Linux의 엔드포인트용 Microsoft Defender 대한 고급 배포 지침
이 문서에서는 Linux의 엔드포인트용 Microsoft Defender 대한 고급 배포 지침을 제공합니다. 배포 단계에 대한 간략한 요약을 얻고, 시스템 요구 사항에 대해 알아보고, 실제 배포 단계를 안내합니다. 디바이스가 올바르게 온보딩되었는지 확인하는 방법도 알아봅니다.
엔드포인트용 Microsoft Defender 기능에 대한 자세한 내용은 고급 엔드포인트용 Microsoft Defender 기능을 참조하세요.
Linux에서 엔드포인트용 Microsoft Defender 배포하는 다른 방법에 대한 자세한 내용은 다음을 참조하세요.
배포 요약
Linux 배포의 일반적인 엔드포인트용 Microsoft Defender 대한 일반적인 지침에 대해 알아봅니다. 일부 단계의 적용 가능성은 Linux 환경의 요구 사항에 따라 결정됩니다.
-
참고
다음과 같은 선택적 항목을 수행하는 것이 좋습니다. 엔드포인트용 Microsoft Defender 특정 항목은 아니지만 Linux 시스템에서 성능을 향상시키는 경향이 있습니다.
Microsoft Defender 포털에서 Linux 온보딩 패키지의 엔드포인트용 Microsoft Defender 다운로드합니다.
Ansible, Puppet 또는 Chef를 사용하여 Linux에서 엔드포인트용 Microsoft Defender 관리합니다.
Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제를 해결합니다.
1. 네트워크 환경 준비
엔드포인트용 Microsoft Defender URL 및/또는 IP 주소를 허용 목록에 추가하고 트래픽이 SSL 검사되지 않도록 합니다.
엔드포인트용 Microsoft Defender 네트워크 연결
다음 단계를 사용하여 엔드포인트용 Microsoft Defender 네트워크 연결을 검사.
1단계: 엔드포인트용 Microsoft Defender 트래픽에 허용되는 엔드포인트용 Microsoft Defender 트래픽에 대한 대상 허용을 참조하세요.
Linux 서버가 프록시 뒤에 있는 경우 프록시 설정을 지정합니다. 자세한 내용은 프록시 설정 설정을 참조하세요.
트래픽이 SSL 검사(TLS 검사)에 의해 검사되지 않는지 확인합니다. 이 문제는 Microsoft Defender 엔드포인트를 설정할 때 가장 일반적인 네트워크 관련 문제입니다. 네트워크 트래픽에서 SSL 검사가 수행되지 않는지 확인을 참조하세요.
참고
- 엔드포인트용 Defender의 트래픽은 SSL 검사(TLS 검사)로 검사하면 안 됩니다. 이는 지원되는 모든 운영 체제(Windows, Linux 및 MacOS)에 적용됩니다.
- 통합된 URL 또는 IP 주소 집합에 대한 연결을 허용하려면 디바이스가 최신 구성 요소 버전을 실행하고 있는지 확인합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대한 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요.
자세한 내용은 클라우드 연결 문제 해결을 참조하세요.
1단계: 엔드포인트용 Microsoft Defender 트래픽에 대한 대상 허용
- 1단계: 엔드포인트용 Defender 서비스와 연결되도록 네트워크 환경 구성으로 이동하여 네트워크 환경 내의 디바이스에 액세스할 수 있어야 하는 관련 대상을 찾습니다.
- 관련 URL 및/또는 IP 주소를 허용하도록 방화벽/프록시/네트워크 구성
2단계: 프록시 설정
Linux 서버가 프록시 뒤에 있는 경우 다음 설정 지침을 사용합니다.
다음 표에는 지원되는 프록시 설정이 나와 있습니다.
지원 | 지원되지 않음 |
---|---|
투명한 프록시 | 프록시 자동 구성(PAC, 인증된 프록시 유형) |
수동 정적 프록시 구성 | 웹 프록시 자동 검색 프로토콜(WPAD, 인증된 프록시 유형) |
3단계: 네트워크 트래픽에서 SSL 검사가 수행되지 않는지 확인
중간자 공격을 방지하기 위해 모든 Microsoft Azure 호스팅 트래픽은 인증서 고정을 사용합니다. 따라서 주요 방화벽 시스템의 SSL 검사는 허용되지 않습니다. 엔드포인트용 Microsoft Defender URL에 대한 SSL 검사를 무시해야 합니다. 인증서 고정 프로세스에 대한 자세한 내용은 enterprise-certificate-pinning을 참조하세요.
클라우드 연결 문제 해결
자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결을 참조하세요.
2. 엔드포인트에서 성능 데이터 캡처
엔드포인트용 Defender가 설치된 엔드포인트에서 성능 데이터를 캡처합니다. 여기에는 탑재된 모든 파티션의 디스크 공간 가용성, 메모리 사용량, 프로세스 목록 및 CPU 사용량(모든 코어에서 집계)이 포함됩니다.
3. (선택 사항) 파일 시스템 오류 'fsck'(chkdsk와 유사한) 확인
모든 파일 시스템이 손상될 수 있으므로 새 소프트웨어를 설치하기 전에 정상 파일 시스템에 설치하는 것이 좋습니다.
4. (선택 사항) 스토리지 하위 시스템 드라이버 업데이트
스토리지 하위 시스템의 최신 드라이버 또는 펌웨어는 성능 및/또는 안정성에 도움이 될 수 있습니다.
5. (선택 사항) nic 드라이버 업데이트
NIC 또는 NIC 팀 소프트웨어의 최신 드라이버/펌웨어는 성능 및/또는 안정성에 도움이 될 수 있습니다.
6. 시스템 요구 사항 및 리소스 권장 사항이 충족되는지 확인
다음 섹션에서는 지원되는 Linux 버전 및 리소스에 대한 권장 사항에 대한 정보를 제공합니다.
지원되는 Linux 배포판의 자세한 목록은 시스템 요구 사항을 참조하세요.
리소스 | 권장 사항 |
---|---|
디스크 공간 | 최소: 2GB 참고: 크래시 컬렉션에 클라우드 진단 사용하도록 설정된 경우 더 많은 디스크 공간이 필요할 수 있습니다. |
RAM | 1GB 4GB가 선호됩니다. |
CPU | Linux 시스템이 하나의 vcpu만 실행하는 경우 vcpu를 두 개의 vcpu로 늘리는 것이 좋습니다. 4개 코어가 선호됩니다. |
OS 버전 | 커널 필터 드라이버 | 설명 |
---|---|---|
RHEL 7.x, RHEL 8.x 및 RHEL 9.x | 커널 필터 드라이버가 없으므로 fanotify 커널 옵션을 사용하도록 설정해야 합니다. | Windows에서 필터 관리자(fltmgr, 를 통해 fltmc.exe 액세스할 수 있음)와 비슷합니다. |
7. Microsoft Defender 바이러스 백신에 대한 제외 목록에 기존 솔루션 추가
설치 프로세스의 이 단계에는 기존 엔드포인트 보호 솔루션 및 organization 사용 중인 다른 보안 제품에 대한 제외 목록에 엔드포인트용 Defender를 추가하는 작업이 포함됩니다. 여러 가지 방법 중에서 선택하여 Microsoft Defender 바이러스 백신에 제외를 추가할 수 있습니다.
팁
제외 구성에 대한 도움말을 보려면 솔루션 공급자의 설명서를 참조하세요.
비 Microsoft 맬웨어 방지 제품과 함께 Linux에서 엔드포인트용 Microsoft Defender 실행하는 기능은 해당 제품의 구현 세부 정보에 따라 달라집니다. 다른 맬웨어 방지 제품이 fanotify를 사용하는 경우 두 개의 충돌 에이전트를 실행하여 발생하는 성능 및 안정성 부작용을 제거하기 위해 제거해야 합니다.
FANotify를 실행하는 비 Microsoft 맬웨어 방지 소프트웨어가 있는지 검사 하려면 를 실행
mdatp health
한 다음 결과를 검사."conflicting_applications"에서 "사용할 수 없음" 이외의 결과가 표시되는 경우 타사 맬웨어 방지 프로그램을 제거합니다.
타사 맬웨어 방지 제품을 제거하지 않으면 성능 문제, 시스템 중단과 같은 안정성 문제 또는 커널 패닉과 같은 예기치 않은 동작이 발생할 수 있습니다.
비 Microsoft 맬웨어 방지 제품에서 제외해야 하는 Linux 프로세스 및 경로의 엔드포인트용 Microsoft Defender 식별하려면 를 실행
systemctl status -l mdatp
합니다.비 Microsoft 맬웨어 방지 제품에서 다음 프로세스를 제외합니다.
wdavdaemon
crashpad_handler
mdatp_audis_plugin
telemetryd_v2
비 Microsoft 맬웨어 방지 제품에서 다음 경로를 제외합니다.
/opt/microsoft/mdatp/
/var/opt/microsoft/mdatp/
/etc/opt/microsoft/mdatp/
8. 제외에 대한 다음 사항을 염두에 두십시오.
Microsoft Defender 바이러스 백신 검사에 제외를 추가하는 경우 경로 및 프로세스 제외를 추가해야 합니다.
참고
- 바이러스 백신 제외는 바이러스 백신 엔진에 적용됩니다.
- 표시기 허용/차단은 바이러스 백신 엔진에 적용됩니다.
다음 사항에 유의하세요.
- 경로 제외는 특정 파일 및 해당 파일이 액세스하는 모든 파일을 제외합니다.
- 프로세스 제외는 프로세스와 관련된 모든 항목을 제외하지만 프로세스 자체를 제외하지는 않습니다.
- 이름만 사용하는 것이 아니라 전체 경로를 사용하여 프로세스 제외를 나열합니다. (이름 전용 메서드는 보안이 떨어집니다.)
- 각 실행 파일을 경로 제외 및 프로세스 제외로 나열하면 프로세스와 처리 대상은 제외됩니다.
팁
"제외를 정의할 때 피해야 할 일반적인 실수", 특히 폴더 위치 및 Linux 및 macOS 플랫폼에 대한 섹션을 처리합니다.
9. 디바이스 그룹 만들기
디바이스 그룹, 디바이스 컬렉션 및 조직 구성 단위 디바이스 그룹, 디바이스 컬렉션 및 조직 단위를 설정하면 보안 팀이 보안 정책을 효율적이고 효과적으로 관리하고 할당할 수 있습니다. 다음 표에서는 이러한 각 그룹과 이러한 그룹을 구성하는 방법에 대해 설명합니다. organization 세 가지 컬렉션 형식을 모두 사용하지 않을 수 있습니다.
컬렉션 유형 | 수행할 작업 |
---|---|
디바이스 그룹 (이전 의 컴퓨터 그룹)을 사용하면 보안 운영 팀이 자동화된 조사 및 수정과 같은 보안 기능을 구성할 수 있습니다. 디바이스 그룹은 필요한 경우 보안 운영 팀이 수정 작업을 수행할 수 있도록 해당 디바이스에 대한 액세스 권한을 할당하는 데에도 유용합니다. 공격이 감지되고 중지되는 동안 디바이스 그룹이 생성되고 "초기 액세스 경고"와 같은 경고가 트리거되어 Microsoft Defender 포털에 표시됩니다. |
1. Microsoft Defender 포털(https://security.microsoft.com)로 이동합니다. 2. 왼쪽 탐색 창에서 설정>엔드포인트>권한>디바이스 그룹을 선택합니다. 3. + 디바이스 그룹 추가를 선택합니다. 4. 디바이스 그룹의 이름과 설명을 지정합니다. 5. Automation 수준 목록에서 옵션을 선택합니다. ( 전체 - 위협을 자동으로 수정하는 것이 좋습니다.) 다양한 자동화 수준에 대한 자세한 내용은 위협 수정 방법을 참조하세요. 6. 일치하는 규칙에 대한 조건을 지정하여 디바이스 그룹에 속하는 디바이스를 결정합니다. 예를 들어 도메인, OS 버전을 선택하거나 디바이스 태그를 사용할 수도 있습니다. 7. 사용자 액세스 탭에서 디바이스 그룹에 포함된 디바이스에 대한 액세스 권한이 있어야 하는 역할을 지정합니다. 8. 완료를 선택합니다. |
디바이스 컬렉션을 사용하면 보안 운영 팀이 애플리케이션을 관리하거나, 규정 준수 설정을 배포하거나, organization 디바이스에 소프트웨어 업데이트를 설치할 수 있습니다. 디바이스 컬렉션은 Configuration Manager 사용하여 만들어집니다. |
컬렉션 만들기의 단계를 따릅니다. |
조직 단위 를 사용하면 사용자 계정, 서비스 계정 또는 컴퓨터 계정과 같은 개체를 논리적으로 그룹화할 수 있습니다. 그런 다음 특정 조직 단위에 관리자를 할당하고 그룹 정책을 적용하여 대상 구성 설정을 적용할 수 있습니다. 조직 단위는 Microsoft Entra Domain Services 정의됩니다. |
Microsoft Entra Domain Services 관리되는 도메인에서 조직 구성 단위 만들기의 단계를 수행합니다. |
10. Linux 맬웨어 방지 설정에서 엔드포인트용 Microsoft Defender 구성
시작하기 전에 다음을 수행합니다.
이미 Linux 서버에 Microsoft 이외의 맬웨어 방지 제품을 사용하고 있는 경우 기존 제외를 Linux의 엔드포인트용 Microsoft Defender 복사해야 할 수 있습니다.
Linux 서버에 비 Microsoft 맬웨어 방지 제품을 사용하지 않는 경우 모든 Linux 애플리케이션 목록을 가져와서 제외를 위해 공급업체 웹 사이트를 검사.
Microsoft 이외의 맬웨어 방지 제품을 실행하는 경우 프로세스/경로를 엔드포인트용 Microsoft Defender 바이러스 백신 제외 목록에 추가합니다. 자세한 내용은 비 Microsoft 맬웨어 방지 설명서를 검사 지원팀에 문의하세요.
한 컴퓨터에서 테스트하는 경우 명령줄을 사용하여 제외를 설정할 수 있습니다.
여러 컴퓨터에서 테스트하는 경우 다음
mdatp_managed.json
파일을 사용합니다. Windows에서 온 경우 이는 Linux의 엔드포인트용 Defender에 대한 '그룹 정책'처럼 표시됩니다.필요에 따라 파일을 수정하는 것이 좋습니다.
{ "antivirusEngine":{ "enforcementLevel":"real_time", "scanAfterDefinitionUpdate":true, "scanArchives":true, "maximumOnDemandScanThreads":1, "exclusionsMergePolicy":"merge", "exclusions":[ { "$type":"excludedPath", "isDirectory":false, "path":"/var/log/system.log" }, { "$type":"excludedPath", "isDirectory":true, "path":"/home" }, { "$type":"excludedFileExtension", "extension":"pdf" }, { "$type":"excludedFileName", "name":"cat" } ], "allowedThreats":[ "<EXAMPLE DO NOT USE>EICAR-Test-File (not a virus)" ], "disallowedThreatActions":[ "allow", "restore" ], "threatTypeSettingsMergePolicy":"merge", "threatTypeSettings":[ { "key":"potentially_unwanted_application", "value":"block" }, { "key":"archive_bomb", "value":"audit" } ] }, "cloudService":{ "enabled":true, "diagnosticLevel":"optional", "automaticSampleSubmissionConsent":"safe", "automaticDefinitionUpdateEnabled":true "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/" } }
권장 사항:
{ "antivirusEngine":{ "enforcementLevel":"real_time", "scanAfterDefinitionUpdate":true, "scanArchives":true, "maximumOnDemandScanThreads":1, "exclusionsMergePolicy":"merge", "exclusions":[ { "$type":"excludedPath", "isDirectory":false, "path":"/var/log/system.log" }, { "$type":"excludedPath", "isDirectory":true, "path":"/proc" }, { "$type":"excludedPath", "isDirectory":true, "path":"/sys" }, { "$type":"excludedPath", "isDirectory":true, "path":"/dev" }, { "$type":"excludedFileExtension", "extension":"" }, { "$type":"excludedFileName", "name":"" } ], "allowedThreats":[ "" ], "disallowedThreatActions":[ "allow", "restore" ], "threatTypeSettingsMergePolicy":"merge", "threatTypeSettings":[ { "key":"potentially_unwanted_application", "value":"block" }, { "key":"archive_bomb", "value":"audit" } ] }, "cloudService":{ "enabled":true, "diagnosticLevel":"optional", "automaticSampleSubmissionConsent":"safe", "automaticDefinitionUpdateEnabled":true "proxy": "<EXAMPLE DO NOT USE> http://proxy.server:port/" } }
참고
Linux(및 macOS)에서는 와일드카드로 시작하는 경로를 지원합니다.
다음 표에서는 파일의 일부로 권장되는 설정에 mdatp_managed.json
대해 설명합니다.
Settings | 설명 |
---|---|
exclusionsMergePolicy 로 설정됨 admin_only |
로컬 관리자가 bash(명령 프롬프트)를 통해 로컬 제외를 추가할 수 없도록 합니다. |
disallowedThreatActions 로 설정됨 allow and restore |
로컬 관리자가 bash(명령 프롬프트)를 통해 격리된 항목을 복원할 수 없도록 합니다. |
threatTypeSettingsMergePolicy 로 설정됨 admin_only |
로컬 관리자가 bash(명령 프롬프트)를 통해 위협 유형에 무해한 가양성 또는 참 긍정을 추가할 수 없도록 합니다. |
- 설정을 파일로
mdatp_managed.json
저장합니다. - 설정을 이 경로
/etc/opt/microsoft/mdatp/managed/
에 복사합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 대한 기본 설정 설정을 참조하세요. - 이전 단계에서 비 Microsoft 맬웨어 방지 프로세스 및 경로를 제외 목록에 추가합니다.
- 비 Microsoft 맬웨어 방지 솔루션의 현재 제외를 이전 단계에 추가했는지 확인합니다.
엔드포인트용 Microsoft Defender 영향을 미칠 수 있는 애플리케이션
Postgres, OracleDB, Jira 및 Jenkins와 같은 높은 I/O 워크로드는 처리되는 작업의 양(엔드포인트용 Defender에서 모니터링)에 따라 다른 제외가 필요할 수 있습니다. 엔드포인트용 Defender를 설치한 후 성능 저하가 발생하는 경우 비 Microsoft 애플리케이션 공급자의 제외 지침을 따르는 것이 가장 좋습니다. 또한 Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수에 유의하세요.
성능 저하가 발생하는 경우 다음 리소스를 참조하세요.
- Linux의 엔드포인트용 Microsoft Defender 성능 문제를 해결합니다.
- Linux의 엔드포인트용 Microsoft Defender AuditD 성능 문제를 해결합니다.
11. Linux 온보딩 패키지에서 엔드포인트용 Microsoft Defender 다운로드
자세한 내용은 Microsoft Defender 포털에서 온보딩 패키지 다운로드를 참조하세요.
참고
이 다운로드는 linux에서 엔드포인트용 Microsoft Defender 등록하여 데이터를 엔드포인트용 Microsoft Defender instance 보냅니다.
이 패키지를 다운로드한 후 수동 설치 지침을 따르거나 Linux 관리 플랫폼을 사용하여 Linux에서 엔드포인트용 Defender를 배포하고 관리할 수 있습니다.
12. Linux에서 엔드포인트용 Microsoft Defender 관리하는 Ansible, Puppet 및 Chef 예제
Linux의 엔드포인트용 Defender는 거의 모든 관리 솔루션이 Linux에서 엔드포인트용 Defender 설정을 쉽게 배포하고 관리할 수 있도록 설계되었습니다. 몇 가지 일반적인 Linux 관리 플랫폼은 Ansible, Puppet 및 Chef입니다. 다음 문서에는 Linux에서 엔드포인트용 Defender를 배포하고 구성하도록 이러한 관리 플랫폼을 구성하는 방법에 대한 예제가 포함되어 있습니다.
Puppet을 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포
Ansible을 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포
Chef를 사용하여 Linux에 엔드포인트용 Microsoft Defender 배포
참고
다시 부팅은 변경할 수 없는 모드에서 auditD를 실행하는 경우를 제외하고 Linux에서 엔드포인트용 Microsoft Defender 설치하거나 업데이트한 후에는 필요하지 않습니다.
예약된 검사 cronjob 설정 제공
Linux의 엔드포인트용 Microsoft Defender Anacron을 사용하여 바이러스 백신 검사를 예약합니다. 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender Anacron을 사용하여 바이러스 백신 검사 예약을 참조하세요.
Linux 에이전트 cronjob 설정에서 엔드포인트용 Microsoft Defender 업데이트
Linux에서 엔드포인트용 Microsoft Defender 업데이트를 예약합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 업데이트 예약을 참조하세요.
13. Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결
Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결에서 설치 중에 발생할 수 있는 문제를 해결하는 방법을 알아봅니다.
14. 리소스 사용률 통계 확인
배포 후와 비교하여 성능 통계를 확인하고 배포 전 사용률과 비교합니다.
15. 엔드포인트용 Microsoft Defender 백 엔드와의 통신 확인
현재 네트워크 설정을 사용하여 클라우드에 대한 Linux 통신의 엔드포인트용 Microsoft Defender 확인하려면 명령줄에서 다음 연결 테스트를 실행합니다.
mdatp connectivity test
다음 이미지는 테스트의 예상 출력을 표시합니다.
자세한 내용은 연결 유효성 검사를 참조하세요.
16. 에이전트 상태 문제 조사
명령을 실행할 때 반환되는 값을 기반으로 에이전트 상태 문제를 조사합니다 mdatp health
. 자세한 내용은 에이전트 상태 문제 조사를 참조하세요.
17. 플랫폼 업데이트를 받을 수 있는지 확인(에이전트 업데이트)
Linux 플랫폼 업데이트에서 엔드포인트용 Microsoft Defender 확인하려면 다음 명령줄을 실행합니다.
sudo yum update mdatp
또는
apt-get update mdatp
패키지 관리자에 따라 다릅니다.
자세한 내용은 디바이스 상태 및 Microsoft Defender 맬웨어 방지 상태 보고서를 참조하세요.
최신 Broad 채널 릴리스를 찾으려면 Linux의 엔드포인트용 Microsoft Defender 새로운 기능 을 방문하세요.
Linux에서 엔드포인트용 Microsoft Defender 업데이트하는 방법
Microsoft는 성능, 보안을 개선하고 새로운 기능을 제공하기 위해 소프트웨어 업데이트를 정기적으로 게시합니다. Linux에서 엔드포인트용 Microsoft Defender 업데이트하려면 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.
참고
Redhat의 위성(Windows의 WSUS와 비슷하게)이 있는 경우 업데이트된 패키지를 가져올 수 있습니다.
팁
Cron 작업을 사용하여 월별(권장) 일정에 따라 에이전트 업데이트를 자동화합니다. 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender 업데이트 예약을 참조하세요.
비 Windows 엔드포인트
macOS 및 Linux를 사용하면 몇 가지 시스템을 사용하고 베타 채널에서 실행할 수 있습니다.
참고
빌드가 현재 채널로 전환되기 전에 호환성, 성능 및 안정성 문제를 찾을 수 있도록 미리 보기 채널에서 실행 중인 각 유형의 Linux 시스템 중 하나를 포함하는 것이 가장 좋습니다.
채널의 선택은 디바이스에 제공되는 업데이트의 유형과 빈도를 결정합니다. 베타의 디바이스는 업데이트 및 새 기능을 수신하는 첫 번째 디바이스이며, 이후 미리 보기와 마지막으로 Current가 그 뒤를 따릅니다.
새 기능을 미리 보고 초기 피드백을 제공하려면 베타 또는 미리 보기를 사용하도록 엔터프라이즈의 일부 디바이스를 구성하는 것이 좋습니다.
경고
초기 설치 후 채널을 전환하려면 제품을 다시 설치해야 합니다. 제품 채널을 전환하려면 기존 패키지를 제거하고 새 채널을 사용하도록 디바이스를 다시 구성하고 이 문서의 단계에 따라 새 위치에서 패키지를 설치합니다.
18. 보안 인텔리전스 업데이트(서명/정의 업데이트)를 가져올 수 있는지 확인합니다.
Linux 서명/정의 업데이트에서 엔드포인트용 Microsoft Defender 확인하려면 다음 명령줄을 실행합니다.
mdatp definitions update
자세한 내용은 Microsoft Defender 맬웨어 방지에 대한 새 디바이스 상태 보고를 참조하세요.
19. 테스트 검색
디바이스가 올바르게 온보딩되어 서비스에 보고되었는지 확인하려면 다음 검색 테스트를 실행합니다.
터미널 창을 열고 다음 명령을 실행하여 맬웨어 방지 검색 테스트를 실행합니다.
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
다음 명령 중 하나를 사용하여 zip 파일에서 추가 검색 테스트를 실행할 수 있습니다.
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
참고
검색이 표시되지 않으면 Ansible 또는 Puppet을 통해 기본 설정에서 허용하도록 "allowedThreats"를 설정했을 수 있습니다.
EDR(엔드포인트 검색 및 대응) 검색은 시뮬레이션된 공격을 통한 경험 엔드포인트용 Microsoft Defender 참조하세요. 검색이 표시되지 않으면 포털에서 이벤트 또는 경고가 누락될 수 있습니다. 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결을 참조하세요.
Microsoft Defender XDR 통합 제출 및 포털을 통해 가양성 및 거짓 부정을 제출하는 기능에 대한 자세한 내용은 지금 Microsoft Defender XDR 통합 제출을 참조하세요. - Microsoft Tech Community.
20. Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결
자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결을 참조하세요.
21. ISV, Linux 앱 또는 스크립트의 높은 CPU 사용률 문제 해결
타사 ISV, 내부적으로 개발된 Linux 앱 또는 스크립트가 높은 CPU 사용률로 실행되는 것을 관찰하는 경우 다음 단계를 수행하여 원인을 조사합니다.
- 증상을 유발하는 스레드 또는 프로세스를 식별합니다.
- 식별된 프로세스에 따라 추가 진단 단계를 적용하여 문제를 해결합니다.
1단계: 증상을 유발하는 Linux 스레드의 엔드포인트용 Microsoft Defender 식별
다음 구문을 사용하여 CPU 오버헤드를 일으키는 프로세스를 식별할 수 있습니다.
문제를 일으키는 엔드포인트용 Microsoft Defender 프로세스 ID를 가져오려면 다음을 실행합니다.
sudo top -c
엔드포인트용 Microsoft Defender 프로세스에 대한 자세한 내용을 보려면 다음을 실행합니다.
sudo ps ax --no-headings -T -o user,pid,thcount,%cpu,sched,%mem,vsz,rss,tname,stat,start_time,time,ucmd,command |sort -nrk 3|grep mdatp
프로세스 내에서 CPU 사용률이 가장 높은 특정 엔드포인트용 Microsoft Defender 스레드 ID를 식별하려면 다음을 실행합니다.
sudo ps -T -p <PID> >> Thread_with_highest_cpu_usage.log
다음 표에서는 높은 CPU 사용량을 유발할 수 있는 프로세스를 나열합니다.
프로세스 이름 | 사용된 구성 요소 | 사용된 MDE 엔진 |
---|---|---|
wdavdaemon | FANotify | 바이러스 백신 & EDR |
wdavdaemon 권한 없는 | 바이러스 백신 엔진 | |
wdavdaemon edr | EDR 엔진 | |
mdatp_audisp_plugin | 감사 프레임워크(감사) | 감사 로그 수집 |
2단계: 식별된 프로세스에 따라 추가 진단 단계 적용
높은 CPU 사용량을 유발하는 프로세스를 확인했으므로 다음 섹션의 해당 진단 지침을 사용합니다.
예를 들어 이전 단계에서 wdavdaemon unprivileged
는 높은 CPU 사용량을 유발하는 프로세스로 식별되었습니다. 결과에 따라 wdavdaemon 권한 없는 프로세스를 검사 지침을 적용할 수 있습니다.
높은 CPU 사용률 문제를 해결하려면 다음 표를 사용합니다.
프로세스 이름 | 사용된 구성 요소 | 사용된 엔드포인트용 Microsoft Defender 엔진 | 단계 |
---|---|---|---|
wdavdaemon | FANotify | 바이러스 백신 & EDR | - 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요. - 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다. - Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요. |
wdavdaemon 권한 없는 | 해당 없음 | 바이러스 백신 엔진 | 다음 다이어그램에서는 바이러스 백신 제외를 추가하기 위해 필요한 워크플로 및 단계를 보여 줍니다. 일반적인 문제 해결 지침 - 사내 앱/스크립트 또는 합법적인 타사 앱/스크립트에 플래그가 지정된 경우 Microsoft 보안 연구원은 의심스러운 파일을 분석하여 위협 파일, 원치 않는 애플리케이션 또는 일반 파일인지 확인합니다. 통합 제출 환경(자세한 내용은 통합 제출 환경 참조) 또는 파일 제출을 사용하여 맬웨어 또는 맬웨어로 잘못 분류된 것으로 생각되는 파일 제출. - Linux의 엔드포인트용 Microsoft Defender 성능 문제 해결을 참조하세요. - 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요. - 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다. - Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요. |
wdavdaemon edr | 해당 없음 | EDR 엔진 | 다음 다이어그램에서는 wdavedaemon_edr 프로세스 문제를 해결하는 워크플로 및 단계를 보여 줍니다. 일반적인 문제 해결 지침 - 사내 앱/스크립트 또는 합법적인 타사 앱/스크립트에 플래그가 지정된 경우 Microsoft 보안 연구원은 의심스러운 파일을 분석하여 위협 파일, 원치 않는 애플리케이션 또는 일반 파일인지 확인합니다. 통합 제출 환경(자세한 내용은 통합 제출 환경 참조) 또는 파일 제출을 사용하여 맬웨어 또는 맬웨어로 잘못 분류된 것으로 생각되는 파일 제출. - Linux의 엔드포인트용 Microsoft Defender 성능 문제 해결을 참조하세요. - 클라이언트 분석기를 다운로드하여 엔드포인트용 Microsoft Defender 실행합니다. 자세한 내용은 macOS 또는 Linux에서 클라이언트 분석기 실행을 참조하세요. - 클라이언트 분석기 도구를 사용하여 진단 데이터를 수집합니다. - Microsoft에서 CSS 지원 사례를 엽니다. 자세한 내용은 CSS 보안 지원 사례를 참조하세요. |
mdatp_audisp_plugin | 감사 프레임워크 | 감사 로그 수집 | Linux의 엔드포인트용 Microsoft Defender AuditD 성능 문제 해결을 참조하세요. |
22. 비 Microsoft 솔루션 제거
이 시점에서 다음이 있는 경우:
- 엔드포인트용 Defender에 organization 디바이스를 온보딩하고
- Microsoft Defender 바이러스 백신이 설치되고 사용하도록 설정됩니다.
그런 다음, 다음 단계는 비 Microsoft 바이러스 백신, 맬웨어 방지 및 엔드포인트 보호 솔루션을 제거하는 것입니다. 비 Microsoft 솔루션을 제거할 때 설치 또는 구성 중에 엔드포인트용 Defender를 수동 모드로 설정하는 경우 수동 모드에서 활성으로 전환하도록 구성을 업데이트해야 합니다.
진단 및 문제 해결 리소스
- Linux 설치 문제에 대한 엔드포인트용 Microsoft Defender 문제를 해결합니다.
- 설치 문제에 대한 자세한 로그를 찾을 위치를 식별합니다.
- 프록시가 없거나 투명 프록시가 없는 환경에 대한 문제 해결 단계입니다.
- 정적 프록시를 사용하는 환경에 대한 문제 해결 단계입니다.
- 진단 정보를 수집합니다.
- Linux에서 엔드포인트용 Defender를 제거합니다.
- Linux의 엔드포인트용 Microsoft Defender 성능 문제를 해결합니다.
- Linux의 엔드포인트용 Microsoft Defender AuditD 성능 문제를 해결합니다.
고급 엔드포인트용 Microsoft Defender 기능
-
참고
동작 모니터링 기능은 기존의 강력한 콘텐츠 기반 기능을 보완합니다. 그러나 동작 모니터링을 사용하도록 설정하면 더 많은 리소스가 사용되고 성능 문제가 발생할 수 있으므로 광범위하게 배포하기 전에 환경에서 이 기능을 신중하게 평가해야 합니다.
참조
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.