Linux에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 문서에서는 주문형 검사에 적용되는 제외 및 실시간 보호 및 모니터링을 정의하는 방법에 대한 정보를 제공합니다.
중요
이 문서에 설명된 제외는 EDR(엔드포인트 검색 및 응답)을 포함하여 Linux의 다른 엔드포인트용 Defender 기능에는 적용되지 않습니다. 이 문서에 설명된 방법을 사용하여 제외하는 파일은 여전히 EDR 경고 및 기타 검색을 트리거할 수 있습니다. EDR 제외의 경우 지원에 문의하세요.
Linux 검사의 엔드포인트용 Defender에서 특정 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다.
제외는 organization 고유하거나 사용자 지정된 파일 또는 소프트웨어에서 잘못된 검색을 방지하는 데 유용할 수 있습니다. 또한 Linux의 엔드포인트용 Defender로 인한 성능 문제를 완화하는 데 유용할 수 있습니다.
경고
제외를 정의하면 Linux의 엔드포인트용 Defender에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.
지원되는 제외 유형
다음 표에서는 Linux의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.
| 제외 | 정의 | 예제 |
|---|---|---|
| 파일 확장명 | 확장이 있는 모든 파일(디바이스의 모든 위치) | .test |
| File | 전체 경로로 식별되는 특정 파일 | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| 폴더 | 지정된 폴더 아래의 모든 파일(재귀) | /var/log//var/*/ |
| 프로세스 | 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일 | /bin/catcatc?t |
중요
위의 경로는 성공적으로 제외되려면 기호 링크가 아닌 하드 링크여야 합니다. 를 실행file <path-name>하여 경로가 기호 링크인지 검사 수 있습니다.
파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.
| 와일드 카드 | 설명 | 예제 |
|---|---|---|
| * | 없음을 포함한 모든 문자 수와 일치합니다(이 와일드카드가 경로의 끝에 사용되지 않으면 하나의 폴더만 대체됨). | /var/*/tmp 에는 및 /var/abc/tmp 해당 하위 디렉터리 및 /var/def/tmp 해당 하위 디렉터리의 파일이 포함됩니다. 또는 을 포함하지 /var/abc/log 않습니다. /var/def/log
|
| ? | 모든 단일 문자와 일치 | file?.log에는 및 file2.log가 포함되지 file1.log 만file123.log |
참고
경로 끝에 * 와일드카드를 사용하는 경우 와일드카드의 부모 아래에 있는 모든 파일 및 하위 디렉터리와 일치합니다.
제외 목록을 구성하는 방법
관리 콘솔
Puppet, Ansible 또는 다른 관리 콘솔 제외를 구성하는 방법에 대한 자세한 내용은 Linux의 엔드포인트용 Defender에 대한 기본 설정 설정을 참조하세요.
명령줄에서
다음 명령을 실행하여 제외를 관리하는 데 사용할 수 있는 스위치를 확인합니다.
mdatp exclusion
팁
와일드카드를 사용하여 제외를 구성할 때 매개 변수를 큰따옴표로 묶어 globbing을 방지합니다.
예제:
파일 확장 프로그램에 대한 제외를 추가합니다.
mdatp exclusion extension add --name .txtExtension exclusion configured successfully파일에 대한 제외를 추가합니다.
mdatp exclusion file add --path /var/log/dummy.logFile exclusion configured successfully폴더에 대한 제외를 추가합니다.
mdatp exclusion folder add --path /var/log/Folder exclusion configured successfully두 번째 폴더에 대한 제외를 추가합니다.
mdatp exclusion folder add --path /var/log/ mdatp exclusion folder add --path /other/folderFolder exclusion configured successfully와일드카드가 포함된 폴더에 대한 제외를 추가합니다.
mdatp exclusion folder add --path "/var/*/tmp"참고
/ var/*/tmp/아래의 경로만 제외되지만 tmp의 형제인 폴더는 제외되지 않습니다. 예를 들어 /var/this-subfolder/tmp이지만 /var/this-subfolder/log는 아닙니다.
mdatp exclusion folder add --path "/var/"또는
mdatp exclusion folder add --path "/var/*/"참고
그러면 부모가 /var/; 인 모든 경로가 제외됩니다. 예: /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully프로세스에 대한 제외를 추가합니다.
mdatp exclusion process add --name catProcess exclusion configured successfully두 번째 프로세스에 대한 제외를 추가합니다.
mdatp exclusion process add --name cat mdatp exclusion process add --name dogProcess exclusion configured successfully
EICAR 테스트 파일을 사용하여 제외 목록 유효성 검사
를 사용하여 curl 테스트 파일을 다운로드하여 제외 목록이 작동하는지 확인할 수 있습니다.
다음 Bash 코드 조각에서 를 제외 규칙을 준수하는 파일로 바꿉 test.txt 니다. 예를 들어 확장을 제외한 경우 를 .testing 로 test.testing바꿉니다test.txt. 경로를 테스트하는 경우 해당 경로 내에서 명령을 실행해야 합니다.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Linux의 엔드포인트용 Defender가 맬웨어를 보고하는 경우 규칙이 작동하지 않습니다. 맬웨어에 대한 보고가 없고 다운로드한 파일이 있는 경우 제외가 작동합니다. 파일을 열어 내용이 EICAR 테스트 파일 웹 사이트에 설명된 내용과 동일한지 확인할 수 있습니다.
인터넷에 액세스할 수 없는 경우 고유한 EICAR 테스트 파일을 만들 수 있습니다. 다음 Bash 명령을 사용하여 새 텍스트 파일에 EICAR 문자열을 씁니다.
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
빈 텍스트 파일에 문자열을 복사하여 파일 이름 또는 제외하려는 폴더에 저장하려고 시도할 수도 있습니다.
위협 허용
특정 콘텐츠가 검사되지 않도록 제외하는 것 외에도 일부 위협 클래스(위협 이름으로 식별됨)를 검색하지 않도록 제품을 구성할 수도 있습니다. 이 기능을 사용할 때는 디바이스가 보호되지 않도록 할 수 있으므로 주의해야 합니다.
허용된 목록에 위협 이름을 추가하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name [threat-name]
디바이스에서 검색과 연결된 위협 이름은 다음 명령을 사용하여 가져올 수 있습니다.
mdatp threat list
예를 들어 허용된 목록에 (EICAR 검색과 연결된 위협 이름)을 추가 EICAR-Test-File (not a virus) 하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기