macOS에서 엔드포인트용 Microsoft Defender 리소스
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
진단 정보 수집
문제를 재현할 수 있는 경우 로깅 수준을 높이고, 일정 시간 동안 시스템을 실행한 다음, 로깅 수준을 기본값으로 복원합니다.
로깅 수준 늘리기:
mdatp log level set --level debug
Log level configured successfully
문제를 재현하세요.
를 실행
sudo mdatp diagnostic create
하여 엔드포인트용 Microsoft Defender 로그를 백업합니다. 파일은 보관 파일에.zip
저장됩니다. 이 명령은 작업이 성공한 후 백업에 대한 파일 경로도 출력합니다.팁
기본적으로 진단 로그는 에
/Library/Application Support/Microsoft/Defender/wdavdiag/
저장됩니다. 진단 로그가 저장된 디렉터리를 변경하려면 아래 명령으로 전달--path [directory]
하고 를[directory]
원하는 디렉터리로 바꿉니다.sudo mdatp diagnostic create
Diagnostic file created: "/Library/Application Support/Microsoft/Defender/wdavdiag/932e68a8-8f2e-4ad0-a7f2-65eb97c0de01.zip"
로깅 수준을 복원합니다.
mdatp log level set --level info
Log level configured successfully
로깅 설치 문제
설치 중에 오류가 발생하면 설치 관리자가 일반 오류만 보고합니다. 자세한 로그는 에 /Library/Logs/Microsoft/mdatp/install.log
저장됩니다. 설치 중에 문제가 발생하는 경우 지원 사례를 열 때 이 파일을 보내주시면 원인을 진단할 수 있습니다.
설치 문제를 추가로 해결하려면 macOS에서 엔드포인트용 Microsoft Defender 설치 문제 해결을 참조하세요.
제거
참고
macOS에서 엔드포인트용 Microsoft Defender 제거하기 전에 Windows가 아닌 오프보딩 디바이스당 각 디바이스를 오프보딩합니다.
macOS에서 엔드포인트용 Microsoft Defender 제거하는 방법에는 여러 가지가 있습니다. 중앙에서 관리되는 제거는 JAMF에서 사용할 수 있지만 아직 Microsoft Intune 사용할 수 없습니다.
대화형 제거
- Finder > 애플리케이션을 엽니다. 엔드포인트용 Microsoft Defender 마우스 오른쪽 단추로 클릭한 다음 휴지통으로 이동을 선택합니다.
지원되는 출력 형식
테이블 및 JSON 형식 출력 형식을 지원합니다. 각 명령에 대해 기본 출력 동작이 있습니다. 다음 명령을 사용하여 원하는 출력 형식으로 출력을 수정할 수 있습니다.
-output json
-output table
명령줄에서
sudo '/Library/Application Support/Microsoft/Defender/uninstall/uninstall'
JAMF Pro 사용
JAMF Pro를 사용하여 macOS에서 엔드포인트용 Microsoft Defender 제거하려면 오프보딩 프로필을 업로드합니다.
다음 이미지와 같이 오프보딩 프로필을 수정하지 않고 기본 설정 도메인 이름을 로 com.microsoft.wdav.atp.offboarding
설정하여 업로드해야 합니다.
참고
Mac에서 엔드포인트용 Defender를 제거하는 데 문제가 있고 보고서에 Microsoft Defender 엔드포인트 보안 확장에 대한 항목이 표시되는 경우 다음 단계를 수행합니다.
- Microsoft Defender 앱을 다시 설치합니다.
- Microsoft Defender.app휴지통으로 끌어옵니다.
- 다음 명령을 실행합니다
sudo /Library/Application Support/Microsoft/Defender/uninstall/install_helper execute --path '/Library/Application Support/Microsoft/Defender/uninstall/uninstall' --args --post-uninstall-hook
. - 디바이스를 다시 시작합니다.
명령줄에서 구성
제품 설정 제어 및 주문형 검사 트리거와 같은 중요한 작업은 명령줄을 사용하여 수행할 수 있습니다.
그룹 | 시나리오 | 명령 |
---|---|---|
구성 | 수동 모드에서 바이러스 백신 켜기/끄기 | mdatp config passive-mode --value [enabled/disabled] |
구성 | 실시간 보호 켜기/끄기 | mdatp config real-time-protection --value [enabled/disabled] |
구성 | 동작 모니터링 켜기/끄기 | mdatp config behavior-monitoring --value [enabled/disabled] |
구성 | 클라우드 보호 켜기/끄기 | mdatp config cloud --value [enabled/disabled] |
구성 | 제품 진단 켜기/끄기 | mdatp config cloud-diagnostic --value [enabled/disabled] |
구성 | 자동 샘플 제출 켜기/끄기 | mdatp config cloud-automatic-sample-submission --value [enabled/disabled] |
구성 | PUA 보호 켜기/감사/끄기 | mdatp threat policy set --type potentially_unwanted_application -- action [block/audit/off |
구성 | 프로세스에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion process [add/remove] --path [path-to-process] 또는 mdatp exclusion process [add\|remove] --name [process-name] |
구성 | 파일에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion file [add/remove] --path [path-to-file] |
구성 | 디렉터리에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion folder [add/remove] --path [path-to-directory] |
구성 | 파일 확장 프로그램에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion extension [add/remove] --name [extension] |
구성 | 모든 바이러스 백신 제외 나열 | mdatp exclusion list |
구성 | 주문형 검사에 대한 병렬 처리 수준 구성 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
구성 | 보안 인텔리전스 업데이트 후 검사 켜기/끄기 | mdatp config scan-after-definition-update --value [enabled/disabled] |
구성 | 보관 검색 켜기/끄기(주문형 검사만 해당) | mdatp config scan-archives --value [enabled/disabled] |
구성 | 파일 해시 계산 켜기/끄기 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
보호 | 경로 검사 | mdatp scan custom --path [path] [--ignore-exclusions] |
보호 | 빠른 검사 수행 | mdatp scan quick |
보호 | 전체 검사 수행 | mdatp scan full |
보호 | 진행 중인 주문형 검사 취소 | mdatp scan cancel |
보호 | 보안 인텔리전스 업데이트 요청 | mdatp definitions update |
구성 | 허용된 목록에 위협 이름 추가 | mdatp threat allowed add --name [threat-name] |
구성 | 허용된 목록에서 위협 이름 제거 | mdatp threat allowed remove --name [threat-name] |
구성 | 허용되는 모든 위협 이름 나열 | mdatp threat allowed list |
보호 기록 | 전체 보호 기록 인쇄 | mdatp threat list |
보호 기록 | 위협 세부 정보 가져오기 | mdatp threat get --id [threat-id] |
격리 관리 | 격리된 모든 파일 나열 | mdatp threat quarantine list |
격리 관리 | 격리에서 모든 파일 제거 | mdatp threat quarantine remove-all |
격리 관리 | 격리에 대한 위협으로 검색된 파일 추가 | mdatp threat quarantine add --id [threat-id] |
격리 관리 | 격리에서 위협으로 검색된 파일 제거 | mdatp threat quarantine remove --id [threat-id] |
격리 관리 | 격리에서 파일을 복원합니다. 101.23092.0012 이전의 엔드포인트용 Defender 버전에서 사용할 수 있습니다. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
격리 관리 | 위협 ID를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat restore threat-id --id [threat-id] --destination-path [destination-folder] |
격리 관리 | 위협 원본 경로를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
네트워크 보호 구성 | 네트워크 보호 적용 수준 구성 | mdatp config network-protection enforcement-level --value [Block/Audit/Disabled] |
네트워크 보호 관리 | 네트워크 보호가 성공적으로 시작되었는지 확인 | mdatp health --field network_protection_status |
디바이스 제어 관리 | 디바이스 제어가 사용하도록 설정되어 있으며 기본 적용이란? | mdatp device-control policy preferences list |
디바이스 제어 관리 | 어떤 디바이스 제어 정책을 사용하도록 설정됩니까? | mdatp device-control policy rules list |
디바이스 제어 관리 | 사용하도록 설정된 디바이스 제어 정책 그룹은 무엇인가요? | mdatp device-control policy groups list |
구성 | 데이터 손실 방지 켜기/끄기 | mdatp config data_loss_prevention --value [enabled/disabled] |
진단 | 로그 수준 변경 | mdatp log level set --level [error/warning/info/verbose] |
진단 | 진단 로그 생성 | mdatp diagnostic create --path [directory] |
상태 | 제품 상태 확인 | mdatp health |
상태 | 특정 제품 특성 확인 | mdatp health --field [attribute: healthy/licensed/engine_version...] |
Edr | EDR 목록 제외(루트) | mdatp edr exclusion list [processes|paths|extensions|all] |
Edr | 태그 설정/제거, 지원되는 GROUP만 | mdatp edr tag set --name GROUP --value [name] |
Edr | 디바이스에서 그룹 태그 제거 | mdatp edr tag remove --tag-name [name] |
Edr | 그룹 ID 추가 | mdatp edr group-ids --group-id [group] |
자동 완성을 사용하도록 설정하는 방법
bash에서 자동 완성을 사용하도록 설정하려면 다음 명령을 실행하고 터미널 세션을 다시 시작합니다.
echo "source /Applications/Microsoft\ Defender.app/Contents/Resources/Tools/mdatp_completion.bash" >> ~/.bash_profile
zsh에서 자동 완성을 사용하도록 설정하려면 다음을 수행합니다.
디바이스에서 자동 완성이 사용하도록 설정되어 있는지 확인합니다.
cat ~/.zshrc | grep autoload
위의 명령이 출력을 생성하지 않는 경우 다음 명령을 사용하여 자동 완성을 사용하도록 설정할 수 있습니다.
echo "autoload -Uz compinit && compinit" >> ~/.zshrc
다음 명령을 실행하여 macOS에서 엔드포인트용 Microsoft Defender 자동 완성을 사용하도록 설정하고 터미널 세션을 다시 시작합니다.
sudo mkdir -p /usr/local/share/zsh/site-functions sudo ln -svf "/Applications/Microsoft Defender.app/Contents/Resources/Tools/mdatp_completion.zsh" /usr/local/share/zsh/site-functions/_mdatp
클라이언트 엔드포인트용 Microsoft Defender 격리 디렉터리
/Library/Application Support/Microsoft/Defender/quarantine/
에는 에 의해 mdatp
격리된 파일이 포함되어 있습니다. 파일의 이름은 threat trackingId의 이름을 따서 지정됩니다. 현재 trackingId는 와 함께 mdatp threat list
표시됩니다.
포털 정보 엔드포인트용 Microsoft Defender
이제 macOS용 EDR 기능이 도착한 엔드포인트용 Microsoft Defender 블로그에서 예상되는 사항에 대한 자세한 지침을 제공합니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기