엔드포인트용 Microsoft Defender(Linux용)

팁

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판에 등록합니다.

Linux 엔드포인트용 Microsoft Defender 조직에서 Linux 서버의 고급 위협을 방지, 탐지, 조사 및 대응하는 데 도움이 됩니다. 다음 표에서는 Linux 엔드포인트용 Defender의 기능에 대해 설명합니다.

범주	설명
자세 관리	Linux 엔드포인트용 Defender는 모니터링 및 위험 기반 취약성 관리를 지능형 우선 순위 지정, 수정 및 추적과 결합합니다. 이러한 기능을 사용하면 Linux 서버를 관리하고 보호할 수 있습니다. 보안 팀은 organization 노출 점수, 보안 권장 사항, 수정 활동, 소프트웨어 인벤토리 등을 포괄적으로 볼 수 있습니다.
위협 방지	Linux 엔드포인트용 Defender에는 로컬 및 클라우드 기반 기계 학습 모델, 동작 분석 및 추론을 사용하는 차세대 바이러스 백신 보호가 포함됩니다. 클라우드 보호는 새로운/새로운 위협을 거의 즉시 감지하고 차단합니다. 정기적인 보안 인텔리전스 및 제품 업데이트를 통해 지속적인 전용 보호를 받을 수 있습니다. 바이러스 백신, 클라우드 보호 및 검사 옵션을 포함한 보안 설정을 구성할 수 있습니다. 바이러스 백신 검사를 예약하고 잠재적으로 원치 않는 애플리케이션을 검색하고 차단할 수 있습니다. 네트워크 보호 및 웹 보호(현재 미리 보기 상태)는 악의적이거나 원치 않는 사이트에 대한 연결을 제어하여 웹 기반 위협으로부터 Linux 디바이스를 보호하는 데 도움이 됩니다. 또한 사용자 지정 IP 기반 및 URL 기반 손상 지표에 대한 정책을 조사하고 정의할 수도 있습니다(현재 Linux 미리 보기 상태임).
엔드포인트 감지 및 응답	Linux 엔드포인트용 Defender는 AI 및 고급 분석을 사용하여 실시간으로 가까운 위협을 감지하고 대응합니다. 의 Microsoft Defender 포털 https://security.microsoft.com 은 Microsoft Defender 제품군 및 organization 디바이스에서 검색을 볼 수 있는 중앙 위치를 제공합니다. 고급 헌팅을 사용하여 원시 데이터를 보고 네트워크 이벤트에 대한 더 많은 인사이트를 얻을 수 있습니다. Linux 대한 응답 작업에는 바이러스 백신 검사 실행, 디바이스 격리, 조사 패키지 수집 및 심층 분석을 위한 파일 수집이 포함됩니다. 원격 셸 연결에 대한 라이브 응답을 사용하여 심층 조사를 수행할 수도 있습니다. 자동화된 조사 및 응답, 블록 모드의 EDR, 파일 및 프로세스 차단/중지/격리는 Linux 사용할 수 없습니다. 전체 비교는 플랫폼별 지원되는 기능을 참조하세요.
간소화된 관리 및 운영	Linux 엔드포인트용 Defender는 다양한 Linux 배포에서 광범위한 범위를 제공하는 동시에 보안 팀의 작업을 보다 쉽게 수행할 수 있습니다. Microsoft Defender 포털을 사용하면 보안 설정을 관리하고 업데이트 주기를 미리 계획할 수 있습니다. 오프라인 및 다중 클라우드 옵션을 사용하여 Linux 서버를 지원할 수 있습니다. 엔드포인트용 Defender는 디바이스 관리, 취약성 관리 및 위협 인텔리전스에 프로그래밍 방식으로 액세스하기 위한 포괄적인 관리 API 집합을 제공합니다. 사용 가능한 API의 전체 목록은 지원되는 API를 참조하세요.
엔터프라이즈급 규모, 성능 및 안정성	Linux 엔드포인트용 Microsoft Defender 커널 모듈 없이 작동하고 운영 안정성을 위해 eBPF를 통합하는 풍부한 센서 프레임워크를 통해 안정적이고 내구성 있는 성능을 보장합니다. 엔드포인트용 Defender는 더 큰 Microsoft Defender 제품군과 원활하게 통합되어 API 통합, SIEM 커넥터, Power BI 지원, RBAC(역할 기반 액세스 제어) 및 MSPP 지원을 통해 확장성을 제공합니다.

팁

• AMD64 디바이스의 Linux 엔드포인트용 Defender에서 지원되는 모든 기능은 ARM64 기반 서버의 다음 Linux 배포에서도 지원됩니다.
  • 우분투
  • Rhel
  • 데비안
  • SUSE Linux
  • Amazon Linux
  • Oracle Linux
• 모든 엔드포인트용 Defender 플랫폼(Windows, macOS 및 Linux)에서 지원되는 기능에 대한 자세한 비교는 플랫폼별 지원되는 엔드포인트용 Microsoft Defender 기능을 참조하세요.

서버 라이선스

엔드포인트용 Defender에 서버를 온보딩하려면 서버 라이선스가 필요합니다. 다음 옵션 중에서 선택할 수 있습니다.

• 서버 계획 1 또는 계획 2에 대한 Microsoft Defender
• 서버에 대한 엔드포인트용 Microsoft Defender
• 비즈니스용 Microsoft Defender 서버(중소기업에만 해당)

엔드포인트용 Microsoft Defender 대한 라이선스 요구 사항에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 라이선스 정보를 참조하세요.

자세한 라이선스 정보는 제품 약관: 엔드포인트용 Microsoft Defender 및 계정 팀과 협력하여 사용 약관에 대한 자세한 내용을 참조하세요.

Linux 엔드포인트용 Defender에 대한 정책 배포 및 구성

Linux 엔드포인트용 Microsoft Defender 배포하는 데 사용할 수 있는 몇 가지 방법과 도구가 있습니다. Linux 엔드포인트용 Defender의 필수 조건을 충족해야 합니다.

참고

배포 도구 기반 배포를 사용하는 것이 좋습니다. 배포 도구 기반 배포는 온보딩 프로세스를 간소화하고, 수동 작업을 줄이며, 새 설치, 업그레이드 및 제거를 지원합니다.

• 배포 도구 기반 배포(권장)
• 설치 관리자 스크립트 기반 배포
• Ansible 기반 배포
• Chef 기반 배포
• Puppet 기반 배포
• SaltStack 기반 배포
• 골든 이미지 기반 배포
• 사용자 지정 위치에 배포
• 수동 배포
• 클라우드용 Defender를 사용하여 직접 온보딩
• SAP를 사용하는 Linux Server의 엔드포인트용 Defender 배포 지침

중요

Linux 엔드포인트용 Microsoft Defender 임의의 UID 및 GID 값을 가진 mdatp 사용자를 만듭니다. 이러한 값을 제어하려면 /usr/sbin/nologin 셸 옵션을 사용하여 설치하기 전에 mdatp 사용자를 만듭니다. 예를 들면 mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin다음과 같습니다.

설치 문제가 발생하면 참조 섹션에서 자체 문제 해결 리소스를 사용할 수 있습니다.

Linux 엔드포인트용 Defender에 대한 정책 구성

Linux 엔드포인트용 Defender를 구성하려면 다음 옵션 중에서 선택합니다.

• 엔드포인트용 Defender 보안 설정 관리에 등록하고 Microsoft Defender 포털을 사용하여 정책을 구성하고 관리합니다.
• JSON 파일을 사용하는 구성 프로필을 설정합니다.

자세한 내용은 Linux 엔드포인트용 Defender에 대한 보안 설정 및 정책 구성을 참조하세요.

소프트웨어 업데이트

Microsoft는 성능을 개선하고 보안을 개선하며 새로운 기능을 제공하기 위해 Linux 엔드포인트용 Defender용 소프트웨어 업데이트를 게시합니다. 소프트웨어 업데이트는 테스트 및 확인에 따라 매월 릴리스됩니다. 경우에 따라 릴리스 사이에 30일 이상 걸릴 수 있습니다. 자세한 내용은 Linux 엔드포인트용 Defender의 새로운 기능 을 참조하세요.

Linux 엔드포인트용 Defender의 각 버전은 9개월 후에 자동으로 만료되도록 설정됩니다. 사용 가능한 향상된 기능 및 수정 사항을 얻을 수 있도록 현재 버전을 사용하는 것이 좋습니다. 자세한 내용은 Linux 엔드포인트용 Microsoft Defender 대한 업데이트를 배포하는 방법을 참조하세요.

디바이스 상태 보고

Device Health 보고서는 Linux 서버의 바이러스 백신 상태 대한 정보를 제공합니다. 예시:

• 바이러스 백신 모드.
• 결과를 검사합니다.
• 플랫폼 버전.
• 바이러스 백신 엔진 버전입니다.
• 보안 인텔리전스 버전.

포털 또는 API를 통해 이 정보에 액세스할 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

• 엔드포인트용 Microsoft Defender 디바이스 상태 보고
• 디바이스 바이러스 백신 상태 세부 정보 API 메서드 및 속성 내보내기

응답 작업 및 라이브 응답

보안 운영 팀은 디바이스에 원격으로 연결하고 다양한 응답 작업을 실행할 수 있습니다. 예시:

• 바이러스 백신 검사를 실시합니다.
• 디바이스를 격리합니다.
• 조사 패키지를 수집합니다.

팀은 원격 셸 연결에 대한 라이브 응답을 사용하여 심층 조사 작업을 수행할 수도 있습니다. 자세한 내용은 다음 문서를 참조하세요.

• 장치에 대해 대응 조치 실행
• 라이브 응답을 사용하여 디바이스에서 엔터티 조사

개인 정보 보호

Microsoft는 Linux 엔드포인트용 Defender에서 데이터를 수집하고 사용하는 방법을 선택하는 데 필요한 정보 및 컨트롤을 제공하기 위해 최선을 다하고 있습니다.

자세한 내용은 Linux 엔드포인트용 Microsoft Defender 개인 정보를 참조하세요.

엔드포인트용 Defender가 영향을 주는 일반적인 애플리케이션

엔드포인트용 Defender가 설치될 때 특정 애플리케이션의 높은 I/O 워크로드에 성능 문제가 발생할 수 있습니다. 개발자 시나리오에 대한 이러한 애플리케이션에는 Jenkins 및 Jira, OracleDB 및 Postgres와 같은 데이터베이스 워크로드가 포함됩니다.

성능 저하가 표시되면 신뢰할 수 있는 애플리케이션에 대한 제외를 설정하는 것이 좋습니다. 자세한 내용은 다음 문서를 참조하세요.

• Linux 엔드포인트용 Defender에 대한 제외 구성 및 유효성 검사
• Microsoft Defender 바이러스 백신에 대한 일반적인 제외 실수 검토

비 Microsoft 애플리케이션을 사용하는 경우 바이러스 백신 제외에 대한 설명서도 참조하세요.

다음 단계

• Linux 엔드포인트용 Defender의 필수 구성 요소를 검토합니다.
• Linux 엔드포인트용 Defender 배포
• Linux 엔드포인트용 Defender 구성
• Linux 엔드포인트용 Defender에 대한 업데이트 배포

참고 항목

• 엔드포인트용 Microsoft Defender 보안 설정 관리를 사용하여 Microsoft Defender 바이러스 백신 관리
• Linux 리소스
• Linux 엔드포인트용 Microsoft Defender 대한 클라우드 연결 문제 해결
• 에이전트 상태 문제 조사
• Linux 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결
• Linux 엔드포인트용 Microsoft Defender 성능 문제 해결