Linux의 엔드포인트용 Microsoft Defender 보안 설정 구성

적용 대상:

• 서버에 대한 엔드포인트용 Microsoft Defender
• 서버 계획 1 또는 계획 2에 대한 Microsoft Defender

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

보안 설정 구성

Linux의 엔드포인트용 Microsoft Defender 바이러스 백신, 맬웨어 방지 보호, 엔드포인트 검색 및 응답 기능을 포함합니다. 이 문서에서는 구성해야 하는 중요한 보안 설정을 요약하고 추가 리소스에 대한 링크를 포함합니다.

보안 설정 구성 옵션

Linux의 엔드포인트용 Defender에서 보안 설정을 구성하려면 두 가지 기본 옵션이 있습니다.

• Microsoft Defender 포털(엔드포인트용 Defender 보안 설정 관리) 또는
• 구성 프로필 사용

명령줄을 사용하려는 경우 이를 사용하여 특정 설정을 구성하고, 진단 수집하고, 검사를 실행하는 등의 작업을 수행할 수 있습니다. Linux 리소스: 명령줄을 사용하여 구성을 참조하세요.

엔드포인트용 Defender 보안 설정 관리

엔드포인트용 Defender 보안 설정 관리라는 기능을 통해 Microsoft Defender 포털(https://security.microsoft.com)에서 Linux의 엔드포인트용 Defender를 구성할 수 있습니다. 보안 정책을 만들고 편집하고 확인하는 방법을 비롯한 자세한 내용은 엔드포인트용 Microsoft Defender 보안 설정 관리를 사용하여 Microsoft Defender 바이러스 백신 관리를 참조하세요.

구성 프로필

파일을 사용하는 .json 구성 프로필을 통해 Linux의 엔드포인트용 Defender에서 설정을 구성할 수 있습니다. 프로필을 설정한 후에는 원하는 관리 도구를 사용하여 프로필을 배포할 수 있습니다. 엔터프라이즈에서 관리하는 기본 설정이 디바이스에서 로컬로 설정된 기본 설정보다 우선합니다. 즉, 엔터프라이즈의 사용자는 이 구성 프로필을 통해 설정된 기본 설정을 변경할 수 없습니다. 관리되는 구성 프로필을 통해 제외를 추가한 경우 관리되는 구성 프로필을 통해서만 제거할 수 있습니다. 명령줄은 로컬로 추가된 제외에 대해 작동합니다.

이 문서에서는 이 프로필의 구조(시작하는 데 사용할 수 있는 권장 프로필 포함)와 프로필을 배포하는 방법에 대한 지침을 설명합니다.

구성 프로필 구조

구성 프로필은 .json 키(기본 설정의 이름을 나타내는)로 식별된 항목과 기본 설정의 특성에 따라 달라지는 값으로 구성된 파일입니다. 값은 숫자 값과 같이 단순하거나 기본 설정의 중첩 목록과 같이 복잡할 수 있습니다.

일반적으로 구성 관리 도구를 사용하여 위치에 /etc/opt/microsoft/mdatp/managed/이름이 mdatp_managed.json 인 파일을 푸시합니다.

구성 프로필의 최상위 수준에는 제품 전체 기본 설정 및 제품의 하위 영역에 대한 항목이 포함되며, 다음 섹션에서 자세히 설명합니다.

권장 구성 프로필

이 섹션에는 다음 두 가지 구성 프로필 예제가 포함되어 있습니다.

• 권장 설정을 시작하는 데 도움이 되는 샘플 프로필입니다.
• 보안 설정에 대한 보다 세부적인 제어를 원하는 조직의 전체 구성 프로필 예제입니다.

시작하려면 organization 첫 번째 샘플 프로필을 사용하는 것이 좋습니다. 보다 세부적인 제어를 위해 전체 구성 프로필 예제 를 대신 사용할 수 있습니다.

샘플 프로필

Linux의 엔드포인트용 Defender에서 제공하는 중요한 보호 기능을 활용하는 데 도움이 됩니다. 다음 구성 프로필:

• RTP(실시간 보호) 사용
• 다음 위협 유형을 처리하는 방법을 지정합니다.
  • PUA(사용자 동의 없이 설치된 애플리케이션)가 차단됨
  • 아카이브 폭탄(압축 속도가 높은 파일)은 제품 로그에 감사됩니다.
• 자동 보안 인텔리전스 업데이트 사용
• 클라우드 제공 보호 사용
• 수준에서 자동 샘플 제출을 safe 사용하도록 설정

{
   "antivirusEngine":{
      "enforcementLevel":"real_time",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ]
   },
   "cloudService":{
      "automaticDefinitionUpdateEnabled":true,
      "automaticSampleSubmissionConsent":"safe",
      "enabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/"
   }
}

전체 구성 프로필 예제

다음 구성 프로필에는 이 문서에 설명된 모든 설정에 대한 항목이 포함되어 있으며 제품에 대한 더 많은 제어를 원하는 고급 시나리오에 사용할 수 있습니다.

{
"antivirusEngine":{
      "enforcementLevel":"passive",
      "behaviorMonitoring": "disabled",
      "scanAfterDefinitionUpdate":true,
      "scanArchives":true,
      "scanHistoryMaximumItems": 10000,
      "scanResultsRetentionDays": 90,
      "maximumOnDemandScanThreads":2,
      "exclusionsMergePolicy":"merge",
      "allowedThreats":[
         "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)"
      ],
      "disallowedThreatActions":[
         "allow",
         "restore"
      ],
      "nonExecMountPolicy":"unmute",
      "unmonitoredFilesystems": ["nfs,fuse"],
      "enableFileHashComputation": false,
      "threatTypeSettingsMergePolicy":"merge",
      "threatTypeSettings":[
         {
            "key":"potentially_unwanted_application",
            "value":"block"
         },
         {
            "key":"archive_bomb",
            "value":"audit"
         }
      ],
      "scanFileModifyPermissions":false,
      "scanFileModifyOwnership":false,
      "scanNetworkSocketEvent":false,
      "offlineDefinitionUpdateUrl": "http://172.22.199.67:8000/linux/production/<EXAMPLE DO NOT USE>",
      "offlineDefintionUpdateFallbackToCloud":false,
      "offlineDefinitionUpdate":"disabled"
   },
   "cloudService":{
      "enabled":true,
      "diagnosticLevel":"optional",
      "automaticSampleSubmissionConsent":"safe",
      "automaticDefinitionUpdateEnabled":true,
      "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/",
      "definitionUpdatesInterval":28800
   },
   "features":{
      "moduleLoad":"disabled",
      "supplementarySensorConfigurations":{
        "enableFilePermissionEvents":"disabled",
        "enableFileOwnershipEvents":"disabled",
        "enableRawSocketEvent":"disabled",
        "enableBootLoaderCalls":"disabled",
        "enableProcessCalls":"disabled",
        "enablePseudofsCalls":"diabled",
        "enableEbpfModuleLoadEvents":"disabled",
        "sendLowfiEvents":"disabled"
      },
      "ebpfSupplementaryEventProvider":"enabled",
      "offlineDefinitionUpdateVerifySig": "disabled"
   },
   "networkProtection":{
      "enforcementLevel":"disabled",
      "disableIcmpInspection":true
   },
   "edr":{
      "groupIds":"GroupIdExample",
      "tags": [
         {
         "key": "GROUP",
         "value": "Tag"
         }
       ]
   },
"exclusionSettings":{
  "exclusions":[
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/home/*/git<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":true,
        "path":"/run<EXAMPLE DO NOT USE>",
        "scopes": [
              "global"
        ]
     },
     {
        "$type":"excludedPath",
        "isDirectory":false,
        "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
        "scopes": [
              "epp", "global"
        ]
     },
     {
        "$type":"excludedFileExtension",
        "extension":".pdf<EXAMPLE DO NOT USE>",
        "scopes": [
              "epp"
        ]
     },
     {
        "$type":"excludedFileName",
        "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
     }
  ],
  "mergePolicy":"admin_only"
}
}

Linux의 엔드포인트용 Defender에서 바이러스 백신, 맬웨어 방지 및 EDR 설정

구성 프로필(.json 파일) 또는 Microsoft Defender 포털(보안 설정 관리)을 사용하든 관계없이 Linux의 엔드포인트용 Defender에서 바이러스 백신, 맬웨어 방지 및 EDR 설정을 구성할 수 있습니다. 다음 섹션에서는 설정을 구성하는 위치와 방법을 설명합니다.

바이러스 백신 엔진 기본 설정

구성 프로필의 바이러스 백신Engine 섹션은 제품의 바이러스 백신 구성 요소의 기본 설정을 관리하는 데 사용됩니다.

Microsoft Defender 바이러스 백신에 대한 적용 수준

바이러스 백신 엔진의 적용 기본 설정을 지정합니다. 적용 수준을 설정하기 위한 세 가지 값이 있습니다.

• 실시간(real_time): 실시간 보호(수정할 때 파일 검색)가 사용하도록 설정됩니다.

• 주문형(on_demand): 파일은 요청 시만 검사됩니다. 이 예제에서는 다음을 수행합니다.

  • 실시간 보호가 꺼져 있습니다.
  • 정의 업데이트는 가 주문형 모드로 설정된 true 경우에도 automaticDefinitionUpdateEnabled 검사가 시작될 때만 발생합니다.

• 수동(passive): 수동 모드에서 바이러스 백신 엔진을 실행합니다. 이 경우 다음이 모두 적용합니다.

  • 실시간 보호가 꺼져 있습니다. 위협은 Microsoft Defender 바이러스 백신에 의해 수정되지 않습니다.
  • 주문형 검사가 켜져 있습니다. 엔드포인트에서 검사 기능을 계속 사용합니다.
  • 자동 위협 수정이 꺼져 있습니다. 파일이 이동되지 않으며 보안 관리자가 필요한 조치를 취할 것으로 예상됩니다.
  • 보안 인텔리전스 업데이트가 켜져 있습니다. 경고는 보안 관리자의 테넌트에서 사용할 수 있습니다.
  • 정의 업데이트는 가 수동 모드로 설정된 true 경우에도 automaticDefinitionUpdateEnabled 검사가 시작될 때만 발생합니다.

동작 모니터링 사용 또는 사용 안 함(RTP를 사용하는 경우)

디바이스에서 동작 모니터링 및 차단 기능을 사용할 수 있는지 여부를 결정합니다.

정의가 업데이트된 후 검사 실행

디바이스에서 새 보안 인텔리전스 업데이트를 다운로드한 후 프로세스 검사를 시작할지 여부를 지정합니다. 이 설정을 사용하도록 설정하면 디바이스의 실행 중인 프로세스에서 바이러스 백신 검사가 트리거됩니다.

검사 보관 파일(주문형 바이러스 백신 검사만 해당)

주문형 바이러스 백신 검사 중에 보관 파일을 검사할지 여부를 지정합니다.

주문형 검사에 대한 병렬 처리 수준

주문형 검사에 대한 병렬 처리 수준을 지정합니다. 이는 검사를 수행하는 데 사용되는 스레드 수에 해당하며 CPU 사용량과 주문형 검사 기간에 영향을 줍니다.

제외 병합 정책

제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(mergeadmin_only)만 조합할 수 있습니다. 관리자 정의(admin_only)는 엔드포인트용 Defender 정책에 의해 구성된 제외입니다. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다.

이 정책은 antivirusEngine 아래에 있으므로 exclusionSettings가 (admin_only)로 구성되지 않는 한 mergePolicy 제외에만 적용 epp 됩니다.

제외 검사

검사에서 제외된 엔터티입니다. 제외는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)

제외 유형

검사에서 제외된 콘텐츠의 형식을 지정합니다.

제외된 콘텐츠의 경로

전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.

경로 형식(파일/디렉터리)

path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.

검사에서 제외된 파일 확장자

파일 확장명별 검색에서 콘텐츠를 제외하는 데 사용됩니다.

검사에서 제외된 프로세스

모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.

nonexec 탑재 음소거

로 표시된 탑재 지점에서 RTP의 동작을 noexec지정합니다. 설정에는 다음 두 가지 값이 있습니다.

• unmuted(unmute): 기본값인 모든 탑재 지점은 RTP의 일부로 검사됩니다.
• 음소거됨(mute): 로 noexec 표시된 탑재 지점이 RTP의 일부로 검사되지 않으므로 다음 탑재 지점을 만들 수 있습니다.
  • 데이터베이스 파일을 보관하기 위한 데이터베이스 서버의 데이터베이스 파일입니다.
  • 파일 서버는 옵션으로 noexec 데이터 파일 탑재점을 유지할 수 있습니다.
  • 백업은 옵션으로 noexec 데이터 파일 탑재 지점을 유지할 수 있습니다.

모니터링 해제 파일 시스템

RTP(실시간 보호)에서 모니터링되지 않음/제외되도록 파일 시스템을 구성합니다. 구성된 파일 시스템은 Microsoft Defender 허용된 파일 시스템 목록에 대해 유효성을 검사합니다. 파일 시스템은 유효성 검사가 성공한 후에만 모니터링할 수 있습니다. 이러한 구성된 모니터링되지 않는 파일 시스템은 Microsoft Defender 바이러스 백신에서 빠른, 전체 및 사용자 지정 검사로 계속 검사됩니다.

기본적으로 NFS 및 Fuse는 RTP, 빠른 검사 및 전체 검사에서 모니터링되지 않습니다. 그러나 사용자 지정 검사를 통해 검사할 수 있습니다. 예를 들어 모니터링되지 않는 파일 시스템 목록에서 NFS를 제거하려면 아래와 같이 관리되는 구성 파일을 업데이트합니다. 그러면 RTP에 대해 모니터링되는 파일 시스템 목록에 NFS가 자동으로 추가됩니다.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": ["Fuse"]
  }
}

모니터링되지 않는 파일 시스템 목록에서 NFS와 Fuse를 모두 제거하려면 다음 코드 조각을 사용합니다.

{
   "antivirusEngine":{
      "unmonitoredFilesystems": []
  }
}

파일 해시 계산 기능 구성

파일 해시 계산 기능을 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하도록 설정하면 엔드포인트용 Defender에서 검사하는 파일에 대한 해시를 계산합니다. 이 기능을 사용하도록 설정하면 디바이스 성능에 영향을 미칠 수 있습니다. 자세한 내용은 파일 표시기 만들기를 참조하세요.

허용되는 위협

제품에 의해 차단되지 않고 대신 실행할 수 있는 위협 목록(이름으로 식별됨)입니다.

허용되지 않는 위협 작업

위협이 감지될 때 디바이스의 로컬 사용자가 수행할 수 있는 작업을 제한합니다. 이 목록에 포함된 작업은 사용자 인터페이스에 표시되지 않습니다.

위협 유형 설정

바이러스 백신 엔진의 threatTypeSettings 기본 설정은 제품에서 특정 위협 유형을 처리하는 방법을 제어하는 데 사용됩니다.

위협 유형

동작이 구성된 위협 유형입니다.

수행할 작업

이전 섹션에 지정된 형식의 위협이 발생할 때 수행할 작업입니다. 다음이 될 수 있습니다.

• 감사: 디바이스는 이러한 유형의 위협으로부터 보호되지 않지만 위협에 대한 항목이 기록됩니다. 이것이 기본값입니다.
• 차단: 디바이스는 이러한 유형의 위협으로부터 보호되며 Microsoft Defender 포털에서 알림을 받습니다.
• 끄기: 디바이스는 이러한 유형의 위협으로부터 보호되지 않으며 아무 것도 기록되지 않습니다.

위협 유형 설정 병합 정책

위협 유형 설정에 대한 병합 정책을 지정합니다. 이는 관리자 정의 설정과 사용자 정의 설정() 또는 관리자 정의 설정(mergeadmin_only)의 조합일 수 있습니다. 관리자 정의(admin_only)는 엔드포인트용 Defender 정책에 의해 구성된 위협 유형 설정입니다. 이 설정을 사용하여 로컬 사용자가 다양한 위협 유형에 대한 자체 설정을 정의하지 못하도록 제한할 수 있습니다.

바이러스 백신 검사 기록 보존(일)

디바이스의 검사 기록에 결과가 보존되는 일 수를 지정합니다. 이전 검사 결과가 기록에서 제거됩니다. 디스크에서 제거된 이전 격리된 파일입니다.

바이러스 백신 검사 기록의 최대 항목 수

검사 기록에 유지할 최대 항목 수를 지정합니다. 항목에는 과거에 수행된 모든 주문형 검사와 모든 바이러스 백신 검색이 포함됩니다.

제외 설정 기본 설정

제외 설정 기본 설정은 현재 미리 보기로 제공됩니다.

구성 프로필의 섹션은 exclusionSettings Linux용 엔드포인트용 Microsoft Defender 대한 다양한 제외를 구성하는 데 사용됩니다.

병합 정책

제외에 대한 병합 정책을 지정합니다. 관리자 정의 및 사용자 정의 제외() 또는 관리자 정의 제외(merge)만 조합할 수 있는지 여부를 지정합니다admin_only. 이 설정을 사용하여 로컬 사용자가 자신의 제외를 정의하지 못하도록 제한할 수 있습니다. 모든 범위를 제외하는 경우 적용할 수 있습니다.

제외

제외해야 하는 엔터티는 전체 경로, 확장명 또는 파일 이름으로 지정할 수 있습니다. 각 제외 엔터티, 즉 전체 경로, 확장명 또는 파일 이름에는 지정할 수 있는 선택적 scope 있습니다. 지정하지 않으면 이 섹션의 scope 기본값은 전역입니다. (제외는 항목 배열로 지정되며 관리자는 필요에 따라 모든 순서로 요소를 지정할 수 있습니다.)

제외 유형

검사에서 제외된 콘텐츠의 형식을 지정합니다.

제외 범위(선택 사항)

제외된 콘텐츠의 제외 범위 집합을 지정합니다. 현재 지원되는 범위는 및 global입니다epp.

관리되는 구성 global 의 exclusionSettings에서 제외에 대해 에 아무것도 지정되지 않은 경우 는 scope 간주됩니다.

제외된 콘텐츠의 경로

전체 파일 경로로 검사에서 콘텐츠를 제외하는 데 사용됩니다.

경로 형식(파일/디렉터리)

path 속성이 파일 또는 디렉터리를 참조하는지 여부를 나타냅니다.

검사에서 제외된 파일 확장자

파일 확장명별 검색에서 콘텐츠를 제외하는 데 사용됩니다.

검사에서 제외된 프로세스

모든 파일 작업이 검사에서 제외되는 프로세스를 지정합니다. 프로세스는 이름(예: ) 또는 전체 경로(예cat/bin/cat: )로 지정할 수 있습니다.

고급 검사 옵션

특정 고급 검사 기능을 사용하도록 다음 설정을 구성할 수 있습니다.

파일 수정 권한 이벤트의 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 실행된 비트를 설정하기 위해 권한이 변경된 경우 파일을 검색합니다.

파일 수정 소유권 이벤트 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 소유권이 변경된 파일을 검색합니다.

원시 소켓 이벤트 검사 구성

이 기능을 사용하도록 설정하면 엔드포인트용 Defender는 원시 소켓/패킷 소켓 만들기 또는 소켓 옵션 설정과 같은 네트워크 소켓 이벤트를 검색합니다.

클라우드 제공 보호 기본 설정

구성 프로필의 cloudService 항목은 제품의 클라우드 기반 보호 기능을 구성하는 데 사용됩니다.

클라우드 제공 보호 사용 또는 사용 안 함

디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부를 결정합니다. 서비스의 보안을 개선하려면 이 기능을 계속 켜두는 것이 좋습니다.

진단 수집 수준

진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다. 이 설정은 제품에서 Microsoft로 보낸 진단 수준을 결정합니다. 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 개인 정보를 참조하세요.

클라우드 블록 수준 구성

이 설정은 엔드포인트용 Defender가 의심스러운 파일을 차단하고 검사하는 데 얼마나 적극적인지를 결정합니다. 이 설정이 켜진 경우 엔드포인트용 Defender는 차단하고 스캔할 의심스러운 파일을 식별할 때 더 공격적입니다. 그렇지 않으면 덜 공격적이므로 빈도를 낮게 차단하고 스캔합니다.

클라우드 블록 수준을 설정하기 위한 5가지 값은 다음과 같습니다.

• 보통(normal): 기본 차단 수준입니다.
• 보통(moderate): 높은 신뢰도 검색에 대해서만 평결을 제공합니다.
• 높음(high): 성능을 최적화하는 동안 알 수 없는 파일을 적극적으로 차단합니다(비자율 파일을 차단할 가능성이 높음).
• High Plus(high_plus): 알 수 없는 파일을 적극적으로 차단하고 추가 보호 조치를 적용합니다(클라이언트 디바이스 성능에 영향을 미칠 수 있음).
• 무관용(zero_tolerance): 알 수 없는 모든 프로그램을 차단합니다.

자동 샘플 제출 사용 또는 사용 안 함

의심스러운 샘플(위협을 포함할 가능성이 있음)이 Microsoft로 전송되는지 여부를 결정합니다. 샘플 제출을 제어하는 세 가지 수준이 있습니다.

• 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
• 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 설정의 기본값입니다.
• 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.

자동 보안 인텔리전스 업데이트 사용 또는 사용 안 함

보안 인텔리전스 업데이트가 자동으로 설치되는지 여부를 결정합니다.

적용 수준에 따라 자동 보안 인텔리전스 업데이트가 다르게 설치됩니다. RTP 모드에서는 업데이트가 주기적으로 설치됩니다. 수동/주문형 모드 업데이트는 모든 검사 전에 설치됩니다.

고급 선택적 기능

특정 고급 기능을 사용하도록 다음 설정을 구성할 수 있습니다.

모듈 로드 기능

모듈 로드 이벤트(공유 라이브러리의 파일 열기 이벤트)를 모니터링할지 여부를 결정합니다.

감염된 파일 수정 기능

감염된 파일을 열거나 로드하는 감염된 프로세스가 수정되는지 여부를 결정합니다.

보조 센서 구성

다음 설정을 사용하여 특정 고급 보조 센서 기능을 구성할 수 있습니다.

파일 수정 권한 이벤트의 모니터링 구성

파일 수정 권한 이벤트(chmod)를 모니터링할지 여부를 결정합니다.

파일 수정 소유권 이벤트의 모니터링 구성

파일 수정 소유권 이벤트()를chown 모니터링할지 여부를 결정합니다.

원시 소켓 이벤트 모니터링 구성

원시 소켓/패킷 소켓 생성 또는 소켓 옵션 설정과 관련된 네트워크 소켓 이벤트를 모니터링할지 여부를 결정합니다.

부팅 로더 이벤트 모니터링 구성

부팅 로더 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

ptrace 이벤트 모니터링 구성

ptrace 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

pseudofs 이벤트의 모니터링 구성

pseudofs 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

eBPF를 사용하여 모듈 로드 이벤트 모니터링 구성

eBPF를 사용하여 모듈 로드 이벤트를 모니터링하고 검사하는지 여부를 결정합니다.

eBPF를 사용하여 특정 파일 시스템의 열린 이벤트 모니터링 구성

procfs의 열린 이벤트가 eBPF에서 모니터링되는지 여부를 결정합니다.

eBPF를 사용하여 이벤트의 원본 보강 구성

이벤트가 eBPF의 원본에서 메타데이터로 보강되는지 여부를 결정합니다.

바이러스 백신 엔진 캐시 사용

바이러스 백신 엔진에서 검사하는 이벤트의 메타데이터가 캐시되는지 여부를 결정합니다.

EDR에 AV 의심스러운 이벤트 보고

바이러스 백신의 의심스러운 이벤트가 EDR에 보고되는지 여부를 확인합니다.

네트워크 보호 구성

다음 설정을 사용하여 네트워크 보호에서 검사되는 트래픽을 제어하는 고급 네트워크 보호 검사 기능을 구성할 수 있습니다.

적용 수준

ICMP 검사 구성

ICMP 이벤트를 모니터링하고 검사할지 여부를 결정합니다.

구성 프로필에 태그 또는 그룹 ID 추가

명령을 처음 실행 mdatp health 하면 태그 및 그룹 ID의 값이 비어 있습니다. 파일에 태그 또는 그룹 ID를 mdatp_managed.json 추가하려면 다음 단계를 수행합니다.

1. 경로 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json에서 구성 프로필을 엽니다.

2. 블록이 있는 cloudService 파일의 맨 아래로 이동합니다.

3. 에 대한 닫는 중괄호 끝에 다음 예제와 같이 필요한 태그 또는 그룹 ID를 cloudService추가합니다.

   },
   "cloudService": {
    "enabled": true,
    "diagnosticLevel": "optional",
    "automaticSampleSubmissionConsent": "safe",
    "automaticDefinitionUpdateEnabled": true,
    "proxy": "http://proxy.server:port/"
   },
   "edr": {
   "groupIds":"GroupIdExample",
   "tags": [
            {
            "key": "GROUP",
            "value": "Tag"
            }
          ]
      }
   }
   

   참고

   블록 끝에 있는 닫는 중괄호 뒤에 쉼표를 추가합니다 cloudService . 또한 태그 또는 그룹 ID 블록을 추가한 후 두 개의 닫는 중괄호가 있는지 확인합니다(위의 예제 참조). 현재 태그에 대해 지원되는 유일한 키 이름은 입니다 GROUP.

구성 프로필 유효성 검사

구성 프로필은 유효한 JSON 형식의 파일이어야 합니다. 이를 확인하는 데 사용할 수 있는 많은 도구가 있습니다. 예를 들어 디바이스에 설치한 경우 python :

python -m json.tool mdatp_managed.json

JSON이 올바른 형식인 경우 위의 명령은 이를 터미널로 다시 출력하고 의 0종료 코드를 반환합니다. 그렇지 않으면 문제를 설명하는 오류가 표시되고 명령은 의 1종료 코드를 반환합니다.

mdatp_managed.json 파일이 예상대로 작동하는지 확인

제대로 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json 작동하는지 확인하려면 다음 설정 옆에 "[관리]"가 표시됩니다.

• cloud_enabled
• cloud_automatic_sample_submission_consent
• passive_mode_enabled
• real_time_protection_enabled
• automatic_definition_update_enabled

구성 프로필 배포

엔터프라이즈에 대한 구성 프로필을 빌드한 후에는 엔터프라이즈에서 사용하는 관리 도구를 통해 배포할 수 있습니다. Linux의 엔드포인트용 Defender는 에서 /etc/opt/microsoft/mdatp/managed/mdatp_managed.json관리되는 구성을 읽습니다.