Share via


엔드포인트용 Microsoft Defender에서 가양성/가음성 문제 해결

적용 대상:

플랫폼

  • Windows

엔드포인트 보호 솔루션에서 가양성 은 파일이나 엔터티가 실제로 위협이 아니더라도 검색되어 악의적으로 식별된 프로세스와 같은 엔터티입니다. 거짓 부정은 실제로 악의적인 경우에도 위협으로 검색되지 않은 엔터티입니다. 엔드포인트용 Defender를 비롯한 모든 위협 방지 솔루션에서 가양성/부정이 발생할 수 있습니다.

Microsoft Defender 포털에서 가양성 및 부정의 정의

다행히 이러한 종류의 문제를 해결하고 줄이기 위한 단계를 수행할 수 있습니다. 엔드포인트용 Defender에서 가양성/부정이 발생하는 경우 보안 작업은 다음 프로세스를 사용하여 이를 해결하는 단계를 수행할 수 있습니다.

  1. 경고 검토 및 분류
  2. 수행된 수정 작업 검토
  3. 제외 검토 및 정의
  4. 분석을 위해 엔터티 제출
  5. 위협 방지 설정 검토 및 조정

이 문서에 설명된 작업을 수행한 후에도 여전히 가양성/부정에 문제가 있는 경우 도움을 받을 수 있습니다. 여전히 도움이 필요하세요?를 참조하세요.

가양성 및 부정을 해결하는 단계

참고

이 문서는 엔드포인트용 Defender를 사용하는 보안 운영자 및 보안 관리자를 위한 지침입니다.

1부: 경고 검토 및 분류

악의적이거나 의심스러운 것으로 감지되어 발생된 경고 가 표시되면 해당 엔터티에 대한 경고를 표시하지 않을 수 있습니다. 반드시 거짓 긍정은 아니지만 중요하지 않은 경고를 표시하지 않을 수도 있습니다. 경고를 분류하는 것이 좋습니다.

경고를 관리하고 true/false 긍정을 분류하면 위협 방지 솔루션을 학습하는 데 도움이 되며 시간이 지남에 따라 가양성 또는 거짓 부정의 수를 줄일 수 있습니다. 또한 이러한 단계를 수행하면 보안 팀이 우선 순위가 높은 작업 항목에 집중할 수 있도록 큐의 노이즈를 줄일 수 있습니다.

경고가 정확한지 확인

경고를 분류하거나 표시하지 않기 전에 경고가 정확한지, 가양성인지, 양성인지를 결정합니다.

  1. Microsoft Defender 포털의 탐색 창에서 인시던트 & 경고를 선택한 다음 경고를 선택합니다.

  2. 경고에 대한 자세한 내용을 보려면 경고를 선택합니다. (이 작업에 대한 도움말을 보려면 엔드포인트용 Defender에서 경고 검토를 참조하세요.)

  3. 경고 상태 따라 다음 표에 설명된 단계를 수행합니다.

    경고 상태 수행할 작업
    경고가 정확합니다. 경고를 할당한 다음, 추가로 조사합니다 .
    경고가 가양성입니다. 1. 경고를 가양성으로 분류 합니다.

    2. 경고를 표시하지 않습니다.

    3. 엔드포인트용 Microsoft Defender 대한 표시기를 Create.

    4. 분석을 위해 Microsoft에 파일을 제출합니다.
    경고는 정확하지만 무해합니다(중요하지 않음). 경고를 진정한 긍정으로 분류한 다음 경고를 표시하지 않습니다.

경고 분류

경고는 Microsoft Defender 포털에서 가양성 또는 참 긍정으로 분류할 수 있습니다. 경고를 분류하면 시간이 지남에 따라 더 많은 실제 경고와 더 적은 거짓 경고가 표시되도록 엔드포인트용 Defender를 학습하는 데 도움이 됩니다.

  1. Microsoft Defender 포털의 탐색 창에서 인시던트 & 경고를 선택하고 경고를 선택한 다음 경고를 선택합니다.

  2. 선택한 경고에 대해 경고 관리를 선택합니다. 플라이아웃 창이 열립니다.

  3. 경고 관리 섹션의 분류 필드에서 경고를 분류합니다(True positive, Informational, Expected activity 또는 False positive).

경고를 표시하지 않는 방법에 대한 자세한 내용은 엔드포인트용 Defender 경고 관리를 참조하세요. 또한 organization SIEM(보안 정보 및 이벤트 관리) 서버를 사용하는 경우 제거 규칙도 정의해야 합니다.

경고 표시 안 함

가양성이거나 참 긍정이지만 중요하지 않은 이벤트의 경우 해당 경고를 Microsoft Defender XDR 표시하지 않을 수 있습니다. 경고를 표시하지 않는 것은 큐의 노이즈를 줄이는 데 도움이 됩니다.

  1. Microsoft Defender 포털의 탐색 창에서 인시던트 & 경고를 선택한 다음 경고를 선택합니다.

  2. 표시하지 않으려는 경고를 선택하여 세부 정보 창을 엽니다.

  3. 세부 정보 창에서 줄임표(...)를 선택한 다음, 제거 규칙을 Create.

  4. 제거 규칙에 대한 모든 설정을 지정한 다음 저장을 선택합니다.

제거 규칙에 대한 도움이 필요하세요? 경고 표시 안 함 및 새 제거 규칙 만들기를 참조하세요.

2부: 수정 작업 검토

격리할 파일을 보내거나 프로세스를 중지하는 등의 수정 작업은 위협으로 검색된 엔터티(예: 파일)에서 수행됩니다. 자동화된 조사 및 Microsoft Defender 바이러스 백신을 통해 여러 유형의 수정 작업이 자동으로 수행됩니다.

  • 파일 격리
  • 레지스트리 키 제거
  • 프로세스 종료
  • 서비스 중지
  • 드라이버 사용 안 함
  • 예약된 작업 제거

바이러스 백신 검사 시작 또는 조사 패키지 수집과 같은 기타 작업은 수동으로 또는 라이브 응답을 통해 수행됩니다. 라이브 응답을 통해 수행된 작업은 실행 취소할 수 없습니다.

경고를 검토한 후 다음 단계는 수정 작업을 검토하는 것입니다. 가양성의 결과로 수행된 작업이 있는 경우 대부분의 종류의 수정 작업을 실행 취소할 수 있습니다. 특히 다음을 수행할 수 있습니다.

가양성의 결과로 수행된 작업을 검토하고 실행 취소했으면 제외를 검토하거나 정의합니다.

완료된 작업 검토

  1. Microsoft Defender 포털에서 작업 & 제출을 선택한 다음, 알림 센터를 선택합니다.

  2. 기록 탭을 선택하여 수행된 작업 목록을 봅니다.

  3. 수행된 수정 작업에 대한 자세한 내용을 보려면 항목을 선택합니다.

알림 센터에서 격리된 파일 복원

  1. Microsoft Defender 포털에서 작업 & 제출을 선택한 다음, 알림 센터를 선택합니다.

  2. 기록 탭에서 실행 취소할 작업을 선택합니다.

  3. 플라이아웃 창에서 실행 취소를 선택합니다. 이 메서드를 사용하여 작업을 실행 취소할 수 없는 경우 실행 취소 단추가 표시되지 않습니다. 자세한 내용은 완료된 작업 실행 취소를 참조하세요.

한 번에 여러 작업 실행 취소

  1. Microsoft Defender 포털에서 작업 & 제출을 선택한 다음, 알림 센터를 선택합니다.

  2. 기록 탭에서 실행 취소할 작업을 선택합니다.

  3. 화면 오른쪽의 플라이아웃 창에서 실행 취소를 선택합니다.

여러 디바이스에서 격리에서 파일 제거

격리 파일

  1. Microsoft Defender 포털에서 작업 & 제출을 선택한 다음, 알림 센터를 선택합니다.

  2. 기록 탭에서 작업 유형 격리 파일이 있는 파일을 선택합니다.

  3. 화면 오른쪽 창에서 이 파일의 X에 적용 추가 인스턴스를 선택한 다음, 실행 취소를 선택합니다.

격리된 메시지 검토

  1. Microsoft Defender 포털의 탐색 창의 Email & 협업에서 Exchange 메시지 추적을 선택합니다.

  2. 세부 정보를 볼 메시지를 선택합니다.

격리로부터 파일 복원

조사 후 클린 확인되면 파일을 롤백하고 격리에서 제거할 수 있습니다. 파일이 격리된 각 디바이스에서 다음 명령을 실행합니다.

  1. 디바이스에서 관리자 권한으로 명령 프롬프트를 엽니다.

    1. 시작 (으)로 이동하고 cmd를 입력하십시오.
    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.
  2. 다음 명령을 입력하고 Enter 키를 누릅니 .

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
    

    중요

    일부 시나리오에서는 ThreatName 이 로 EUS:Win32/CustomEnterpriseBlock!cl나타날 수 있습니다. 엔드포인트용 Defender는 지난 30일 동안 이 디바이스에서 격리된 모든 사용자 지정 차단 파일을 복원합니다. 잠재적 네트워크 위협으로 격리된 파일은 복구할 수 없습니다. 사용자가 격리 후 파일을 복원하려고 하면 해당 파일에 액세스할 수 없을 수 있습니다. 이는 시스템에 더 이상 파일에 액세스할 네트워크 자격 증명이 없기 때문일 수 있습니다. 일반적으로 시스템 또는 공유 폴더에 대한 임시 로그온과 액세스 토큰이 만료된 결과입니다.

  3. 화면 오른쪽 창에서 이 파일의 X에 적용 추가 인스턴스를 선택한 다음, 실행 취소를 선택합니다.

3부: 제외 검토 또는 정의

주의

제외를 정의하기 전에 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외 관리의 자세한 정보를 검토합니다. 정의된 모든 제외는 보호 수준을 낮춥니다.

제외는 수정 작업의 예외로 지정하는 파일 또는 URL과 같은 엔터티입니다. 제외된 엔터티는 여전히 검색될 수 있지만 해당 엔터티에 대한 수정 작업은 수행되지 않습니다. 즉, 검색된 파일 또는 프로세스는 중지되거나, 격리로 전송되거나, 제거되거나, 엔드포인트용 Microsoft Defender 의해 변경되지 않습니다.

엔드포인트용 Microsoft Defender 제외를 정의하려면 다음 작업을 수행합니다.

참고

Microsoft Defender 바이러스 백신 제외는 다른 엔드포인트용 Microsoft Defender 기능이 아닌 바이러스 백신 보호에만 적용됩니다. 파일을 광범위하게 제외하려면 Microsoft Defender 바이러스 백신 및 엔드포인트용 Microsoft Defender 대한 사용자 지정 표시기에서 제외를 사용합니다.

이 섹션의 절차에서는 제외 및 지표를 정의하는 방법을 설명합니다.

Microsoft Defender 바이러스 백신에 대한 제외

일반적으로 Microsoft Defender 바이러스 백신에 대한 제외를 정의할 필요가 없습니다. 제외를 드물게 정의하고 가양성으로 인해 발생하는 파일, 폴더, 프로세스 및 프로세스 열기 파일만 포함해야 합니다. 또한 정의된 제외를 정기적으로 검토해야 합니다. Microsoft Intune 사용하여 바이러스 백신 제외를 정의하거나 편집하는 것이 좋습니다. 그러나 그룹 정책 같은 다른 메서드를 사용할 수 있습니다(엔드포인트용 Microsoft Defender 관리 참조).

바이러스 백신 제외에 대한 도움이 필요하세요? Microsoft Defender 바이러스 백신에 대한 제외 구성 및 유효성 검사를 참조하세요.

Intune 사용하여 바이러스 백신 제외 관리(기존 정책의 경우)

  1. Microsoft Intune 관리 센터에서엔드포인트 보안>바이러스 백신을 선택한 다음, 기존 정책을 선택합니다. (기존 정책이 없거나 새 정책을 만들려는 경우 Intune 사용하여 제외가 있는 새 바이러스 백신 정책 만들기로 건너뜁니다.)

  2. 속성을 선택하고 구성 설정 옆에 있는 편집을 선택합니다.

  3. 바이러스 백신 제외 Microsoft Defender 확장한 다음 제외를 지정합니다.

    • 제외된 확장명은 파일 형식 확장명에서 정의하는 제외입니다. 이러한 확장명은 파일 경로 또는 폴더가 없는 정의된 확장명을 포함하는 모든 파일 이름에 적용됩니다. 목록의 각 파일 형식을 문자로 | 구분해야 합니다. 예를 들면 lib|obj와 같습니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
    • 제외된 경로는 해당 위치(경로)로 정의하는 제외입니다. 이러한 유형의 제외를 파일 및 폴더 제외라고도 합니다. 목록의 각 경로를 문자로 | 구분합니다. 예를 들면 C:\Example|C:\Example1와 같습니다. 자세한 내용은 ExcludedPaths를 참조하세요.
    • 제외된 프로세스 는 특정 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 C:\Example. exe|C:\Example1.exe와 같습니다. 이러한 제외는 실제 프로세스에 대한 것이 아닙니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.
  4. 검토 + 저장을 선택한 다음 저장을 선택합니다.

Intune 사용하여 제외를 사용하여 새 바이러스 백신 정책 만들기

  1. Microsoft Intune 관리 센터에서엔드포인트 보안>바이러스 백신>+ Create 정책을 선택합니다.

  2. 플랫폼(예: Windows 10, Windows 11 및 Windows Server)을 선택합니다.

  3. 프로필에서 Microsoft Defender 바이러스 백신 제외를 선택한 다음, Create 선택합니다.

  4. Create 프로필 단계에서 프로필의 이름과 설명을 지정한 다음, 다음을 선택합니다.

  5. 구성 설정 탭에서 바이러스 백신 제외를 지정한 다음, 다음을 선택합니다.

    • 제외된 확장명은 파일 형식 확장명에서 정의하는 제외입니다. 이러한 확장명은 파일 경로 또는 폴더가 없는 정의된 확장명을 포함하는 모든 파일 이름에 적용됩니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 lib|obj와 같습니다. 자세한 내용은 ExcludedExtensions를 참조하세요.
    • 제외된 경로는 해당 위치(경로)로 정의하는 제외입니다. 이러한 유형의 제외를 파일 및 폴더 제외라고도 합니다. 목록의 각 경로를 문자로 | 구분합니다. 예를 들면 C:\Example|C:\Example1와 같습니다. 자세한 내용은 ExcludedPaths를 참조하세요.
    • 제외된 프로세스 는 특정 프로세스에서 연 파일에 대한 제외입니다. 목록의 각 파일 형식을 문자로 | 구분합니다. 예를 들면 C:\Example. exe|C:\Example1.exe와 같습니다. 이러한 제외는 실제 프로세스에 대한 것이 아닙니다. 프로세스를 제외하려면 파일 및 폴더 제외를 사용할 수 있습니다. 자세한 내용은 ExcludedProcesses를 참조하세요.
  6. 범위 태그 탭에서 organization scope 태그를 사용하는 경우 만들 정책에 대한 scope 태그를 지정합니다. ( 범위 태그를 참조하세요.)

  7. 할당 탭에서 정책을 적용할 사용자 및 그룹을 지정한 다음, 다음을 선택합니다. (할당에 대한 도움이 필요한 경우 Microsoft Intune 사용자 및 디바이스 프로필 할당을 참조하세요.)

  8. 검토 + 만들기 탭에서 설정을 검토한 다음, Create 선택합니다.

엔드포인트용 Defender에 대한 지표

지표 (특히 손상 지표 또는 IoC)를 사용하면 보안 운영 팀이 엔터티의 검색, 방지 및 제외를 정의할 수 있습니다. 예를 들어 엔드포인트용 Microsoft Defender 검사 및 수정 작업에서 생략할 특정 파일을 지정할 수 있습니다. 또는 표시기를 사용하여 특정 파일, IP 주소 또는 URL에 대한 경고를 생성할 수 있습니다.

엔드포인트용 Defender에 대한 제외로 엔터티를 지정하려면 해당 엔터티에 대한 "허용" 표시기를 만듭니다. 이러한 "허용" 지표는 차세대 보호자동화된 조사 & 수정에 적용됩니다.

다음을 위해 "허용" 표시기를 만들 수 있습니다.

표시기 유형

파일에 대한 표시기

실행 파일과 같은 파일에 대한 "허용" 표시기를 만들면 organization 사용하는 파일이 차단되지 않도록 방지할 수 있습니다. 파일에는 PE(이식 가능한 실행 파일) 파일(예: .exe 및 파일)이 .dll 포함될 수 있습니다.

파일에 대한 표시기를 만들기 전에 다음 요구 사항이 충족되는지 확인합니다.

IP 주소, URL 또는 도메인에 대한 표시기

IP 주소, URL 또는 도메인에 대한 "허용" 표시기를 만들면 organization 사용하는 사이트 또는 IP 주소가 차단되지 않도록 방지할 수 있습니다.

IP 주소, URL 또는 도메인에 대한 표시기를 만들기 전에 다음 요구 사항이 충족되는지 확인합니다.

  • 엔드포인트용 Defender의 네트워크 보호가 블록 모드에서 사용하도록 설정됨( 네트워크 보호 사용 참조)
  • 맬웨어 방지 클라이언트 버전은 4.18.1906.x 이상입니다.
  • 디바이스가 Windows 10, 버전 1709 이상 또는 Windows 11 실행 중입니다.

사용자 지정 네트워크 표시기가 Microsoft Defender XDR 켜져 있습니다. 자세한 내용은 고급 기능을 참조하세요.

애플리케이션 인증서에 대한 지표

애플리케이션 인증서에 대한 "허용" 표시기를 만들면 내부적으로 개발된 애플리케이션과 같이 organization 사용하는 애플리케이션이 차단되지 않도록 방지할 수 있습니다. .CER 또는 .PEM 파일 확장명도 지원됩니다.

애플리케이션 인증서에 대한 지표를 만들기 전에 다음 요구 사항이 충족되는지 확인합니다.

  • Microsoft Defender 바이러스 백신은 클라우드 기반 보호가 사용하도록 구성되어 있습니다(클라우드 기반 보호 관리 참조).
  • 맬웨어 방지 클라이언트 버전은 4.18.1901.x 이상입니다.
  • 디바이스가 Windows 10, 버전 1703 이상 또는 Windows 11 실행 중입니다. 엔드포인트용 Defender 또는 Windows Server 2019 또는 Windows Server 2022의 최신 통합 솔루션으로 R2 및 Windows Server 2016 Windows Server 2012
  • 바이러스 및 위협 방지 정의가 최신 상태입니다.

표시기를 만들 때 표시기를 하나씩 정의하거나 여러 항목을 한 번에 가져올 수 있습니다. 단일 테넌트의 지표는 15,000개로 제한됩니다. 또한 파일 해시 정보와 같은 특정 세부 정보를 먼저 수집해야 할 수 있습니다. 표시기를 만들기 전에 필수 구성 요소를 검토 해야 합니다.

4부: 분석을 위해 파일 제출

분석을 위해 파일 및 파일리스 검색과 같은 엔터티를 Microsoft에 제출할 수 있습니다. Microsoft 보안 연구원은 모든 제출을 분석하고, 그 결과는 엔드포인트용 Defender 위협 방지 기능을 알리는 데 도움이 됩니다. 제출 사이트에서 로그인하면 제출을 추적할 수 있습니다.

분석을 위해 파일 제출

악의적으로 잘못 검색되었거나 누락된 파일이 있는 경우 다음 단계에 따라 분석을 위해 파일을 제출합니다.

  1. 분석을 위해 파일 제출에 대한 지침을 검토합니다.

  2. 엔드포인트용 Defender에서 파일을 제출하거나 Microsoft 보안 인텔리전스 제출 사이트를 방문하여 파일을 제출합니다.

분석을 위해 파일리스 검색 제출

동작에 따라 맬웨어로 검색된 파일이 없고 파일이 없는 경우 분석을 위해 파일을 제출할 Mpsupport.cab 수 있습니다. Windows 10 또는 Windows 11 Microsoft 맬웨어 보호 Command-Line 유틸리티(MPCmdRun.exe) 도구를 사용하여.cab파일을 가져올 수 있습니다.

  1. 로 이동한 C:\ProgramData\Microsoft\Windows Defender\Platform\<version>다음 관리자 권한으로 실행 MpCmdRun.exe 합니다.

  2. mpcmdrun.exe -GetFiles을(를) 입력한 다음 Enter 키를 누릅니다.

    다양한 진단 로그를 포함하는 .cab 파일이 생성됩니다. 파일의 위치는 명령 프롬프트의 출력에 지정됩니다. 기본적으로 위치는 입니다 C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab.

  3. 분석을 위해 파일 제출에 대한 지침을 검토합니다.

  4. Microsoft 보안 인텔리전스 제출 사이트()를https://www.microsoft.com/wdsi/filesubmission 방문하여 .cab 파일을 제출합니다.

파일이 제출되면 어떻게 되나요?

분석가가 사례 처리를 시작하기 전에도 제출을 즉시 시스템에서 검사하여 최신 결정을 내릴 수 있습니다. 분석가가 파일을 이미 제출하고 처리했을 수 있습니다. 이러한 경우 결정은 신속하게 이루어집니다.

아직 처리되지 않은 제출의 경우 다음과 같이 분석에 우선 순위가 지정됩니다.

  • 많은 수의 컴퓨터에 영향을 줄 가능성이 있는 널리 퍼진 파일에는 더 높은 우선 순위가 지정됩니다.
  • 인증된 고객, 특히 유효한 SAID(Software Assurance ID)를 사용하는 엔터프라이즈 고객에게는 더 높은 우선 순위가 부여됩니다.
  • SAID 보유자가 높은 우선 순위로 플래그가 지정된 제출은 즉각적인 주의를 기울입니다.

제출과 관련된 업데이트를 검사 Microsoft 보안 인텔리전스 제출 사이트에서 로그인합니다.

5부: 위협 방지 설정 검토 및 조정

엔드포인트용 Defender는 다양한 기능 및 기능에 대한 설정을 미세 조정하는 기능을 포함하여 다양한 옵션을 제공합니다. 거짓 긍정이 많은 경우 organization 위협 방지 설정을 검토해야 합니다. 다음을 조정해야 할 수 있습니다.

클라우드 제공 보호

클라우드 제공 보호 수준에서 Microsoft Defender 바이러스 백신을 확인합니다. 기본적으로 클라우드 제공 보호는 구성되지 않음으로 설정됩니다. 그러나 을 켜는 것이 좋습니다. 클라우드 제공 보호를 구성하는 방법에 대한 자세한 내용은 Microsoft Defender 바이러스 백신에서 클라우드 보호 설정을 참조하세요.

Intune 또는 다른 방법(예: 그룹 정책)을 사용하여 클라우드 제공 보호 설정을 편집하거나 설정할 수 있습니다.

Microsoft Defender 바이러스 백신에서 클라우드 보호 켜기를 참조하세요.

사용자 동의 없이 설치된 애플리케이션에 대한 수정

PUA(사용자 동의 없이 설치된 애플리케이션)는 디바이스가 느리게 실행되거나, 예기치 않은 광고를 표시하거나, 예기치 않거나 원치 않는 다른 소프트웨어를 설치할 수 있는 소프트웨어 범주입니다. PUA의 예로는 광고 소프트웨어, 번들 소프트웨어 및 보안 제품과 다르게 작동하는 회피 소프트웨어가 있습니다. PUA는 맬웨어로 간주되지 않지만, 일부 종류의 소프트웨어는 해당 동작과 평판에 따라 PUA입니다.

PUA에 대한 자세한 내용은 잠재적으로 원치 않는 애플리케이션 검색 및 차단을 참조하세요.

organization 사용하는 앱에 따라 PUA 보호 설정의 결과로 가양성 표시가 발생할 수 있습니다. 필요한 경우 잠시 감사 모드에서 PUA 보호를 실행하거나 organization 디바이스의 하위 집합에 PUA 보호를 적용하는 것이 좋습니다. PUA 보호는 Microsoft Edge 브라우저 및 Microsoft Defender 바이러스 백신에 대해 구성할 수 있습니다.

Intune 사용하여 PUA 보호 설정을 편집하거나 설정하는 것이 좋습니다. 그러나 그룹 정책 같은 다른 방법을 사용할 수 있습니다.

Microsoft Defender 바이러스 백신에서 PUA 보호 구성을 참조하세요.

자동화된 조사 및 수정

AIR(자동 조사 및 수정) 기능은 경고를 검사하고 위반을 resolve 즉각적인 조치를 취하도록 설계되었습니다. 경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거에 대한 판결이 생성됩니다. 평결은 악의적이거나의심스럽거나 위협을 찾을 수 없습니다.

organization 및 기타 보안 설정에 대해 설정된 자동화 수준에 따라 악의적이거나 의심스러운 것으로 간주되는 아티팩트에서 수정 작업이 수행됩니다. 경우에 따라 수정 작업이 자동으로 수행됩니다. 다른 경우에는 수정 작업이 수동으로 수행되거나 보안 운영 팀의 승인에 따라 수행됩니다.

중요

자동화된 조사 및 수정을 위해 전체 자동화 를 사용하는 것이 좋습니다. 가양성으로 인해 이러한 기능을 해제하지 마세요. 대신 "허용" 표시기를 사용하여 예외를 정의하고 자동 조사 및 수정 설정을 유지하여 적절한 작업을 자동으로 수행합니다. 이 지침에 따라 보안 운영 팀에서 처리해야 하는 경고 수를 줄일 수 있습니다.

아직 해결되지 않았습니까?

이 문서의 모든 단계를 수행했으며 여전히 도움이 필요한 경우 기술 지원에 문의하세요.

  1. Microsoft Defender 포털의 오른쪽 위 모서리에서 물음표(?)를 선택한 다음 Microsoft 지원을 선택합니다.

  2. 지원 도우미 창에서 문제를 설명한 다음 메시지를 보냅니다. 여기에서 서비스 요청을 열 수 있습니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.