Sign up for a free trial.

중요

이 항목에는 엔터프라이즈 환경에서 Linux에서 끝점용 Defender에 대한 기본 설정을 설정하는 방법에 대한 지침이 포함되어 있습니다.This topic contains instructions for how to set preferences for Defender for Endpoint on Linux in enterprise environments. 명령줄에서 디바이스에서 제품을 구성하는 데 관심이 있는 경우 리소스를 참조하세요.If you are interested in configuring the product on a device from the command-line, see Resources.

엔터프라이즈 환경에서 Linux의 끝점용 Defender는 구성 프로필을 통해 관리할 수 있습니다.In enterprise environments, Defender for Endpoint on Linux can be managed through a configuration profile. 이 프로필은 선택한 관리 도구에서 배포됩니다.This profile is deployed from the management tool of your choice. 엔터프라이즈에서 관리하는 기본 설정이 디바이스에서 로컬로 설정된 기본 설정보다 우선합니다.Preferences managed by the enterprise take precedence over the ones set locally on the device. 즉, 기업의 사용자는 이 구성 프로필을 통해 설정된 기본 설정을 변경할 수 없습니다.In other words, users in your enterprise are not able to change preferences that are set through this configuration profile.

이 문서에서는 이 프로필의 구조(시작하는 데 사용할 수 있는 권장 프로필 포함)와 프로필 배포 방법에 대한 지침을 제공합니다.This article describes the structure of this profile (including a recommended profile that you can use to get started) and instructions on how to deploy the profile.

구성 프로필 구조Configuration profile structure

구성 프로필은 키(기본 설정의 이름을 나타임)로 식별되는 항목과 기본 설정의 특성에 따라 값이 이어지는 .json 파일입니다.The configuration profile is a .json file that consists of entries identified by a key (which denotes the name of the preference), followed by a value, which depends on the nature of the preference. 값은 숫자 값과 같이 단순하거나 중첩된 기본 설정 목록과 같은 복잡한 값일 수 있습니다.Values can be simple, such as a numerical value, or complex, such as a nested list of preferences.

일반적으로 구성 관리 도구를 사용하여 위치에 이름이 있는 파일을 mdatp_managed.json /etc/opt/microsoft/mdatp/managed/ 푸시합니다.Typically, you would use a configuration management tool to push a file with the name mdatp_managed.json at the location /etc/opt/microsoft/mdatp/managed/.

구성 프로필의 최상위 수준에는 제품 수준 기본 설정 및 제품의 하위 항목에 대한 항목이 포함되어 있으며, 이 내용은 다음 섹션에서 자세히 설명합니다.The top level of the configuration profile includes product-wide preferences and entries for subareas of the product, which are explained in more detail in the next sections.

바이러스 백신 엔진 기본 설정Antivirus engine preferences

구성 프로필의 antivirusEngine 섹션은 제품의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.The antivirusEngine section of the configuration profile is used to manage the preferences of the antivirus component of the product.

Key antivirusEngineantivirusEngine
Data typeData type 사전(중첩된 기본 설정)Dictionary (nested preference)
CommentsComments 사전 콘텐츠에 대한 설명은 다음 섹션을 참조하세요.See the following sections for a description of the dictionary contents.

실시간 보호 사용/사용 안 하도록 설정Enable / disable real-time protection

실시간 보호(액세스할 때 파일 검색)를 사용할지 여부를 확인합니다.Determines whether real-time protection (scan files as they are accessed) is enabled or not.

Key enableRealTimeProtectionenableRealTimeProtection
Data typeData type 부울Boolean
사용 가능한 값:Possible values true(기본값)true (default)
falsefalse

수동 모드 사용/사용 안 하도록 설정Enable / disable passive mode

바이러스 백신 엔진이 수동 모드에서 실행될지 여부를 결정합니다.Determines whether the antivirus engine runs in passive mode or not. 수동 모드:In passive mode:

  • 실시간 보호가 꺼져 있습니다.Real-time protection is turned off.
  • On-demand scanning is turned on.On-demand scanning is turned on.
  • 자동 위협 수정이 꺼져 있습니다.Automatic threat remediation is turned off.
  • 보안 인텔리전스 업데이트가 켜져 있습니다.Security intelligence updates are turned on.
  • 상태 메뉴 아이콘이 숨겨집니다.Status menu icon is hidden.
Key passiveModepassiveMode
Data typeData type 부울Boolean
사용 가능한 값:Possible values false(기본값)false (default)
truetrue
CommentsComments Endpoint 버전 100.67.60 이상용 Defender에서 사용할 수 있습니다.Available in Defender for Endpoint version 100.67.60 or higher.

제외 병합 정책Exclusion merge policy

제외에 대한 병합 정책을 지정합니다.Specifies the merge policy for exclusions. 관리자 정의 및 사용자 정의 제외( ) 또는 관리자 정의 제외()만 조합할 mergeadmin_only 있습니다.It can be a combination of administrator-defined and user-defined exclusions (merge) or only administrator-defined exclusions (admin_only). 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.This setting can be used to restrict local users from defining their own exclusions.

Key exclusionsMergePolicyexclusionsMergePolicy
Data typeData type StringString
사용 가능한 값:Possible values 병합(기본값)merge (default)
admin_onlyadmin_only
CommentsComments Defender for Endpoint 버전 100.83.73 이상에서 사용할 수 있습니다.Available in Defender for Endpoint version 100.83.73 or higher.

제외 검사Scan exclusions

검사에서 제외된 엔터티입니다.Entities that have been excluded from the scan. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다.Exclusions can be specified by full paths, extensions, or file names. 제외는 항목 배열로 지정됩니다. 관리자는 필요한 수의 요소를 순서에 따라 지정할 수 있습니다.(Exclusions are specified as an array of items, administrator can specify as many elements as necessary, in any order.)

Key 제외exclusions
Data typeData type 사전(중첩된 기본 설정)Dictionary (nested preference)
CommentsComments 사전 콘텐츠에 대한 설명은 다음 섹션을 참조하세요.See the following sections for a description of the dictionary contents.

제외 유형Type of exclusion

검색에서 제외된 콘텐츠의 형식을 지정합니다.Specifies the type of content excluded from the scan.

Key $type$type
Data typeData type StringString
사용 가능한 값:Possible values excludedPathexcludedPath
excludedFileExtensionexcludedFileExtension
excludedFileNameexcludedFileName

제외된 콘텐츠의 경로Path to excluded content

전체 파일 경로로 검색에서 콘텐츠를 제외하는 데 사용됩니다.Used to exclude content from the scan by full file path.

Key pathpath
Data typeData type StringString
사용 가능한 값:Possible values 유효한 경로valid paths
CommentsComments 제외된 $type 적용 가능Applicable only if $type is excludedPath

경로 유형(파일/디렉터리)Path type (file / directory)

path 속성이 파일 또는 디렉터리를 참조하는지 나타냅니다.Indicates if the path property refers to a file or directory.

Key isDirectoryisDirectory
Data typeData type 부울Boolean
사용 가능한 값:Possible values false(기본값)false (default)
truetrue
CommentsComments 제외된 $type 적용 가능Applicable only if $type is excludedPath

검사에서 제외된 파일 확장명File extension excluded from the scan

파일 확장명에 의해 검색에서 콘텐츠를 제외하는 데 사용됩니다.Used to exclude content from the scan by file extension.

Key extensionextension
Data typeData type StringString
사용 가능한 값:Possible values 유효한 파일 확장명valid file extensions
CommentsComments 제외된 $type FileExtension만 적용할 수 있습니다.Applicable only if $type is excludedFileExtension

검사에서 제외된 프로세스Process excluded from the scan

모든 파일 활동이 검사에서 제외되는 프로세스를 지정합니다.Specifies a process for which all file activity is excluded from scanning. 프로세스는 이름(예: ) 또는 전체 경로(예: )로 지정할 cat/bin/cat 있습니다.The process can be specified either by its name (for example, cat) or full path (for example, /bin/cat).

Key namename
Data typeData type StringString
사용 가능한 값:Possible values 모든 문자열any string
CommentsComments excludedFileName이 $type만 적용할 수 있습니다. Applicable only if $type is excludedFileName

허용되는 위협Allowed threats

제품에서 차단되지 않고 대신 실행할 수 있는 위협 목록(해당 이름으로 식별)입니다.List of threats (identified by their name) that are not blocked by the product and are instead allowed to run.

Key allowedThreatsallowedThreats
Data typeData type 문자열 배열Array of strings

위협 작업 수 없습니다.Disallowed threat actions

위협이 감지될 때 장치의 로컬 사용자가 수행할 수 있는 작업을 제한합니다.Restricts the actions that the local user of a device can take when threats are detected. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.The actions included in this list are not displayed in the user interface.

Key disallowedThreatActionsdisallowedThreatActions
Data typeData type 문자열 배열Array of strings
사용 가능한 값:Possible values allow (restricts users from allow threats)allow (restricts users from allowing threats)
restore(사용자가 검지에서 위협을 복원하는 것을 제한함)restore (restricts users from restoring threats from the quarantine)
CommentsComments Defender for Endpoint 버전 100.83.73 이상에서 사용할 수 있습니다.Available in Defender for Endpoint version 100.83.73 or higher.

위협 유형 설정Threat type settings

바이러스 백신 엔진의 threatTypeSettings 기본 설정은 특정 위협 유형이 제품에서 처리되는 방법을 제어하는 데 사용됩니다.The threatTypeSettings preference in the antivirus engine is used to control how certain threat types are handled by the product.

Key threatTypeSettingsthreatTypeSettings
Data typeData type 사전(중첩된 기본 설정)Dictionary (nested preference)
CommentsComments 사전 콘텐츠에 대한 설명은 다음 섹션을 참조하세요.See the following sections for a description of the dictionary contents.

위협 유형Threat type

동작이 구성된 위협 유형입니다.Type of threat for which the behavior is configured.

Key key
Data typeData type StringString
사용 가능한 값:Possible values potentially_unwanted_applicationpotentially_unwanted_application
archive_bombarchive_bomb

수행할 작업Action to take

이전 섹션에 지정된 유형의 위협에 부과될 때 취할 조치입니다.Action to take when coming across a threat of the type specified in the preceding section. 다음이 될 수 있습니다.Can be:

  • 감사: 장치가 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다.Audit: The device is not protected against this type of threat, but an entry about the threat is logged.
  • 차단: 이 유형의 위협으로부터 장치가 보호되고 보안 콘솔에 알림을 제공합니다.Block: The device is protected against this type of threat and you are notified in the security console.
  • Off: 이 유형의 위협으로부터 장치가 보호되지는 않습니다. 아무것도 기록되지 않습니다.Off: The device is not protected against this type of threat and nothing is logged.
Key value
Data typeData type StringString
사용 가능한 값:Possible values 감사(기본값)audit (default)
blockblock
offoff

위협 유형 설정 병합 정책Threat type settings merge policy

위협 유형 설정에 대한 병합 정책을 지정합니다.Specifies the merge policy for threat type settings. 이는 관리자 정의 및 사용자 정의 설정( ) 또는 관리자 정의 설정()의 merge 조합일 수 admin_only 있습니다.This can be a combination of administrator-defined and user-defined settings (merge) or only administrator-defined settings (admin_only). 이 설정을 사용하여 로컬 사용자가 서로 다른 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.This setting can be used to restrict local users from defining their own settings for different threat types.

Key threatTypeSettingsMergePolicythreatTypeSettingsMergePolicy
Data typeData type StringString
사용 가능한 값:Possible values 병합(기본값)merge (default)
admin_onlyadmin_only
CommentsComments Defender for Endpoint 버전 100.83.73 이상에서 사용할 수 있습니다.Available in Defender for Endpoint version 100.83.73 or higher.

바이러스 백신 검사 기록 보존(일)Antivirus scan history retention (in days)

장치의 검사 기록에 결과가 보존되는 일 수를 지정합니다.Specify the number of days that results are retained in the scan history on the device. 이전 검사 결과가 기록에서 제거됩니다.Old scan results are removed from the history. 디스크에서 제거된 오래된 고지된 파일입니다.Old quarantined files that are also removed from the disk.

Key scanResultsRetentionDaysscanResultsRetentionDays
Data typeData type StringString
사용 가능한 값:Possible values 90(기본값)90 (default). 허용되는 값은 1일에서 180일까지입니다.Allowed values are from 1 day to 180 days.
CommentsComments Endpoint 버전 101.04.76 이상용 Defender에서 사용할 수 있습니다.Available in Defender for Endpoint version 101.04.76 or higher.

바이러스 백신 검사 기록의 최대 항목 수Maximum number of items in the antivirus scan history

검사 기록에 유지할 최대 항목 수를 지정합니다.Specify the maximum number of entries to keep in the scan history. 항목에는 과거에 수행된 모든 요구 시 검사와 모든 바이러스 백신 검색이 포함됩니다.Entries include all on-demand scans performed in the past and all antivirus detections.

Key scanHistoryMaximumItemsscanHistoryMaximumItems
Data typeData type StringString
사용 가능한 값:Possible values 10000(기본값)10000 (default). 허용되는 값은 5,000개 항목에서 15,000개 항목까지입니다.Allowed values are from 5000 items to 15000 items.
CommentsComments Endpoint 버전 101.04.76 이상용 Defender에서 사용할 수 있습니다.Available in Defender for Endpoint version 101.04.76 or higher.

클라우드 제공 보호 기본 설정Cloud-delivered protection preferences

구성 프로필의 cloudService 항목은 제품의 클라우드 기반 보호 기능을 구성하는 데 사용됩니다.The cloudService entry in the configuration profile is used to configure the cloud-driven protection feature of the product.

Key cloudServicecloudService
Data typeData type 사전(중첩된 기본 설정)Dictionary (nested preference)
CommentsComments 사전 콘텐츠에 대한 설명은 다음 섹션을 참조하세요.See the following sections for a description of the dictionary contents.

클라우드 제공 보호 사용/사용 안 하도록 설정Enable / disable cloud delivered protection

장치에서 클라우드 제공 보호를 사용할지 여부를 확인합니다.Determines whether cloud-delivered protection is enabled on the device or not. 서비스의 보안을 개선하기 위해 이 기능을 켜져 있는 것이 좋습니다.To improve the security of your services, we recommend keeping this feature turned on.

Key 활성화됨enabled
Data typeData type 부울Boolean
사용 가능한 값:Possible values true(기본값)true (default)
falsefalse

진단 수집 수준Diagnostic collection level

진단 데이터는 Endpoint용 Defender를 안전하고 최신 상태를 유지하며, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다.Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements. 이 설정은 제품이 Microsoft에 전송한 진단 수준을 결정하는 설정입니다.This setting determines the level of diagnostics sent by the product to Microsoft.

Key diagnosticLeveldiagnosticLevel
Data typeData type StringString
사용 가능한 값:Possible values 선택 사항(기본값)optional (default)
필수required

자동 샘플 제출 사용/사용 안 하도록 설정Enable / disable automatic sample submissions

의심스러운 샘플(위협이 포함될 가능성이 높음)을 Microsoft로 보낼지 여부를 결정합니다.Determines whether suspicious samples (that are likely to contain threats) are sent to Microsoft. 샘플 제출을 제어하는 세 가지 수준이 있습니다.There are three levels for controlling sample submission:

  • 없음: 의심스러운 샘플이 Microsoft에 제출하지 않습니다.None: no suspicious samples are submitted to Microsoft.
  • 안전: PII(개인 식별 정보)를 포함하지 않는 의심스러운 샘플만 자동으로 제출됩니다.Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. 이 설정의 기본값입니다.This is the default value for this setting.
  • 모두: 의심스러운 모든 샘플이 Microsoft에 제출됩니다.All: all suspicious samples are submitted to Microsoft.
Key automaticSampleSubmissionConsentautomaticSampleSubmissionConsent
Data typeData type StringString
사용 가능한 값:Possible values 없음none
안전(기본값)safe (default)
allall

자동 보안 인텔리전스 업데이트 사용/사용 안 하도록 설정Enable / disable automatic security intelligence updates

보안 인텔리전스 업데이트가 자동으로 설치될지 여부를 확인합니다.Determines whether security intelligence updates are installed automatically:

Key automaticDefinitionUpdateEnabledautomaticDefinitionUpdateEnabled
Data typeData type 부울Boolean
사용 가능한 값:Possible values true(기본값)true (default)
falsefalse

시작하려면 엔터프라이즈에서 다음과 같은 구성 프로필을 사용하여 Endpoint용 Defender에서 제공하는 모든 보호 기능을 활용하는 것이 좋습니다.To get started, we recommend the following configuration profile for your enterprise to take advantage of all protection features that Defender for Endpoint provides.

다음 구성 프로필은 다음과 같습니다.The following configuration profile will:

  • RTP(실시간 보호) 사용Enable real-time protection (RTP)
  • 다음 위협 유형을 처리하는 방법을 지정합니다.Specify how the following threat types are handled:
    • 잠재적으로 원치 않는 응용 프로그램(PUA)이 차단됩니다.Potentially unwanted applications (PUA) are blocked
    • 보관함(압축률이 높은 파일)이 제품 로그에 감사됩니다.Archive bombs (file with a high compression rate) are audited to the product logs
  • 자동 보안 인텔리전스 업데이트 사용Enable automatic security intelligence updates
  • 클라우드 제공 보호 사용Enable cloud-delivered protection
  • 수준에서 자동 샘플 제출 safe 사용Enable automatic sample submission at safe level

샘플 프로필Sample profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy":"http://proxy.server:port/"
   }
}

전체 구성 프로필 예제Full configuration profile example

다음 구성 프로필에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 제품을 보다 잘 제어하려는 고급 시나리오에 사용할 수 있습니다.The following configuration profile contains entries for all settings described in this document and can be used for more advanced scenarios where you want more control over the product.

전체 프로필Full profile

{
   "antivirusEngine":{
      "enableRealTimeProtection":true,
      "passiveMode":false,
      "exclusionsMergePolicy":"merge",
      "exclusions":[
         {
            "$type":"excludedPath",
            "isDirectory":false,
            "path":"/var/log/system.log"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/run"
         },
         {
            "$type":"excludedPath",
            "isDirectory":true,
            "path":"/home/*/git"
         },
         {
            "$type":"excludedFileExtension",
            "extension":".pdf"
         },
         {
            "$type":"excludedFileName",
            "name":"cat"
         }
      ],
      "allowedThreats":[
         "EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "http://proxy.server:port/"
   }
}

구성 프로필 유효성 검사Configuration profile validation

구성 프로필은 유효한 JSON 형식 파일되어야 합니다.The configuration profile must be a valid JSON-formatted file. 이를 확인하는 데 사용할 수 있는 도구는 여러 가지가 있습니다.There are a number of tools that can be used to verify this. 예를 들어 장치에 python 설치한 경우:For example, if you have python installed on your device:

python -m json.tool mdatp_managed.json

JSON이 잘 구성되면 위의 명령은 터미널에 다시 출력하고 의 종료 코드를 0 반환합니다.If the JSON is well-formed, the above command outputs it back to the Terminal and returns an exit code of 0. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령은 의 종료 코드를 1 반환합니다.Otherwise, an error that describes the issue is displayed and the command returns an exit code of 1.

파일의 mdatp_managed.js올바르게 작동하고 있는지 확인Verifying that the mdatp_managed.json file is working as expected

/etc/opt/microsoft/mdatp/managed/mdatp_managed.js제대로 작동하고 있는지 확인하려면 다음 설정 옆에 "[관리]"가 표시됩니다.To verify that your /etc/opt/microsoft/mdatp/managed/mdatp_managed.json is working properly, you should see "[managed]" next to these settings:

  • cloud_enabledcloud_enabled
  • cloud_automatic_sample_submission_consentcloud_automatic_sample_submission_consent
  • passice_mode_enabledpassice_mode_enabled
  • real_time_protection_enabledreal_time_protection_enabled
  • automatic_definition_update_enabledautomatic_definition_update_enabled

참고

이 mdatp_managed.js적용하려면 wdavdaemon을 다시 시작할 필요는 없습니다.For the mdatp_managed.json to take effect, no restart of the wdavdaemon is required.

구성 프로필 배포Configuration profile deployment

엔터프라이즈의 구성 프로필을 작성한 후 엔터프라이즈에서 사용하는 관리 도구를 통해 배포할 수 있습니다.Once you've built the configuration profile for your enterprise, you can deploy it through the management tool that your enterprise is using. Linux의 끝점용 Defender는 /etc/opt/microsoft/mdatp/managed/mdatp_managed.js 관리되는 구성을 읽습니다.Defender for Endpoint on Linux reads the managed configuration from the /etc/opt/microsoft/mdatp/managed/mdatp_managed.json file.