리소스
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
진단 정보 수집
문제를 재현할 수 있는 경우 먼저 로깅 수준을 높이고, 일정 시간 동안 시스템을 실행한 다음, 로깅 수준을 기본값으로 복원합니다.
로깅 수준 늘리기:
mdatp log level set --level debug
Log level configured successfully
문제를 재현하세요.
다음 명령을 실행하여 엔드포인트용 Defender의 로그를 백업합니다. 파일은 .zip 보관 파일 내에 저장됩니다.
sudo mdatp diagnostic create
이 명령은 작업이 성공한 후 백업에 대한 파일 경로도 출력합니다.
Diagnostic file created: <path to file>
로깅 수준 복원:
mdatp log level set --level info
Log level configured successfully
로그 설치 문제
설치 중에 오류가 발생하면 설치 관리자는 일반 오류만 보고합니다.
자세한 로그는 에 /var/log/microsoft/mdatp/install.log
저장됩니다.
설치 중에 문제가 발생하는 경우 원인을 진단할 수 있도록 이 파일을 보내주세요.
Linux에서 엔드포인트용 Defender 제거
Linux에서 엔드포인트용 Defender를 제거하는 방법에는 여러 가지가 있습니다. Puppet과 같은 구성 도구를 사용하는 경우 구성 도구에 대한 패키지 제거 지침을 따릅니다.
수동 제거
sudo yum remove mdatp
RHEL 및 variants(CentOS 및 Oracle Linux)의 경우sudo zypper remove mdatp
SLES 및 변형의 경우sudo apt-get purge mdatp
Ubuntu 및 Debian 시스템의 경우sudo dnf remove mdatp
용 마리너
명령줄에서 구성
제품 설정 제어 및 주문형 검사 트리거와 같은 중요한 작업은 명령줄에서 수행할 수 있습니다.
전역 옵션
기본적으로 명령줄 도구는 결과를 사람이 읽을 수 있는 형식으로 출력합니다. 또한 이 도구는 자동화 시나리오에 유용한 JSON으로 결과 출력을 지원합니다. 출력을 JSON으로 변경하려면 아래 명령 중 한 가지에 전달 --output json
합니다.
지원되는 명령
다음 표에는 가장 일반적인 시나리오 중 일부에 대한 명령이 나와 있습니다. 터미널에서 를 실행 mdatp help
하여 지원되는 명령의 전체 목록을 봅니다.
그룹 | 시나리오 | 명령 |
---|---|---|
구성 | 실시간 보호 켜기/끄기 | mdatp config real-time-protection --value [enabled\|disabled] |
구성 | 동작 모니터링 켜기/끄기 | mdatp config behavior-monitoring --value [enabled\|disabled] |
구성 | 클라우드 보호 켜기/끄기 | mdatp config cloud --value [enabled\|disabled] |
구성 | 제품 진단 켜기/끄기 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
구성 | 자동 샘플 제출 켜기/끄기 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
구성 | AV 수동 모드 켜기/끄기 | mdatp config passive-mode --value [enabled\|disabled] |
구성 | 파일 확장 프로그램에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion extension [add\|remove] --name [extension] |
구성 | 파일에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion file [add\|remove] --path [path-to-file] |
구성 | 디렉터리에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
구성 | 프로세스에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion process [add\|remove] --path [path-to-process] |
구성 | 모든 바이러스 백신 제외 나열 | mdatp exclusion list |
구성 | 허용된 목록에 위협 이름 추가 | mdatp threat allowed add --name [threat-name] |
구성 | 허용된 목록에서 위협 이름 제거 | mdatp threat allowed remove --name [threat-name] |
구성 | 허용되는 모든 위협 이름 나열 | mdatp threat allowed list |
구성 | PUA 보호 켜기 | mdatp threat policy set --type potentially_unwanted_application --action block |
구성 | PUA 보호 끄기 | mdatp threat policy set --type potentially_unwanted_application --action off |
구성 | PUA 보호에 대한 감사 모드 켜기 | mdatp threat policy set --type potentially_unwanted_application --action audit |
구성 | 주문형 검사에 대한 병렬 처리 수준 구성 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
구성 | 보안 인텔리전스 업데이트 후 검사 켜기/끄기 | mdatp config scan-after-definition-update --value [enabled/disabled] |
구성 | 보관 검색 켜기/끄기(주문형 검사만 해당) | mdatp config scan-archives --value [enabled/disabled] |
구성 | 파일 해시 계산 켜기/끄기 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
진단 | 로그 수준 변경 | mdatp log level set --level verbose [error|warning|info|verbose] |
진단 | 진단 로그 생성 | mdatp diagnostic create --path [directory] |
진단 | 보존된 제품 로그에 대한 크기 제한 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
상태 | 제품 상태 확인 | mdatp health |
보호 | 경로 검사 | mdatp scan custom --path [path] [--ignore-exclusions] |
보호 | 빠른 검사 수행 | mdatp scan quick |
보호 | 전체 검사 수행 | mdatp scan full |
보호 | 진행 중인 주문형 검사 취소 | mdatp scan cancel |
보호 | 보안 인텔리전스 업데이트 요청 | mdatp definitions update |
보호 기록 | 전체 보호 기록 인쇄 | mdatp threat list |
보호 기록 | 위협 세부 정보 가져오기 | mdatp threat get --id [threat-id] |
격리 관리 | 격리된 모든 파일 나열 | mdatp threat quarantine list |
격리 관리 | 격리에서 모든 파일 제거 | mdatp threat quarantine remove-all |
격리 관리 | 격리에 대한 위협으로 검색된 파일 추가 | mdatp threat quarantine add --id [threat-id] |
격리 관리 | 격리에서 위협으로 검색된 파일 제거 | mdatp threat quarantine remove --id [threat-id] |
격리 관리 | 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전에서 101.23092.0012보다 낮은 버전에서 사용할 수 있습니다. | mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
격리 관리 | 위협 ID를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
격리 관리 | 위협 원본 경로를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. | mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
엔드포인트 감지 및 응답 | 초기 미리 보기 설정 | mdatp edr early-preview [enabled\|disabled] |
엔드포인트 감지 및 응답 | group-id 설정 | mdatp edr group-ids --group-id [group-id] |
엔드포인트 감지 및 응답 | 태그 설정/제거, 지원되는 태그만 GROUP |
mdatp edr tag set --name GROUP --value [tag] |
엔드포인트 감지 및 응답 | 목록 제외(루트) | mdatp edr exclusion list [processes|paths|extensions|all] |
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기