다음을 통해 공유

Linux에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사

  • 아티클

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 엔드포인트용 Microsoft Defender 대한 바이러스 백신 및 전역 제외를 정의하는 방법에 대한 정보를 제공합니다. 바이러스 백신 제외는 주문형 검사, RTP(실시간 보호) 및 BM(동작 모니터링)에 적용됩니다. 글로벌 제외는 RTP(실시간 보호), BM(동작 모니터링) 및 EDR(엔드포인트 검색 및 응답)에 적용되므로 관련된 모든 바이러스 백신 검색, EDR 경고 및 제외된 항목에 대한 가시성을 중지합니다.

중요

이 문서에 설명된 바이러스 백신 제외는 EDR(엔드포인트 검색 및 응답)이 아닌 바이러스 백신 기능에만 적용됩니다. 이 문서에 설명된 바이러스 백신 제외를 사용하여 제외하는 파일은 여전히 EDR 경고 및 기타 검색을 트리거할 수 있습니다. 이 섹션에 설명된 전역 제외는 바이러스 백신 엔드포인트 검색 및 응답 기능에 적용되므로 관련된 모든 바이러스 백신 보호, EDR 경고 및 검색을 중지합니다. 전역 제외는 현재 공개 미리 보기로 제공되며, 참가자 느린 및 프로덕션 링의 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. EDR 제외의 경우 지원에 문의하세요.

Linux의 엔드포인트용 Defender에서 특정 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다.

제외는 organization 고유하거나 사용자 지정된 파일 또는 소프트웨어에서 잘못된 검색을 방지하는 데 유용할 수 있습니다. 전역 제외는 Linux의 엔드포인트용 Defender로 인한 성능 문제를 완화하는 데 유용합니다.

경고

제외를 정의하면 Linux의 엔드포인트용 Defender에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.

지원되는 제외 범위

이전 섹션에서 설명한 대로 바이러스 백신() 및 전역(eppglobal) 제외의 두 가지 제외 범위를 지원합니다.

바이러스 백신 제외는 EDR 가시성을 유지하면서 실시간 보호에서 신뢰할 수 있는 파일 및 프로세스를 제외하는 데 사용할 수 있습니다. 전역 제외는 센서 수준에서 적용되며, 처리가 완료되기 전에 흐름 초기에 제외 조건과 일치하는 이벤트를 음소거하여 모든 EDR 경고 및 바이러스 백신 검색을 중지합니다.

참고

Global(global)은 Microsoft에서 이미 지원되는 바이러스 백신(epp) 제외 범위 외에도 도입하는 새로운 제외 scope.

제외 범주 제외 범위 설명
바이러스 백신 제외 바이러스 백신 엔진
(scope: epp)		 AV(바이러스 백신) 검사 및 주문형 검사에서 콘텐츠를 제외합니다.
전역 제외 바이러스 백신 및 엔드포인트 검색 및 응답 엔진
(scope: 전역)		 실시간 보호 및 EDR 표시 유형에서 이벤트를 제외합니다. 기본적으로 주문형 검사에는 적용되지 않습니다.

지원되는 제외 유형

다음 표에서는 Linux의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.

제외 정의 예제
파일 확장명 확장이 있는 모든 파일(디바이스의 모든 위치)(전역 제외에 사용할 수 없음) .test
File 전체 경로로 식별되는 특정 파일 /var/log/test.log
/var/log/*.log
/var/log/install.?.log
폴더 지정된 폴더 아래의 모든 파일(재귀) /var/log/
/var/*/
프로세스 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일 /bin/cat
cat
c?t

중요

성공적으로 제외하려면 사용되는 경로가 기호 링크가 아닌 하드 링크여야 합니다. 를 실행file <path-name>하여 경로가 기호 링크인지 검사 수 있습니다.

파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.

참고

scope 전역으로 사용하여 파일 제외를 추가하거나 제거하기 전에 파일 경로가 있어야 합니다. 와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다.

와일드 카드 설명 예제
* 없음을 포함하여 임의의 문자 수와 일치
(이 와일드카드는 경로의 끝에 사용되지 않는 경우 하나의 폴더만 대체합니다.)		 /var/*/tmp 에는 및 /var/abc/tmp 해당 하위 디렉터리 및 /var/def/tmp 해당 하위 디렉터리의 파일이 포함됩니다. 또는 을 포함하지 /var/abc/log 않습니다. /var/def/log

/var/*/ 와 같은 /var/abc/하위 디렉터리에는 파일만 포함하지만 내부에 /var직접 있는 파일은 포함하지 않습니다.
? 모든 단일 문자와 일치 file?.log에는 및 file2.log가 포함되지 file1.logfile123.log

참고

바이러스 백신 제외의 경우 경로 끝에 * 와일드카드를 사용하는 경우 와일드카드의 부모 아래에 있는 모든 파일 및 하위 디렉터리와 일치합니다.

제외 목록을 구성하는 방법

관리 콘솔 사용

Puppet, Ansible 또는 다른 관리 콘솔 제외를 구성하려면 다음 샘플을 mdatp_managed.json참조하세요.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

자세한 내용은 Linux의 엔드포인트용 Defender에 대한 기본 설정 설정을 참조하세요.

명령줄 사용

다음 명령을 실행하여 제외를 관리하는 데 사용할 수 있는 스위치를 확인합니다.

참고

--scope은 또는 global로 허용되는 값을 epp 가진 선택적 플래그입니다. 동일한 제외를 제거하기 위해 제외를 추가하는 동안 사용되는 것과 동일한 scope 제공합니다. 명령줄 접근 방식에서 scope 언급되지 않으면 scope 값이 로 epp설정됩니다. 플래그가 도입 --scope 되기 전에 CLI를 통해 추가된 제외는 영향을 받지 않고 해당 scope 로 epp간주됩니다.

mdatp exclusion

와일드카드를 사용하여 제외를 구성할 때 매개 변수를 큰따옴표로 묶어 globbing을 방지합니다.

예제:

  • 파일 확장명(확장명 제외는 전역 제외 scope 지원되지 않음)에 대한 제외를 추가합니다.

    mdatp exclusion extension add --name .txt

    Extension exclusion configured successfully

    mdatp exclusion extension remove --name .txt

    Extension exclusion removed successfully

  • 파일에 대한 제외를 추가/제거합니다(전역 scope 제외를 추가하거나 제거하는 경우 파일 경로가 이미 있어야 합니다.)

    mdatp exclusion file add --path /var/log/dummy.log --scope epp

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope epp

    File exclusion removed successfully"

    mdatp exclusion file add --path /var/log/dummy.log --scope global

    File exclusion configured successfully

    mdatp exclusion file remove --path /var/log/dummy.log --scope global

    File exclusion removed successfully"

  • 폴더에 대한 제외 추가/제거:

    mdatp exclusion folder add --path /var/log/ --scope epp

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope epp

    Folder exclusion removed successfully

      mdatp exclusion folder add --path /var/log/ --scope global

    Folder exclusion configured successfully

    mdatp exclusion folder remove --path /var/log/ --scope global

    Folder exclusion removed successfully

  • 두 번째 폴더에 대한 제외를 추가합니다.

    mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

    Folder exclusion configured successfully

  • 와일드카드가 포함된 폴더에 대한 제외를 추가합니다.

    참고

    와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다.

    mdatp exclusion folder add --path "/var/*/tmp"

    참고

    / var/*/tmp/의 경로만 제외되지만 tmp의 형제인 폴더는 제외되지 않습니다. 예를 들어 /var/this-subfolder/tmp이지만 /var/this-subfolder/log는 아닙니다.

    mdatp exclusion folder add --path "/var/" --scope epp

    또는

    mdatp exclusion folder add --path "/var/*/" --scope epp

    참고

    그러면 부모가 /var/; 인 모든 경로가 제외됩니다. 예: /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully

  • 프로세스에 대한 제외를 추가합니다.

    mdatp exclusion process add --name /usr/bin/cat --scope global 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope global

    Process exclusion removed successfully

      mdatp exclusion process add --name /usr/bin/cat --scope epp 

    Process exclusion configured successfully

    mdatp exclusion process remove --name /usr/bin/cat  --scope epp

    Process exclusion removed successfully

  • 두 번째 프로세스에 대한 제외를 추가합니다.

    mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --name dog --scope global

    Process exclusion configured successfully

EICAR 테스트 파일을 사용하여 제외 목록 유효성 검사

를 사용하여 curl 테스트 파일을 다운로드하여 제외 목록이 작동하는지 확인할 수 있습니다.

다음 Bash 코드 조각에서 를 제외 규칙을 준수하는 파일로 바꿉 test.txt 니다. 예를 들어 확장을 제외한 경우 를 .testingtest.testing바꿉니다test.txt. 경로를 테스트하는 경우 해당 경로 내에서 명령을 실행해야 합니다.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Linux의 엔드포인트용 Defender가 맬웨어를 보고하는 경우 규칙이 작동하지 않습니다. 맬웨어에 대한 보고가 없고 다운로드한 파일이 있는 경우 제외가 작동합니다. 파일을 열어 내용이 EICAR 테스트 파일 웹 사이트에 설명된 내용과 동일한지 확인할 수 있습니다.

인터넷에 액세스할 수 없는 경우 고유한 EICAR 테스트 파일을 만들 수 있습니다. 다음 Bash 명령을 사용하여 새 텍스트 파일에 EICAR 문자열을 씁니다.

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

빈 텍스트 파일에 문자열을 복사하여 파일 이름 또는 제외하려는 폴더에 저장하려고 시도할 수도 있습니다.

위협 허용

특정 콘텐츠가 검사되지 않도록 제외하는 것 외에도 일부 위협 클래스(위협 이름으로 식별됨)를 검색하지 않도록 제품을 구성할 수도 있습니다. 이 기능을 사용할 때는 디바이스가 보호되지 않도록 할 수 있으므로 주의해야 합니다.

허용된 목록에 위협 이름을 추가하려면 다음 명령을 실행합니다.

mdatp threat allowed add --name [threat-name]

디바이스에서 검색과 연결된 위협 이름은 다음 명령을 사용하여 가져올 수 있습니다.

mdatp threat list

예를 들어 허용된 목록에 (EICAR 검색과 연결된 위협 이름)을 추가 EICAR-Test-File (not a virus) 하려면 다음 명령을 실행합니다.

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.