macOS에서 엔드포인트용 Microsoft Defender에 대한 제외 구성 및 유효성 검사
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 문서에서는 주문형 검사에 적용되는 제외 및 실시간 보호 및 모니터링을 정의하는 방법에 대한 정보를 제공합니다.
중요
이 문서에 설명된 제외는 EDR(엔드포인트 검색 및 응답)을 포함하여 Mac용 엔드포인트용 다른 Defender 기능에는 적용되지 않습니다. 이 문서에 설명된 방법을 사용하여 제외하는 파일은 여전히 EDR 경고 및 기타 검색을 트리거할 수 있습니다.
Mac의 엔드포인트용 Defender 검사에서 특정 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다.
제외는 조직에 고유하거나 사용자 지정된 파일 또는 소프트웨어에서 잘못된 검색을 방지하는 데 유용할 수 있습니다. 또한 Mac의 엔드포인트용 Defender로 인한 성능 문제를 완화하는 데 유용할 수 있습니다.
제외해야 하는 프로세스 및/또는 경로 및/또는 확장의 범위를 좁히려면 실시간 보호-통계를 사용합니다.
경고
제외를 정의하면 Mac의 엔드포인트용 Defender에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.
지원되는 제외 유형
다음 표에서는 Mac의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.
제외 | 정의 | 예제 |
---|---|---|
파일 확장명 | 확장이 있는 모든 파일(컴퓨터의 모든 위치) | .test |
File | 전체 경로로 식별되는 특정 파일 | /var/log/test.log |
폴더 | 지정된 폴더 아래의 모든 파일(재귀) | /var/log/ |
프로세스 | 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일 | /bin/cat |
파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.
와일드 카드 | 설명 | 예제 |
---|---|---|
* | 없음을 포함한 모든 문자 수와 일치합니다(이 와일드카드가 경로의 끝에 사용되지 않는 경우 폴더 하나만 대체함). | /var/*/tmp 에는 및 /var/abc/tmp 해당 하위 디렉터리 및 /var/def/tmp 해당 하위 디렉터리의 파일이 포함됩니다. 또는 을 포함하지 /var/abc/log 않습니다. /var/def/log
|
? | 모든 단일 문자와 일치 | file?.log 에는 및 file2.log 가 포함되지 file1.log 만file123.log |
참고
경로 끝에 * 와일드카드를 사용하는 경우 와일드카드의 부모 아래에 있는 모든 파일 및 하위 디렉터리와 일치합니다.
제품은 제외를 평가할 때 펌링크를 해결하려고 시도합니다. 제외에 와일드카드가 포함되거나 대상 파일(볼륨)이 없는 경우 Firmlink 확인이 Data
작동하지 않습니다.
macOS의 엔드포인트용 Microsoft Defender에 대한 맬웨어 방지 제외를 추가하는 모범 사례입니다.
SecOps 및/또는 보안 관리자만 액세스할 수 있는 중앙 위치에 제외가 추가된 이유를 적어 씁니다. 예를 들어 제출자, 날짜, 앱 이름, 이유 및 제외 정보를 나열합니다.
제외에 대한 만료 날짜*가 있는지 확인합니다.
*ISV가 가양성 또는 더 높은 cpu 사용률이 발생하지 않도록 할 수 있는 다른 조정이 없다고 명시한 앱을 제외하고.
macOS의 엔드포인트용 Microsoft Defender에 더 이상 적용할 수 없거나 적용되지 않을 수 있으므로 비 Microsoft 맬웨어 방지 제외를 마이그레이션하지 마세요.
맨 위(더 안전한)에서 아래쪽(최소 보안)으로 고려할 제외 순서:
표시기 - 인증서 - 허용
- EV(확장 유효성 검사) 코드 서명을 추가합니다.
표시기 - 파일 해시 - 허용
- 예를 들어 프로세스 또는 디먼이 자주 변경되지 않는 경우 앱에는 월별 보안 업데이트가 없습니다.
경로 & 프로세스
프로세스
경로
Extension
제외 목록을 구성하는 방법
엔드포인트용 Microsoft Defender 보안 설정 관리 콘솔 사용
Microsoft Defender 포털에 로그인합니다.
구성 관리>엔드포인트 보안 정책>새 정책 만들기로 이동합니다.
- 플랫폼 선택: macOS
- 템플릿 선택: Microsoft Defender 바이러스 백신 제외
정책 만들기를 선택합니다.
이름 및 설명을 입력하고 다음을 선택합니다.
바이러스 백신 엔진을 확장한 다음, 추가를 선택합니다.
경로 또는 파일 확장명 또는 파일 이름을 선택합니다.
인스턴스 구성을 선택하고 필요에 따라 제외를 추가합니다. 그런 후 다음을 선택합니다.
그룹에 제외를 할당하고 다음을 선택합니다.
저장을 선택합니다.
관리 콘솔에서
JAMF, Intune 또는 다른 관리 콘솔에서 제외를 구성하는 방법에 대한 자세한 내용은 Mac의 엔드포인트용 Defender에 대한 기본 설정 설정을 참조하세요.
사용자 인터페이스에서
EICAR 테스트 파일을 사용하여 제외 목록 유효성 검사
를 사용하여 curl
테스트 파일을 다운로드하여 제외 목록이 작동하는지 확인할 수 있습니다.
다음 Bash 코드 조각에서 를 제외 규칙을 준수하는 파일로 바꿉 test.txt
니다. 예를 들어 확장을 제외한 경우 를 .testing
로 test.testing
바꿉니다test.txt
. 경로를 테스트하는 경우 해당 경로 내에서 명령을 실행해야 합니다.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Mac의 엔드포인트용 Defender가 맬웨어를 보고하는 경우 규칙이 작동하지 않습니다. 맬웨어에 대한 보고가 없고 다운로드한 파일이 있는 경우 제외가 작동합니다. 파일을 열어 내용이 EICAR 테스트 파일 웹 사이트에 설명된 내용과 동일한지 확인할 수 있습니다.
인터넷에 액세스할 수 없는 경우 고유한 EICAR 테스트 파일을 만들 수 있습니다. 다음 Bash 명령을 사용하여 새 텍스트 파일에 EICAR 문자열을 씁니다.
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
빈 텍스트 파일에 문자열을 복사하여 파일 이름 또는 제외하려는 폴더에 저장하려고 시도할 수도 있습니다.
위협 허용
특정 콘텐츠가 검사되지 않도록 제외하는 것 외에도 일부 위협 클래스(위협 이름으로 식별됨)를 검색하지 않도록 제품을 구성할 수도 있습니다. 이 기능을 사용할 때는 디바이스가 보호되지 않도록 할 수 있으므로 주의해야 합니다.
허용된 목록에 위협 이름을 추가하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name [threat-name]
디바이스에서 검색과 연결된 위협 이름은 다음 명령을 사용하여 가져올 수 있습니다.
mdatp threat list
예를 들어 허용된 목록에 (EICAR 검색과 연결된 위협 이름)을 추가 EICAR-Test-File (not a virus)
하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.