엔드포인트용 Microsoft Defender 비정상 센서 수정

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

디바이스는 다른 이유로 잘못 구성되거나 비활성 상태로 분류될 수 있습니다. 이 문서에서는 디바이스가 비활성 또는 잘못 구성된 것으로 분류되는 이유에 대한 정보를 제공합니다.

비활성 장치

비활성 디바이스가 문제 때문에 반드시 플래그가 지정되지는 않습니다. 디바이스에서 수행되는 다음 작업으로 인해 디바이스가 비활성으로 분류될 수 있습니다.

• 디바이스가 사용 중이 아닙니다.
• 디바이스가 다시 설치되었거나 이름이 바뀌었습니다.
• 디바이스가 오프보보드되었습니다.
• 디바이스가 신호를 보내지 않음

디바이스가 사용 중이 아닙니다.

7일 이상 사용하지 않는 모든 디바이스는 포털에서 '비활성' 상태 유지합니다.

디바이스가 다시 설치되었거나 이름이 바뀌었습니다.

Microsoft Defender XDR 새 디바이스 엔터티가 다시 설치되거나 이름이 바뀐 디바이스에 대해 생성됩니다. 이전 디바이스 엔터티는 포털에 '비활성' 상태 상태로 유지됩니다. 디바이스를 다시 설치하고 엔드포인트용 Defender 패키지를 배포한 경우 새 디바이스 이름을 검색하여 디바이스가 정상적으로 보고되고 있는지 확인합니다.

디바이스가 오프보보드되었습니다.

디바이스가 오프보트된 경우에도 디바이스 목록에 표시됩니다. 7일이 지나면 디바이스 상태가 비활성 상태로 변경됩니다.

디바이스가 신호를 보내지 않음

디바이스가 어떤 이유로든 7일 이상 엔드포인트용 Microsoft Defender 채널에 신호를 보내지 않는 경우 디바이스를 비활성으로 간주할 수 있습니다. 잘못 구성된 디바이스는 비활성으로 간주될 수도 있습니다.

잘못 구성된 장치

잘못 구성된 디바이스는 다음으로 추가로 분류할 수 있습니다.

• 통신 장애가 있는 경우
• 센서 데이터 없음

통신 장애가 있는 경우

이 상태 디바이스와 서비스 간에 통신이 제한되어 있음을 나타냅니다.

다음 제안된 작업은 통신 장애가 있는 잘못 구성된 디바이스와 관련된 문제를 해결하는 데 도움이 될 수 있습니다.

• 디바이스에 인터넷 연결이 있는지 확인합니다. 엔드포인트용 Microsoft Defender 센서를 사용하려면 센서 데이터를 보고하고 엔드포인트용 Microsoft Defender 서비스와 통신하기 위해 WinHTTP(Microsoft Windows HTTP)가 필요합니다.

• 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결을 확인합니다. 프록시 구성이 성공적으로 완료되었는지, WinHTTP가 사용자 환경의 프록시 서버를 통해 검색하고 통신할 수 있는지, 프록시 서버에서 엔드포인트용 Microsoft Defender 서비스 URL에 대한 트래픽을 허용하는지 확인합니다.

수정 작업을 수행했고 디바이스 상태 여전히 잘못 구성된 경우 지원 티켓을 엽니다.

센서 데이터 없음

'센서 데이터 없음'상태 잘못 구성된 디바이스는 서비스와 통신하지만 부분 센서 데이터만 보고할 수 있습니다.

'센서 데이터 없음'을 상태 잘못 구성된 디바이스와 관련된 알려진 문제를 해결하려면 다음 작업을 수행합니다.

• 디바이스에 인터넷 연결이 있는지 확인합니다. 엔드포인트용 Microsoft Defender 센서를 사용하려면 센서 데이터를 보고하고 엔드포인트용 Microsoft Defender 서비스와 통신하기 위해 WinHTTP(Microsoft Windows HTTP)가 필요합니다.

• 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결을 확인합니다. 프록시 구성이 성공적으로 완료되었는지, WinHTTP가 사용자 환경의 프록시 서버를 통해 검색하고 통신할 수 있는지, 프록시 서버에서 엔드포인트용 Microsoft Defender 서비스 URL에 대한 트래픽을 허용하는지 확인합니다.

• 진단 데이터 서비스가 사용하도록 설정되어 있는지 확인합니다. 디바이스가 올바르게 보고되지 않는 경우 Windows 진단 데이터 서비스가 자동으로 시작되도록 설정되어 있는지 확인해야 합니다. 또한 Windows 진단 데이터 서비스가 엔드포인트에서 실행되고 있는지 확인합니다.

• Microsoft Defender 바이러스 백신이 정책에 의해 비활성화되지 않았는지 확인합니다. 디바이스가 타사 맬웨어 방지 클라이언트를 실행하는 경우 엔드포인트용 Defender 에이전트는 Microsoft Defender 바이러스 백신 조기 실행 맬웨어 방지(ELAM) 드라이버를 사용하도록 설정해야 합니다.

• 약 48시간(주말) 이상 절전 모드인 macOS 디바이스의 경우 macOS의 엔드포인트용 Microsoft Defender 여전히 CnC(명령 및 제어) 채널 데이터를 전송하지만 사이버 채널 데이터는 보내지 않습니다. 첫 영업일에 디바이스를 켜고 사용한 후에는 디바이스가 활성 상태로 표시됩니다.

수정 작업을 수행했고 디바이스 상태 여전히 잘못 구성된 경우 지원 티켓을 엽니다.

참고 항목

• 엔드포인트용 Microsoft Defender 센서 상태 확인
• 클라이언트 분석기 개요
• 클라이언트 분석기 다운로드 및 실행
• Windows에서 클라이언트 분석기 실행
• macOS 또는 Linux에서 클라이언트 분석기 실행
• Windows에서 고급 문제 해결을 위한 데이터 수집

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.