다음을 통해 공유

macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 조직 정책이 디바이스를 관리하는 경우에도 관리자가 다양한 Microsoft Defender 바이러스 백신 기능을 일시적으로 해결할 수 있도록 macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드를 사용하도록 설정하는 방법을 설명합니다.

예를 들어 변조 방지를 사용하도록 설정하면 특정 설정을 수정하거나 끌 수 없지만 디바이스에서 문제 해결 모드를 사용하여 해당 설정을 일시적으로 편집할 수 있습니다.

문제 해결 모드는 기본적으로 사용하지 않도록 설정되며 제한된 시간 동안 디바이스(및/또는 디바이스 그룹)에 대해 설정해야 합니다. 문제 해결 모드는 엔터프라이즈 전용 기능이며 Microsoft Defender 포털에 액세스해야 합니다.

시작하기 전에 알아야 할 사항

문제 해결 모드 중에 다음을 수행할 수 있습니다.

  • macOS 기능 문제 해결 /애플리케이션 호환성(가양성)에서 엔드포인트용 Microsoft Defender 사용합니다.

  • 적절한 권한을 가진 로컬 관리자는 개별 엔드포인트에서 다음과 같은 정책 잠금 구성을 변경할 수 있습니다.

    설정 사용 사용 안 함/제거
    Real-Time 보호/수동 모드/주문형 mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    네트워크 보호 mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    태그 mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    엔드포인트 DLP mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

문제 해결 모드에서는 다음을 수행할 수 없습니다.

  • macOS에서 엔드포인트용 Microsoft Defender 대한 변조 방지를 사용하지 않도록 설정합니다.
  • macOS에서 엔드포인트용 Microsoft Defender 제거합니다.

필수 구성 요소

  • 엔드포인트용 Microsoft Defender 대해 지원되는 macOS 버전입니다.
  • 엔드포인트용 Microsoft Defender 디바이스에서 테넌트 등록 및 활성 상태여야 합니다.
  • 엔드포인트용 Microsoft Defender "Security Center에서 보안 설정 관리"에 대한 권한입니다.
  • 플랫폼 업데이트 버전: 101.23122.0005 이상.

macOS에서 문제 해결 모드 사용

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 문제 해결 모드를 켜려는 디바이스 페이지로 이동합니다. 그런 다음 줄임표(...)를 선택하고 문제 해결 모드 켜기를 선택합니다.

    mac의 문제 해결 모드 스크린샷을 표시하는 스크린샷

    참고

    문제 해결 모드 설정 옵션은 디바이스가 문제 해결 모드의 필수 구성 요소를 충족하지 않는 경우에도 모든 디바이스에서 사용할 수 있습니다.

  3. 창에 표시되는 정보를 읽고 준비가 되면 제출 을 선택하여 해당 디바이스에 대한 문제 해결 모드를 켜고 싶은지 확인합니다.

  4. 변경 내용이 표시되는 텍스트를 적용하는 데 몇 분 정도 걸릴 수 있습니다 . 이 시간 동안 줄임표를 다시 선택하면 문제 해결 모드 켜기 보류 중 옵션이 회색으로 표시됩니다.

  5. 완료되면 디바이스 페이지에 디바이스가 이제 문제 해결 모드에 있음을 표시합니다.

    최종 사용자가 macOS 디바이스에 로그인하면 다음 텍스트가 표시됩니다.

    문제 해결 모드가 시작되었습니다. 이 모드를 사용하면 관리자가 관리하는 설정을 일시적으로 변경할 수 있습니다. YEAR-MM-DDTHH:MM:SSZ에 만료됩니다.

    확인을 선택합니다.

  6. 사용하도록 설정하면 문제 해결 모드(TS 모드)에서 전환할 수 있는 다양한 명령줄 옵션을 테스트할 수 있습니다.

    예를 들어 명령을 사용하여 mdatp config real-time-protection --value disabled 실시간 보호를 사용하지 않도록 설정하면 암호를 입력하라는 메시지가 표시됩니다. 암호를 입력한 후 확인을 선택합니다.

    사용하지 않도록 설정된 실시간 보호의 스크린샷을 표시하는 스크린샷.

    다음 스크린샷과 유사한 출력 보고서는 "false"와 real_time_protection_enabled "block" tamper_protection 을 사용하여 mdatp 상태 실행에 표시됩니다.

    mdatp 상태 실행의 출력 보고서의 스크린샷을 표시하는 스크린샷

검색을 위한 고급 헌팅 쿼리

사용자 환경에서 발생하는 문제 해결 이벤트에 대한 가시성을 제공하기 위해 미리 빌드된 고급 헌팅 쿼리가 있습니다. 이러한 쿼리를 사용하여 디바이스가 문제 해결 모드에 있을 때 경고를 생성하는 검색 규칙을 만들 수 있습니다.

특정 디바이스에 대한 문제 해결 이벤트 가져오기

다음 쿼리를 사용하여 검색하거나 deviceName 해당 줄을 주석으로 처리하여 검색 deviceId 할 수 있습니다.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

현재 문제 해결 모드에 있는 디바이스

다음 쿼리를 사용하여 현재 문제 해결 모드에 있는 디바이스를 찾을 수 있습니다.

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

디바이스별 문제 해결 모드 인스턴스 수

다음 쿼리를 사용하여 디바이스에 대한 문제 해결 모드 인스턴스 수를 찾을 수 있습니다.

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

총 개수

다음 쿼리를 사용하여 문제 해결 모드 인스턴스의 총 수를 알 수 있습니다.

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

권장 콘텐츠

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.