macOS에서 엔드포인트용 Microsoft Defender 리소스
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
진단 정보 수집
문제를 재현할 수 있는 경우 로깅 수준을 높이고, 일정 시간 동안 시스템을 실행하고, 로깅 수준을 기본값으로 복원합니다.
로깅 수준 늘리기:
mdatp log level set --level debugLog level configured successfully문제 재현
실행
sudo mdatp diagnostic create하여 엔드포인트용 Microsoft Defender 로그를 백업합니다. 파일은 .zip 보관 파일에 저장됩니다. 이 명령은 작업이 성공한 후 백업에 대한 파일 경로도 출력합니다.팁
기본적으로 진단 로그는 .에
/Library/Application Support/Microsoft/Defender/wdavdiag/저장됩니다. 진단 로그가 저장되는 디렉터리를 변경하려면 아래 명령으로 전달--path [directory]하여 원하는 디렉터리로 바[directory]꿉니다.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"로깅 수준 복원:
mdatp log level set --level infoLog level configured successfully
로깅 설치 문제
설치하는 동안 오류가 발생하면 설치 관리자는 일반 오류만 보고합니다.
자세한 로그는 .에 /Library/Logs/Microsoft/mdatp/install.log저장됩니다. 설치 중에 문제가 발생하는 경우 원인을 진단할 수 있도록 이 파일을 보내주세요.
제거
macOS에서 엔드포인트용 Microsoft Defender 제거하는 방법에는 여러 가지가 있습니다. 중앙에서 관리되는 제거는 JAMF에서 사용할 수 있지만 아직 Microsoft Intune 사용할 수 없습니다.
대화형 제거
- Finder > 애플리케이션을 엽니다. 휴지통으로 이동 엔드포인트용 Microsoft Defender > 마우스 오른쪽 단추를 클릭합니다.
지원되는 출력 형식
테이블 및 JSON 형식 출력 형식을 지원합니다. 각 명령에는 기본 출력 동작이 있습니다. 다음 명령을 사용하여 원하는 출력 형식으로 출력을 수정할 수 있습니다.
-output json
-output table
명령줄에서
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
명령줄에서 구성
제품 설정 제어 및 주문형 검사 트리거와 같은 중요한 작업은 명령줄에서 수행할 수 있습니다.
| 그룹 | 시나리오 | 명령 |
|---|---|---|
| 구성 | 실시간 보호 켜기/끄기 | mdatp config real-time-protection --value [enabled/disabled] |
| 구성 | 클라우드 보호 켜기/끄기 | mdatp config cloud --value [enabled/disabled] |
| 구성 | 제품 진단 켜기/끄기 | mdatp config cloud-diagnostic --value [enabled/disabled] |
| 구성 | 자동 샘플 제출 켜기/끄기 | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| 구성 | 허용된 목록에 위협 이름 추가 | mdatp threat allowed add --name [threat-name] |
| 구성 | 허용된 목록에서 위협 이름 제거 | mdatp threat allowed remove --name [threat-name] |
| 구성 | 허용되는 모든 위협 이름 나열 | mdatp threat allowed list |
| 구성 | PUA 보호 켜기 | mdatp threat policy set --type potentially_unwanted_application -- action block |
| 구성 | PUA 보호 끄기 | mdatp threat policy set --type potentially_unwanted_application -- action off |
| 구성 | PUA 보호에 대한 감사 모드 켜기 | mdatp threat policy set --type potentially_unwanted_application -- action audit |
| 구성 | 바이러스 백신 수동 모드 켜기/끄기 | mdatp config passive-mode --value [enabled/disabled] |
| 구성 | 주문형 검사에 대한 병렬 처리 수준 구성 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 구성 | 보안 인텔리전스 업데이트 후 검사 켜기/끄기 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 구성 | 보관 검색 켜기/끄기(주문형 검사만 해당) | mdatp config scan-archives --value [enabled/disabled] |
| 구성 | 파일 해시 계산 켜기/끄기 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 진단 | 로그 수준 변경 | mdatp log level set --level [error/warning/info/verbose] |
| 진단 | 진단 로그 생성 | mdatp diagnostic create --path [directory] |
| 상태 | 제품의 상태 확인 | mdatp health |
| 상태 | Spefic 제품 특성 확인 | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| 보호 | 경로 검사 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 보호 | 빠른 검사 수행 | mdatp scan quick |
| 보호 | 전체 검사 수행 | mdatp scan full |
| 보호 | 진행 중인 주문형 검사 취소 | mdatp scan cancel |
| 보호 | 보안 인텔리전스 업데이트 요청 | mdatp definitions update |
| EDR | 태그 설정/제거, 지원되는 GROUP만 | mdatp edr tag set --name GROUP --value [name] |
| EDR | 디바이스에서 그룹 태그 제거 | mdatp edr tag remove --tag-name [name] |
| EDR | 그룹 ID 추가 | mdatp edr group-ids --group-id [group] |
자동 완성을 사용하도록 설정하는 방법
bash에서 자동 완성을 사용하도록 설정하려면 다음 명령을 실행하고 터미널 세션을 다시 시작합니다.
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
zsh에서 자동 완성을 사용하도록 설정하려면 다음을 수행합니다.
디바이스에서 자동 완성을 사용할 수 있는지 확인합니다.
cat ~/.zshrc | grep autoload위의 명령이 출력을 생성하지 않는 경우 다음 명령을 사용하여 자동 완성을 사용하도록 설정할 수 있습니다.
echo "autoload -Uz compinit && compinit" >> ~/.zshrc다음 명령을 실행하여 macOS에서 엔드포인트용 Microsoft Defender 자동 완성을 사용하도록 설정하고 터미널 세션을 다시 시작합니다.
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
클라이언트 엔드포인트용 Microsoft Defender 격리 디렉터리
/Library/Application Support/Microsoft/Defender/quarantine/ 에 의해 mdatp격리된 파일이 포함되어 있습니다. 파일 이름은 위협 추적Id의 이름을 따서 지정됩니다. 현재 trackingId는 .와 함께 mdatp threat list표시됩니다.
포털 정보 엔드포인트용 Microsoft Defender
macOS용 EDR 기능이 이제 엔드포인트용 Microsoft Defender 블로그에 도착하여 엔드포인트용 Microsoft Defender Security Center에서 예상되는 사항에 대한 자세한 지침을 제공합니다.