macOS에서 엔드포인트용 Microsoft Defender 리소스
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
진단 정보 수집
문제를 재현할 수 있는 경우 로깅 수준을 높이고, 일정 시간 동안 시스템을 실행한 다음, 로깅 수준을 기본값으로 복원합니다.
로깅 수준 늘리기:
mdatp log level set --level debugLog level configured successfully문제를 재현하세요.
를 실행
sudo mdatp diagnostic create하여 엔드포인트용 Microsoft Defender 로그를 백업합니다. 파일은 보관 파일에.zip저장됩니다. 이 명령은 작업이 성공한 후 백업에 대한 파일 경로도 출력합니다.팁
기본적으로 진단 로그는 에
/Library/Application Support/Microsoft/Defender/wdavdiag/저장됩니다. 진단 로그가 저장된 디렉터리를 변경하려면 아래 명령으로 전달--path [directory]하고 를[directory]원하는 디렉터리로 바꿉니다.sudo mdatp diagnostic createDiagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"로깅 수준을 복원합니다.
mdatp log level set --level infoLog level configured successfully
로깅 설치 문제
설치 중에 오류가 발생하면 설치 관리자가 일반 오류만 보고합니다. 자세한 로그는 에 /Library/Logs/Microsoft/mdatp/install.log저장됩니다. 설치 중에 문제가 발생하는 경우 지원 사례를 열 때 이 파일을 보내주시면 원인을 진단할 수 있습니다.
설치 문제를 추가로 해결하려면 macOS에서 엔드포인트용 Microsoft Defender 설치 문제 해결을 참조하세요.
명령줄에서 구성
지원되는 출력 형식
테이블 및 JSON 형식 출력 형식을 지원합니다. 각 명령에 대해 기본 출력 동작이 있습니다. 다음 명령을 사용하여 원하는 출력 형식으로 출력을 수정할 수 있습니다.
-output json
-output table
제품 설정 제어 및 주문형 검사 트리거와 같은 중요한 작업은 명령줄을 사용하여 수행할 수 있습니다.
| 그룹 | 시나리오 | 명령 |
|---|---|---|
| 구성 | 수동 모드에서 바이러스 백신 켜기/끄기 | mdatp config passive-mode --value [enabled/disabled] |
| 구성 | 실시간 보호 켜기/끄기 | mdatp config real-time-protection --value [enabled/disabled] |
| 구성 | 동작 모니터링 켜기/끄기 | mdatp config behavior-monitoring --value [enabled/disabled] |
| 구성 | 클라우드 보호 켜기/끄기 | mdatp config cloud --value [enabled/disabled] |
| 구성 | 제품 진단 켜기/끄기 | mdatp config cloud-diagnostic --value [enabled/disabled] |
| 구성 | 자동 샘플 제출 켜기/끄기 | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
| 구성 | PUA 보호 켜기/감사/끄기 | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
| 구성 | 프로세스에 대한 바이러스 백신 제외 추가/제거 |
mdatp exclusion process [add/remove] --path [path-to-process]또는 mdatp exclusion process [add\|remove] --name [process-name] |
| 구성 | 파일에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion file [add/remove] --path [path-to-file] |
| 구성 | 디렉터리에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion folder [add/remove] --path [path-to-directory] |
| 구성 | 파일 확장 프로그램에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion extension [add/remove] --name [extension] |
| 구성 | 모든 바이러스 백신 제외 나열 | mdatp exclusion list |
| 구성 | 주문형 검사에 대한 병렬 처리 수준 구성 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 구성 | 보안 인텔리전스 업데이트 후 검사 켜기/끄기 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 구성 | 보관 검색 켜기/끄기(주문형 검사만 해당) | mdatp config scan-archives --value [enabled/disabled] |
| 구성 | 파일 해시 계산 켜기/끄기 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 보호 | 경로 검사 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 보호 | 빠른 검사 수행 | mdatp scan quick |
| 보호 | 전체 검사 수행 | mdatp scan full |
| 보호 | 진행 중인 주문형 검사 취소 | mdatp scan cancel |
| 보호 | 보안 인텔리전스 업데이트 요청 | mdatp definitions update |
| 구성 | 허용된 목록에 위협 이름 추가 | mdatp threat allowed add --name [threat-name] |
| 구성 | 허용된 목록에서 위협 이름 제거 | mdatp threat allowed remove --name [threat-name] |
| 구성 | 허용되는 모든 위협 이름 나열 | mdatp threat allowed list |
| 보호 기록 | 전체 보호 기록 인쇄 | mdatp threat list |
| 보호 기록 | 위협 세부 정보 가져오기 | mdatp threat get --id [threat-id] |
| 격리 관리 | 격리된 모든 파일 나열 | mdatp threat quarantine list |
| 격리 관리 | 격리에서 모든 파일 제거 | mdatp threat quarantine remove-all |
| 격리 관리 | 격리에 대한 위협으로 검색된 파일 추가 | mdatp threat quarantine add --id [threat-id] |
| 격리 관리 | 격리에서 위협으로 검색된 파일 제거 | mdatp threat quarantine remove --id [threat-id] |
| 격리 관리 | 격리에서 파일을 복원합니다. 101.23092.0012 이전의 엔드포인트용 Defender 버전에서 사용할 수 있습니다. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 격리 관리 | 위협 ID를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 격리 관리 | 위협 원본 경로를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 네트워크 보호 구성 | 네트워크 보호 적용 수준 구성 | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
| 네트워크 보호 관리 | 네트워크 보호가 성공적으로 시작되었는지 확인 | mdatp health --field network_protection_status |
| 디바이스 제어 관리 | 디바이스 제어가 사용하도록 설정되어 있으며 기본 적용이란? | mdatp device-control policy preferences list |
| 디바이스 제어 관리 | 어떤 디바이스 제어 정책을 사용하도록 설정됩니까? | mdatp device-control policy rules list |
| 디바이스 제어 관리 | 사용하도록 설정된 디바이스 제어 정책 그룹은 무엇인가요? | mdatp device-control policy groups list |
| 구성 | 데이터 손실 방지 켜기/끄기 | mdatp config data_loss_prevention --value [enabled/disabled] |
| 진단 | 로그 수준 변경 | mdatp log level set --level [error/warning/info/verbose] |
| 진단 | 진단 로그 생성 | mdatp diagnostic create --path [directory] |
| 상태 | 제품 상태 확인 | mdatp health |
| 상태 | 특정 제품 특성 확인 | mdatp health --field [attribute: healthy/licensed/engine_version...] |
| EDR | EDR 목록 제외(루트) | mdatp edr exclusion list [processes|paths|extensions|all] |
| EDR | 태그 설정/제거, 지원되는 GROUP만 | mdatp edr tag set --name GROUP --value [name] |
| EDR | 디바이스에서 그룹 태그 제거 | mdatp edr tag remove --tag-name [name] |
| EDR | 그룹 ID 추가 | mdatp edr group-ids --group-id [group] |
자동 완성을 사용하도록 설정하는 방법
bash에서 자동 완성을 사용하도록 설정하려면 다음 명령을 실행하고 터미널 세션을 다시 시작합니다.
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
zsh에서 자동 완성을 사용하도록 설정하려면 다음을 수행합니다.
디바이스에서 자동 완성이 사용하도록 설정되어 있는지 확인합니다.
cat ~/.zshrc | grep autoload위의 명령이 출력을 생성하지 않는 경우 다음 명령을 사용하여 자동 완성을 사용하도록 설정할 수 있습니다.
echo "autoload -Uz compinit && compinit" >> ~/.zshrc다음 명령을 실행하여 macOS에서 엔드포인트용 Microsoft Defender 자동 완성을 사용하도록 설정하고 터미널 세션을 다시 시작합니다.
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
클라이언트 엔드포인트용 Microsoft Defender 격리 디렉터리
/Library/Application Support/Microsoft/Defender/quarantine/ 에는 에 의해 mdatp격리된 파일이 포함되어 있습니다. 파일의 이름은 threat trackingId의 이름을 따서 지정됩니다. 현재 trackingId는 와 함께 mdatp threat list표시됩니다.
제거
macOS에서 엔드포인트용 Microsoft Defender 제거하는 방법에는 여러 가지가 있습니다. 중앙에서 관리되는 제거는 JAMF에서 사용할 수 있지만 아직 Microsoft Intune 사용할 수 없습니다.
macOS에서 모든 엔드포인트용 Microsoft Defender 제거하려면 다음이 필요합니다.
디바이스 태그를 만들고 서비스 해제된 태그의 이름을 지정하고 macOS용 Microsoft Defender 제거되는 macOS에 할당합니다.
디바이스 그룹을 만들고 이름을 지정하고(예: 서비스 해제된 macOS) 볼 수 있는 사용자 그룹을 할당합니다.
참고: 180일 동안 "디바이스 인벤토리"에서 사용 중지된 디바이스를 않으려면 1단계와 2단계가 선택 사항입니다.
변조 방지를 포함하거나 수동 구성을 통해 "기본 설정 설정" 정책을 제거합니다.
macOS 앱에 대한 엔드포인트용 Microsoft Defender 제거
MDM을 사용하여 설정한 경우 시스템 확장 정책에 대한 그룹에서 디바이스를 제거합니다.
대화형 제거
- Finder > 애플리케이션을 엽니다. 엔드포인트용 Microsoft Defender 마우스 오른쪽 단추로 클릭한 다음 휴지통으로 이동을 선택합니다.
명령줄에서
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pro 사용
JAMF Pro를 사용하여 macOS에서 엔드포인트용 Microsoft Defender 제거하려면 오프보딩 프로필을 업로드합니다.
다음 이미지와 같이 오프보딩 프로필을 수정하지 않고 기본 설정 도메인 이름을 로 com.microsoft.wdav.atp.offboarding설정하여 업로드해야 합니다.
참고
Mac에서 엔드포인트용 Defender를 제거하는 데 문제가 있고 보고서에 Microsoft Defender 엔드포인트 보안 확장에 대한 항목이 표시되는 경우 다음 단계를 수행합니다.
- Microsoft Defender 앱을 다시 설치합니다.
- Microsoft Defender.app휴지통으로 끌어옵니다.
- 다음 명령을 실행합니다
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook. - 디바이스를 다시 시작합니다.
Microsoft Defender 포털
위협이 감지되면 보안 팀은 검색을 보고 필요한 경우 Microsoft Defender 포털(https://security.microsoft.com)의 디바이스에서 응답 작업을 수행할 수 있습니다. 이 Microsoft Defender 중앙 위치의 위협에 대한 보호, 탐지, 조사 및 대응을 결합합니다. 자세한 내용은 다음 리소스를 참조하세요.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.