엔드포인트용 Microsoft Defender 문제 해결 모드 시작

적용 대상:

• 엔드포인트용 Microsoft Defender
• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

엔드포인트용 Microsoft Defender 문제 해결 모드를 사용하면 조직 정책에서 디바이스를 관리하는 경우에도 관리자가 다양한 Microsoft Defender 바이러스 백신 기능을 해결할 수 있습니다. 예를 들어 변조 방지 를 사용하는 경우 특정 설정을 수정하거나 끌 수는 없지만 디바이스에서 문제 해결 모드를 사용하여 해당 설정을 일시적으로 편집할 수 있습니다.

문제 해결 모드는 기본적으로 사용하지 않도록 설정되며 제한된 시간 동안 디바이스(및/또는 디바이스 그룹)에 대해 설정해야 합니다. 문제 해결 모드는 엔터프라이즈 전용 기능이며 Microsoft Defender 포털 액세스가 필요합니다.

이 문서에서는 Windows 디바이스의 문제 해결 모드에 대해 설명합니다. Mac의 문제 해결 모드에 대한 자세한 내용은 macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드를 참조하세요.

팁

• 문제 해결 모드 중에 Windows 디바이스에서 PowerShell 명령을 Set-MPPreference -DisableTamperProtection $true 사용할 수 있습니다.
• 변조 방지 상태를 검사 Get-MpComputerStatus PowerShell cmdlet을 사용할 수 있습니다. 결과 목록에서 또는 RealTimeProtectionEnabled를 IsTamperProtected 찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다.
• Mac 디바이스의 경우 macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

문제 해결 모드 중에 PowerShell 명령을 Set-MPPreference -DisableTamperProtection $true 사용하거나 클라이언트 운영 체제에서 Security Center 앱을 사용하여 디바이스에서 변조 방지를 일시적으로 사용하지 않도록 설정하고 필요한 구성을 변경할 수 있습니다.

문제 해결 모드를 사용하여 애플리케이션 블록에서 가양성이 발생하는 경우와 같이 Microsoft Defender 바이러스 백신과의 애플리케이션 호환성을 문제 해결하거나 검사 수 있습니다.

적절한 권한으로 로컬 관리자는 일반적으로 정책에 의해 잠겨 있는 개별 디바이스의 구성을 변경할 수 있습니다. 문제 해결 모드에서 디바이스를 사용하는 것은 Microsoft Defender 바이러스 백신 성능 및 호환성 시나리오를 진단할 때 유용할 수 있습니다. 로컬 관리자는 바이러스 백신을 Microsoft Defender 끄거나 제거할 수 없습니다. 로컬 관리자는 Microsoft Defender 바이러스 백신 제품군(예: 클라우드 보호, 변조 방지)의 다른 모든 보안 설정을 구성할 수 있습니다.

관리자가 문제 해결 모드를 켜려면 "보안 설정 관리" 권한이 있어야 합니다.

엔드포인트용 Defender는 문제 해결 프로세스 전반에 걸쳐 로그 및 조사 데이터를 수집합니다.

• 문제 해결 모드가 시작되기 전에 의 MpPreference 스냅샷 수행됩니다.
• 문제 해결 모드가 만료되기 직전에 두 번째 스냅샷 수행됩니다.
• 문제 해결 모드 중의 운영 로그도 수집됩니다.
• 로그 및 스냅샷은 수집되며 관리자가 디바이스 페이지의 조사 패키지 수집 기능을 사용하여 수집할 수 있습니다. Microsoft는 관리자가 수집할 때까지 디바이스에서 이 데이터를 제거하지 않습니다.

관리자는 디바이스 자체의 이벤트 뷰어 문제 해결 모드 중에 발생하는 설정의 변경 내용을 검토할 수도 있습니다.

• 이벤트 뷰어 연 다음 애플리케이션 및 서비스 로그Microsoft>Windows Windows>Defender를 > 확장한 다음, 작동을 선택합니다.
• 잠재적 이벤트에는 ID 5000, 5001, 5004, 5007 등의 이벤트가 포함될 수 있습니다. Microsoft Defender 바이러스 백신 문제를 해결하려면 이벤트 로그 및 오류 코드 검토에서 자세한 내용을 참조하세요.

문제 해결 모드는 만료 시간에 도달한 후 자동으로 꺼집니다(4시간 동안 지속됨). 문제 해결 모드가 만료되면 모든 정책 관리 구성이 다시 읽기 전용이 되고 문제 해결 모드를 사용하도록 설정하기 전에 디바이스가 어떻게 구성되었는지 되돌리기.

명령이 Microsoft Defender XDR 전송되는 시간부터 디바이스에서 활성화되는 시점까지 최대 15분이 걸릴 수 있습니다.

문제 해결 모드가 시작되고 문제 해결 모드가 종료되면 사용자에게 알림이 전송됩니다. 문제 해결 모드가 곧 종료됨을 나타내는 경고도 전송됩니다. 문제 해결 모드의 시작 및 끝은 디바이스 페이지의 디바이스 타임라인에 있는 Microsoft Defender 포털에서도 식별됩니다.

고급 헌팅에서 모든 문제 해결 모드 이벤트를 쿼리할 수 있습니다.

참고

정책 관리 변경 내용은 문제 해결 모드에서 적극적으로 디바이스에 적용됩니다. 그러나 문제 해결 모드가 만료될 때까지 변경 내용은 적용되지 않습니다. 또한 Microsoft Defender 바이러스 백신 플랫폼 업데이트는 문제 해결 모드 중에 적용되지 않습니다. 플랫폼 업데이트는 문제 해결 모드가 Windows 업데이트로 끝날 때 적용됩니다.

필수 구성 요소

• 디바이스는 지원되는 운영 체제를 실행해야 합니다.

  • Windows 10(버전 19044.1618 이상), Windows 11, 2019년 Windows Server, 2022년 Windows Server 또는 2025년 Windows Server.

    학기/레드스톤	OS 버전	릴리스
    21H2/SV1	22000.593 이상	KB5011563: Microsoft 업데이트 카탈로그
    20H1/20H2/21H1	19042.1620 이상 19041.1620 이상 19043.1620 이상	KB5011543: Microsoft 업데이트 카탈로그
    Windows Server 2022 이상	20348.617 이상	KB5011558: Microsoft 업데이트 카탈로그
    Windows Server 2019(RS5)	17763.2746 이상	KB5011551: Microsoft 업데이트 카탈로그

  • 최신 통합 솔루션을 사용하여 R2 및 Windows Server 2016 Windows Server 2012 다음 구성 요소를 모두 최신 상태로 유지합니다.

    구성 요소	버전	릴리스
    센스 버전	10.8049.22439.1084 이상	KB5005292: Microsoft 업데이트 카탈로그
    Microsoft Defender 바이러스 백신	플랫폼: 4.18.2207.7 이상	KB4052623: Microsoft 업데이트 카탈로그
    Microsoft Defender 바이러스 백신	엔진: 1.1.19500.2 이상	KB2267602: Microsoft 업데이트 카탈로그

• 엔드포인트용 Defender는 디바이스에서 테넌트 등록 및 활성 상태여야 합니다.

• 디바이스는 바이러스 백신 버전 4.18.2203 or laterMicrosoft Defender 을 적극적으로 실행해야 합니다.

• macOS 디바이스의 경우 Mac의 문제 해결 모드에 대한 필수 구성 요소를 참조하세요.

문제 해결 모드 사용

1. Microsoft Defender 포털로 이동하여 로그인합니다.

2. 문제 해결 모드를 켜려는 디바이스의 디바이스 페이지/컴퓨터 페이지로 이동합니다. 문제 해결 모드 켜기를 선택합니다. 엔드포인트용 Microsoft Defender 대한 "Security Center에서 보안 설정 관리" 권한이 있어야 합니다.

   

   참고

   문제 해결 모드 설정 옵션은 디바이스가 문제 해결 모드의 필수 구성 요소를 충족하지 않는 경우에도 모든 디바이스에서 사용할 수 있습니다.

3. 디바이스에 대한 문제 해결 모드를 켜고 싶은지 확인합니다.

   

4. 디바이스 페이지에는 디바이스가 현재 문제 해결 모드로 표시되어 있습니다.

   

고급 헌팅 쿼리

다음은 사용자 환경에서 발생하는 문제 해결 이벤트에 대한 가시성을 제공하기 위해 미리 빌드된 고급 헌팅 쿼리입니다. 이러한 쿼리를 사용하여 디바이스가 문제 해결 모드에 있을 때 경고를 생성하는 검색 규칙을 만들 수도 있습니다.

특정 디바이스에 대한 문제 해결 이벤트 가져오기

각 줄을 주석으로 처리하여 deviceId 또는 deviceName으로 검색합니다.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

현재 문제 해결 모드에 있는 디바이스

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

디바이스별 문제 해결 모드 인스턴스 수

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

총 개수

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

관련 문서

• macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드
• Microsoft Defender 바이러스 백신에 대한 성능 분석기입니다.
• 문제 해결 모드 시나리오
• 무단 보호를 사용하여 보안 설정 보호

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.