macOS에서 Microsoft Defender 바이러스 백신의 동작 모니터링

아티클
05/30/2024

적용 대상:

중요

일부 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 미리 출시된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

필수 구성 요소

디바이스가 엔드포인트용 Microsoft Defender에 온보딩됩니다.
미리 보기 기능은 Microsoft XDR 포털(https://security.microsoft.com)에서 사용할 수 있습니다.
디바이스는 베타 채널 (이전의 InsiderFast)에 있어야 합니다.
최소 엔드포인트용 Microsoft Defender 버전 번호는 베타(Insiders-Fast): 101.24042.0002 이상이어야 합니다. 버전 번호는 app_version ( 플랫폼 업데이트라고도 함)를 나타냅니다.
RTP(Real-Time Protection)가 사용하도록 설정되어 있는지 확인합니다.
클라우드 제공 보호가 사용하도록 설정되어 있는지 확인합니다.
디바이스를 미리 보기에 명시적으로 등록해야 합니다.

개요

동작 모니터링은 프로세스 동작을 모니터링하여 시스템 내의 애플리케이션, 디먼 및 파일의 동작에 따라 잠재적 위협을 감지하고 분석합니다. 동작 모니터링은 소프트웨어가 실시간으로 작동하는 방식을 관찰하므로 새롭고 진화하는 위협에 신속하게 적응하고 차단할 수 있습니다.

배포 지침

macOS의 엔드포인트용 Microsoft Defender에서 동작 모니터링을 배포하려면 다음 방법 중 하나를 사용하여 동작 모니터링 정책을 변경해야 합니다.

Intune
JamF 또는 기타 3^rd 파티 MDM
수동으로

다음 섹션에서는 이러한 각 메서드에 대해 자세히 설명합니다.

Intune 배포

다음 XML을 복사하여 .plist 파일을 만들고 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig로 저장합니다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

디바이스>구성 프로필을 엽니다.
프로필 만들기를 선택하고 새 정책을 선택합니다.
프로필에 이름을 지정합니다. Platform=macOS를 프로필 형식=템플릿으로 변경하고 템플릿 이름 섹션에서 사용자 지정을 선택합니다. 구성을 선택합니다.
이전에 저장한 plist 파일로 이동하여 로 com.microsoft.wdav.xml저장합니다.
를 사용자 지정 구성 프로필 이름으로 입력 com.microsoft.wdav 합니다.
구성 프로필을 열고 파일을 업로드 com.microsoft.wdav.xml 하고 확인을 선택합니다.
할당관리를> 선택합니다. 포함 탭에서 모든 사용자에게 할당 & 모든 디바이스 또는 디바이스 그룹 또는 사용자 그룹에 할당을 선택합니다.

JamF 배포를 통해

다음 XML을 복사하여 .plist 파일을 만들고 BehaviorMonitoring_for_MDE_on_macOS.plist로 저장

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

컴퓨터>구성 프로필에서 옵션>애플리케이션 & 사용자 지정 설정을 선택합니다.
파일 업로드(.plist 파일)를 선택합니다.
기본 설정 도메인을 com.microsoft.wdav로 설정
이전에 저장된 plist 파일을 업로드합니다.

자세한 내용은 macOS에서 엔드포인트용 Microsoft Defender에 대한 기본 설정 설정을 참조하세요.

수동 배포

터미널에서 다음 명령을 실행하여 macOS의 엔드포인트용 Microsoft Defender에서 동작 모니터링을 사용하도록 설정할 수 있습니다.

sudo mdatp config behavior-monitoring --value enabled

사용하지 않도록 설정하려면 다음을 수행합니다.

sudo mdatp config behavior-monitoring --value disabled

자세한 내용은 macOS의 엔드포인트용 Microsoft Defender 리소스를 참조하세요.

동작 모니터링(방지/차단) 검색을 테스트하려면

동작 모니터링 데모를 참조하세요.

동작 모니터링 검색 확인

macOS의 엔드포인트용 기존 Microsoft Defender 명령줄 인터페이스를 사용하여 동작 모니터링 세부 정보 및 아티팩트 검토에 사용할 수 있습니다.

sudo mdatp threat list

FAQ(질문과 대답)

CPU 사용률 또는 메모리 사용률이 증가하는 경우 어떻게 해야 하나요?

동작 모니터링을 사용하지 않도록 설정하고 문제가 사라지는지 확인합니다.

문제가 사라지지 않으면 동작 모니터링과 관련이 없습니다.
문제가 해결되면 aka.ms/xMDEClientAnalyzer Microsoft 지원에 문의하세요.

다음을 통해 공유