Microsoft Defender 바이러스 백신의 동작 모니터링

  • 아티클

적용 대상:

동작 모니터링은 Microsoft Defender 바이러스 백신의 중요한 검색 및 보호 기능입니다.

프로세스 동작을 모니터링하여 애플리케이션, 서비스 및 파일의 동작에 따라 잠재적 위협을 감지하고 분석합니다. 동작 모니터링은 서명 기반 검색(알려진 맬웨어 패턴을 식별하는 것)에만 의존하는 대신 소프트웨어가 실시간으로 작동하는 방식을 관찰하는 데 중점을 둡니다. 수반되는 것은 다음과 같습니다.

  1. Real-Time 위협 탐지:

    • 시스템 내의 프로세스, 파일 시스템 활동 및 상호 작용을 지속적으로 관찰합니다.
    • Defender 바이러스 백신은 맬웨어 또는 기타 위협과 관련된 패턴을 식별할 수 있습니다. 예를 들어 기존 파일을 비정상적으로 변경하고, ASEP(자동 시작 레지스트리) 키를 수정하거나 만들고, 파일 시스템 또는 구조에 대한 기타 변경을 처리하는 프로세스를 찾습니다.

  2. 동적 접근 방식:

  • 정적 서명 기반 검색과 달리 동작 모니터링은 새롭고 진화하는 위협에 적응합니다.

  • Microsoft Defender 바이러스 백신은 미리 정의된 패턴을 사용하며 실행 중에 소프트웨어가 작동하는 방식을 관찰합니다. 미리 정의된 패턴에 맞지 않는 맬웨어의 경우 Microsoft Defender 바이러스 백신은 변칙 검색을 사용합니다.

  • 프로그램에서 의심스러운 동작(예: 중요한 시스템 파일 수정 시도)을 표시하는 경우 Microsoft Defender 바이러스 백신은 추가 피해를 방지하기 위한 조치를 취하고 이전 맬웨어 작업을 되돌리기 수 있습니다.

동작 모니터링은 알려진 서명에만 의존하지 않고 실시간 작업 및 동작에 집중하여 새로운 위협을 사전에 탐지하는 Defender 바이러스 백신의 기능을 향상시킵니다.

다음 기능은 동작 모니터링에 따라 달라집니다.

맬웨어 방지:

  • 표시기, 파일 해시, 허용/차단

네트워크 보호:

  • 표시기, IP 주소/URL, 허용/차단
  • 웹 콘텐츠 필터링, 허용/차단

참고

동작 모니터링은 변조 방지로 보호됩니다.

그림에서 제거하기 위해 동작 모니터링을 일시적으로 사용하지 않도록 설정하려면 먼저 문제 해결 모드를 사용하도록 설정하고 변조 방지를 사용하지 않도록 설정한 다음 동작 모니터링을 사용하지 않도록 설정하려고 합니다.

동작 모니터링 정책 변경

다음 표에서는 동작 모니터링을 구성하는 다양한 방법을 보여줍니다.

관리 도구 이름 링크
보안 설정 관리 동작 모니터링 허용 이 문서
Intune 동작 모니터링 허용 Intune 대한 Microsoft Defender 바이러스 백신에 대한 Windows 바이러스 백신 정책 설정
Csp AllowBehaviorMonitoring Defender 정책 CSP
테넌트 연결 Configuration Manager 동작 모니터링 켜기 테넌트 연결된 디바이스에 대한 Microsoft Defender 바이러스 백신의 Windows 바이러스 백신 정책 설정
그룹 정책 동작 모니터링 켜기 Windows 11 2023 업데이트에 대한 그룹 정책 설정 참조 스프레드시트 다운로드(23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference 클래스

비즈니스용 Microsoft Defender 사용하는 경우 비즈니스용 Microsoft Defender 차세대 보호 정책 검토 또는 편집을 참조하세요.

PowerShell을 사용하여 동작 모니터링 설정 수정

다음 명령을 사용하여 동작 모니터링 설정을 수정합니다.

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True 동작 모니터링을 사용하지 않도록 설정합니다.
  • False 은 동작 모니터링을 사용하도록 설정합니다.

자세한 내용은 Set-MpPreference를 참조하세요.

PowerShell에서 동작 모니터링 상태 쿼리

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

반환된 값이 true이면 동작 모니터링이 사용됩니다.

고급 헌팅을 사용하여 동작 모니터링 상태 쿼리

AH(고급 헌팅)를 사용하여 동작 모니터링의 상태 쿼리할 수 있습니다.

계획 2 또는 비즈니스용 Microsoft Defender 엔드포인트용 Microsoft Defender Microsoft Defender XDR 필요합니다.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

높은 CPU 사용량 문제 해결

동작 모니터링과 관련된 검색은 "동작"으로 시작합니다.

에서 MsMpEng.exe높은 CPU 사용량을 조사할 때 일시적으로 동작 모니터링을 사용하지 않도록 설정하여 문제가 계속되는지 확인할 수 있습니다.

Microsoft Defender 바이러스 백신에 성능 분석기를 사용하여 높은 cpu 사용률에 기여하는 \path\process, process 및/또는 파일 확장자를 찾을 수 있습니다. 그런 다음 이러한 항목을 컨텍스트 제외에 추가할 수 있습니다.

Microsoft Defender 바이러스 백신 성능 분석기에서 자세한 내용을 참조하세요.

동작 모니터링으로 인해 CPU 사용량이 많은 경우 다음 항목을 순서대로 되돌려 문제를 계속 해결합니다. 각 항목을 되돌려 문제가 있을 수 있는 위치를 식별한 후 동작 모니터링을 다시 사용하도록 설정합니다.

  1. 플랫폼 업데이트
  2. 엔진 업데이트
  3. 보안 인텔리전스 업데이트.

여전히 높은 CPU 사용 문제가 발생하는 경우 Microsoft 지원에 문의하고 클라이언트 분석기 데이터를 준비하세요.

동작 모니터링이 문제를 일으키지 않는 경우 Microsoft Defender 바이러스 백신에 대한 성능 분석기를 사용하여 로그 정보를 수집합니다. 및 a -a를 사용하여 두 개의 서로 다른 로그를 a -c 수집합니다. Microsoft 지원에 문의할 때 이 정보를 준비하세요.

자세한 내용은 Windows의 고급 문제 해결을 위한 데이터 수집을 참조하세요.