엔드포인트용 Microsoft Defender(Linux용)

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 Linux에서 엔드포인트용 Microsoft Defender 설치, 구성, 업데이트 및 사용하는 방법을 설명합니다.

주의

Linux에서 엔드포인트용 Microsoft Defender 함께 다른 타사 엔드포인트 보호 제품을 실행하면 성능 문제와 예측할 수 없는 부작용이 발생할 수 있습니다. 비 Microsoft 엔드포인트 보호가 사용자 환경에서 절대 요구 사항인 경우 수동 모드에서 실행되도록 바이러스 백신 기능을 구성한 후에도 Linux EDR의 엔드포인트용 Defender 기능을 안전하게 활용할 수 있습니다.

Linux에 엔드포인트용 Microsoft Defender 설치하는 방법

Linux용 엔드포인트용 Microsoft Defender 맬웨어 방지 및 EDR(엔드포인트 검색 및 응답) 기능이 포함됩니다.

필수 구성 요소

  • Microsoft Defender 포털에 대한 액세스

  • 시스템 시스템 관리자를 사용한 Linux 배포

    참고

    시스템 관리자를 사용하는 Linux 배포(RHEL/CentOS 6.x 제외)는 SystemV와 Upstart를 모두 지원합니다.

  • Linux 및 BASH 스크립팅의 초급 수준 환경

  • 디바이스에 대한 관리 권한(수동 배포의 경우)

참고

Linux 에이전트의 엔드포인트용 Microsoft Defender OMS 에이전트와 독립적입니다. 엔드포인트용 Microsoft Defender 자체 독립 원격 분석 파이프라인을 사용합니다.

설치 지침

Linux에서 엔드포인트용 Microsoft Defender 설치하고 구성하는 데 사용할 수 있는 몇 가지 방법 및 배포 도구가 있습니다.

일반적으로 다음 단계를 수행해야 합니다.

참고

기본 설치 경로 이외의 다른 위치에 엔드포인트용 Microsoft Defender 설치하는 것은 지원되지 않습니다.

linux의 엔드포인트용 Microsoft Defender 임의의 UID 및 GID를 사용하여 "mdatp" 사용자를 만듭니다. UID 및 GID를 제어하려면 "/usr/sbin/nologin" 셸 옵션을 사용하여 설치하기 전에 "mdatp" 사용자를 만듭니다. 예: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin

시스템 요구 사항

  • 지원되는 Linux 서버 배포 및 x64(AMD64/EM64T) 및 x86_64 버전:

    • Red Hat Enterprise Linux 6.7 이상(미리 보기)

    • Red Hat Enterprise Linux 7.2 이상

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 6.7 이상(미리 보기)

    • CentOS 7.2 이상

    • Ubuntu 16.04 LTS 이상 LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12 이상

    • SUSE Linux Enterprise Server 15 이상

    • Oracle Linux 7.2 이상

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33 이상

    • Rocky 8.7 이상

    • 앨마 8.4 이상

    • 마리너 2

      참고

      명시적으로 나열되지 않은 배포판 및 버전은 지원되지 않습니다(공식적으로 지원되는 배포판에서 파생된 경우에도). 2024년 6월 30일까지 '수명 연장'에 대한 RHEL 6 지원이 종료됩니다. RHEL 6에 대한 MDE Linux 지원은 2024년 6월 30일까지 더 이상 사용되지 않습니다MDE Linux 버전 101.23082.0011은 RHEL 6.7 이상 버전을 지원하는 마지막 MDE Linux 릴리스입니다(2024년 6월 30일 이전에 만료되지 않음). 고객은 Red Hat의 지침에 따라 RHEL 6 인프라로 업그레이드를 계획하는 것이 좋습니다.

  • 지원되는 커널 버전 목록

    참고

    Red Hat Enterprise Linux 및 CentOS의 엔드포인트용 Microsoft Defender - 6.7~6.10은 커널 기반 솔루션입니다. 최신 커널 버전으로 업데이트하기 전에 커널 버전이 지원되는지 확인해야 합니다. 지원되는 다른 모든 배포판 및 버전에 대한 엔드포인트용 Microsoft Defender 커널 버전에 구애받지 않습니다. 커널 버전이 3.10.0-327보다 크거나 커널 버전에 대한 요구 사항을 최소화합니다.

    • fanotify 커널 옵션을 사용하도록 설정해야 합니다.
    • Red Hat Enterprise Linux 6 및 CentOS 6:
      • 6.7: 2.6.32-573.* (2.6.32-573.el6.x86_64 제외)
      • 6.8의 경우: 2.6.32-642.*
      • 6.9: 2.6.32-696.* (2.6.32-696.el6.x86_64 제외)
      • 6.10의 경우:
        • 2.6.32-754.10.1.el6.x86_64
        • 2.6.32-754.11.1.el6.x86_64
        • 2.6.32-754.12.1.el6.x86_64
        • 2.6.32-754.14.2.el6.x86_64
        • 2.6.32-754.15.3.el6.x86_64
        • 2.6.32-754.17.1.el6.x86_64
        • 2.6.32-754.18.2.el6.x86_64
        • 2.6.32-754.2.1.el6.x86_64
        • 2.6.32-754.22.1.el6.x86_64
        • 2.6.32-754.23.1.el6.x86_64
        • 2.6.32-754.24.2.el6.x86_64
        • 2.6.32-754.24.3.el6.x86_64
        • 2.6.32-754.25.1.el6.x86_64
        • 2.6.32-754.27.1.el6.x86_64
        • 2.6.32-754.28.1.el6.x86_64
        • 2.6.32-754.29.1.el6.x86_64
        • 2.6.32-754.29.2.el6.x86_64
        • 2.6.32-754.3.5.el6.x86_64
        • 2.6.32-754.30.2.el6.x86_64
        • 2.6.32-754.33.1.el6.x86_64
        • 2.6.32-754.35.1.el6.x86_64
        • 2.6.32-754.39.1.el6.x86_64
        • 2.6.32-754.41.2.el6.x86_64
        • 2.6.32-754.43.1.el6.x86_64
        • 2.6.32-754.47.1.el6.x86_64
        • 2.6.32-754.48.1.el6.x86_64
        • 2.6.32-754.49.1.el6.x86_64
        • 2.6.32-754.6.3.el6.x86_64
        • 2.6.32-754.9.1.el6.x86_64

    참고

    새 패키지 버전이 릴리스되면 이전 두 버전에 대한 지원이 기술 지원으로만 축소됩니다. 이 섹션에 나열된 버전보다 오래된 버전은 기술 업그레이드 지원을 위해 제공됩니다.

    주의

    다른 fanotify기반 보안 솔루션과 함께 Linux에서 엔드포인트용 Defender를 실행하는 것은 지원되지 않습니다. 운영 체제 중단을 포함하여 예측할 수 없는 결과가 발생할 수 있습니다. 시스템에 차단 모드에서 사용하는 fanotify 다른 애플리케이션이 있는 경우 애플리케이션은 명령 출력 필드에 mdatp health 나열 conflicting_applications 됩니다. Linux FAPolicyD 기능은 차단 모드에서 를 사용 fanotify 하므로 활성 모드에서 엔드포인트용 Defender를 실행할 때 지원되지 않습니다. 바이러스 백신 기능 실시간 보호를 수동 모드로 사용하도록 설정한 후에도 Linux EDR의 엔드포인트용 Defender 기능을 안전하게 활용할 수 있습니다.

  • 디스크 공간: 2GB

    참고

    크래시 컬렉션에 클라우드 진단 사용하도록 설정된 경우 추가로 2GB 디스크 공간이 필요할 수 있습니다.

  • /opt/microsoft/mdatp/sbin/wdavdaemon에는 실행 가능한 권한이 필요합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 설치 문제 해결의 "디먼에 실행 권한이 있는지 확인"을 참조하세요.

  • 코어: 최소 2개, 기본 설정 4개

  • 메모리: 최소 1GB, 기본 설정 4개

    참고

    /var에 사용 가능한 디스크 공간이 있는지 확인하세요.

  • RTP, 빠른, 전체 및 사용자 지정 검사에 대해 지원되는 파일 시스템 목록입니다.

    RTP, 빠른, 전체 검사 사용자 지정 검사
    Btrfs RTP, 빠른, 전체 검사에 지원되는 모든 파일 시스템
    ecryptfs Efs
    ext2 S3fs
    ext3 Blobfuse
    ext4 윤기
    퓨즈 glustrefs
    fuseblk Afs
    Jfs Sshfs
    nfs(v3에만 해당) Cifs
    오버레이 Smb
    ramfs gcsfuse
    reiserfs Sysfs
    tmpfs
    Udf
    Vfat
    Xfs

서비스를 사용하도록 설정한 후에는 네트워크 또는 방화벽을 구성하여 해당 서비스와 엔드포인트 간의 아웃바운드 연결을 허용해야 합니다.

  • 감사 프레임워크(auditd)를 사용하도록 설정해야 합니다.

    참고

    에 추가 /etc/audit/rules.d/ 된 규칙에 의해 캡처된 시스템 이벤트는 에 추가audit.log되고 호스트 감사 및 업스트림 컬렉션에 영향을 줄 수 있습니다. linux에서 엔드포인트용 Microsoft Defender 추가한 이벤트에는 키로 mdatp 태그가 지정됩니다.

외부 패키지 종속성

mdatp 패키지에 대한 다음 외부 패키지 종속성이 있습니다.

  • mdatp RPM 패키지에는 "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"가 필요합니다.
  • RHEL6의 경우 mdatp RPM 패키지에는 "audit", "policycoreutils", "libselinux", "mde-netfilter"가 필요합니다.
  • DEBIAN의 경우 mdatp 패키지에는 "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"가 필요합니다.

mde-netfilter 패키지에는 다음 패키지 종속성도 있습니다.

  • DEBIAN의 경우 mde-netfilter 패키지에는 "libnetfilter-queue1", "libglib2.0-0"이 필요합니다.
  • RPM의 경우 mde-netfilter 패키지에는 "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"가 필요합니다.

종속성 오류 누락으로 인해 엔드포인트용 Microsoft Defender 설치가 실패하는 경우 필수 구성 요소 종속성을 수동으로 다운로드할 수 있습니다.

제외 구성

Microsoft Defender 바이러스 백신에 제외를 추가할 때는 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수를 염두에 두어야 합니다.

네트워크 연결

다음 다운로드 가능한 스프레드시트에는 네트워크에서 연결할 수 있어야 하는 서비스 및 관련 URL이 나열되어 있습니다. 이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인해야 합니다. 있는 경우 특별히 허용 규칙을 만들어야 할 수 있습니다.

도메인 목록의 스프레드시트 설명
상용 고객에 대한 URL 목록 엔드포인트용 Microsoft Defender 상용 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다.

여기에서 스프레드시트를 다운로드합니다.
Gov/GCC/DoD에 대한 URL 목록 엔드포인트용 Microsoft Defender Gov/GCC/DoD 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다.

여기에서 스프레드시트를 다운로드합니다.

참고

보다 구체적인 URL 목록은 프록시 및 인터넷 연결 설정 구성을 참조하세요.

엔드포인트용 Defender는 다음 검색 방법을 사용하여 프록시 서버를 검색할 수 있습니다.

  • 투명한 프록시
  • 수동 정적 프록시 구성

프록시 또는 방화벽이 익명 트래픽을 차단하는 경우 이전에 나열된 URL에서 익명 트래픽이 허용되는지 확인합니다. 투명한 프록시의 경우 엔드포인트용 Defender에 대한 추가 구성이 필요하지 않습니다. 정적 프록시의 경우 수동 정적 프록시 구성의 단계를 수행합니다.

경고

PAC, WPAD 및 인증된 프록시는 지원되지 않습니다. 정적 프록시 또는 투명 프록시만 사용되고 있는지 확인합니다.

SSL 검사 및 가로채는 프록시도 보안상의 이유로 지원되지 않습니다. 가로채기 없이 Linux의 엔드포인트용 Defender에서 관련 URL로 데이터를 직접 전달하도록 SSL 검사 및 프록시 서버에 대한 예외를 구성합니다. 가로채기 인증서를 전역 저장소에 추가해도 가로채기가 허용되지 않습니다.

문제 해결 단계는 Linux의 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결을 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender 업데이트하는 방법

Microsoft는 성능, 보안을 개선하고 새로운 기능을 제공하기 위해 소프트웨어 업데이트를 정기적으로 게시합니다. Linux에서 엔드포인트용 Microsoft Defender 업데이트하려면 Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender를 구성하는 방법

엔터프라이즈 환경에서 제품을 구성하는 방법에 대한 지침은 Linux의 엔드포인트용 Microsoft Defender 대한 기본 설정 설정에서 확인할 수 있습니다.

엔드포인트용 Microsoft Defender 일반적인 애플리케이션이 영향을 미칠 수 있습니다.

특정 애플리케이션의 높은 I/O 워크로드는 엔드포인트용 Microsoft Defender 설치될 때 성능 문제가 발생할 수 있습니다. 여기에는 Jenkins 및 Jira와 같은 개발자 시나리오용 애플리케이션과 OracleDB 및 Postgres와 같은 데이터베이스 워크로드가 포함됩니다. 성능 저하가 발생하는 경우 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수를 염두에 두고 신뢰할 수 있는 애플리케이션에 대한 제외를 설정하는 것이 좋습니다. 추가 지침은 타사 애플리케이션에서 바이러스 백신 제외와 관련된 컨설팅 설명서를 고려하세요.

리소스

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.