엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외 관리

  • 아티클

적용 대상:

플랫폼

  • Windows

참고

Microsoft MVP인 Fabian Bader 는 이 문서에 기여하고 자료 피드백을 제공했습니다.

엔드포인트용 Microsoft Defender 고급 사이버 위협을 방지, 탐지, 조사 및 대응하는 다양한 기능을 포함합니다. 이러한 기능에는 차세대 보호(Microsoft Defender 바이러스 백신 포함)가 포함됩니다. 엔드포인트 보호 또는 바이러스 백신 솔루션과 마찬가지로 실제로 위협이 아닌 파일, 폴더 또는 프로세스는 엔드포인트용 Defender 또는 Microsoft Defender 바이러스 백신에서 악의적인 것으로 검색될 수 있습니다. 이러한 엔터티는 실제로 위협이 아니더라도 차단되거나 격리로 전송될 수 있습니다.

가양성 및 유사한 문제가 발생하지 않도록 특정 조치를 취할 수 있습니다. 이러한 작업은 다음과 같습니다.

이 문서에서는 이러한 작업이 작동하는 방식을 설명하고 엔드포인트용 Defender 및 Microsoft Defender 바이러스 백신에 대해 정의할 수 있는 다양한 유형의 제외에 대해 설명합니다.

주의

제외를 정의하면 엔드포인트용 Defender 및 Microsoft Defender 바이러스 백신에서 제공하는 보호 수준이 줄어듭니다. 제외를 최후의 수단으로 사용하고 필요한 제외만 정의해야 합니다. 제외 사항을 주기적으로 검토하고 더 이상 필요하지 않은 제외 항목을 제거해야 합니다. 제외 및 일반적인 실수에 대한 중요 사항을 참조하세요.

제출, 표시 안 함 및 제외

가양성 또는 경고를 생성하는 알려진 엔터티를 처리하는 경우 반드시 제외를 추가할 필요는 없습니다. 경우에 따라 경고를 분류하고 표시하지 않는 것으로 충분합니다. 분석을 위해 가양성(및 거짓 부정)을 Microsoft에 제출하는 것이 좋습니다. 다음 표에서는 일부 시나리오와 파일 제출, 경고 표시 안 함 및 제외와 관련하여 수행할 단계를 설명합니다.

시나리오 고려해야 할 단계
가양성: 엔터티가 위협이 아니더라도 파일 또는 프로세스와 같은 엔터티가 검색되어 악의적인 것으로 식별되었습니다. 1. 검색된 엔터티의 결과로 생성된 경고를 검토하고 분류 합니다.
2. 알려진 엔터티 에 대한 경고를 표시하지 않습니다.
3. 검색된 엔터티에 대해 수행된 수정 작업을 검토 합니다.
4. 분석을 위해 가양성 을 Microsoft에 제출 합니다.
5. 엔터티 에 대한 제외를 정의 합니다(필요한 경우에만).
다음 문제 중 하나와 같은 성능 문제:
- 시스템에서 높은 CPU 사용량 또는 기타 성능 문제가 있습니다.
- 시스템에 메모리 누수 문제가 있습니다.
- 앱이 디바이스에서 로드 속도가 느립니다.
- 앱이 디바이스에서 파일을 여는 속도가 느립니다.		 1. Microsoft Defender 바이러스 백신에 대한 진단 데이터를 수집합니다.
2. 비 Microsoft 바이러스 백신 솔루션을 사용하는 경우 필요한 제외를 위해 공급업체와 검사.
3. Microsoft 보호 로그를 분석 하여 예상 성능 영향을 확인합니다.
4. Microsoft Defender 바이러스 백신에 대한 제외를 정의합니다(필요한 경우).
5. 엔드포인트용 Defender에 대한 표시기를 만듭니 다(필요한 경우에만).
타사 바이러스 백신 제품과의 호환성 문제
예: 엔드포인트용 Defender는 Microsoft Defender 바이러스 백신 또는 비 Microsoft 바이러스 백신 솔루션을 실행하는 디바이스에 대한 보안 인텔리전스 업데이트를 사용합니다.		 1. 비 Microsoft 바이러스 백신 제품을 기본 바이러스 백신/맬웨어 방지 솔루션으로 사용하는 경우 Microsoft Defender 바이러스 백신을 수동 모드로 설정합니다.
2. 비 Microsoft 바이러스 백신/맬웨어 방지 솔루션에서 엔드포인트용 Defender로 전환하는 경우 엔드포인트용 Defender로 전환을 참조하세요. 이 지침에는 다음이 포함됩니다.
- Microsoft가 아닌 바이러스 백신/맬웨어 방지 솔루션에 대해 정의해야 할 수 있는 제외
- Microsoft Defender 바이러스 백신에 대해 정의해야 할 수 있는 제외
- 문제 해결 정보 (마이그레이션하는 동안 문제가 발생하는 경우).

중요

"허용" 표시기는 엔드포인트용 Defender에서 정의할 수 있는 가장 강력한 유형의 제외입니다. 표시기를 드물게 사용하고(필요한 경우에만) 모든 제외를 주기적으로 검토해야 합니다.

분석을 위해 파일 제출

잘못 검색된 파일이 맬웨어(가양성) 또는 검색되지 않았더라도 맬웨어일 수 있다고 의심되는 파일(거짓 부정)이 있는 경우 분석을 위해 Microsoft에 파일을 제출할 수 있습니다. 제출은 즉시 검사되고 Microsoft 보안 분석가가 검토합니다. 제출 기록 페이지에서 제출의 상태 검사 수 있습니다.

분석을 위해 파일을 제출하면 모든 고객의 가양성 및 거짓 부정을 줄일 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

경고 표시 안 함

Microsoft Defender 포털에서 실제로 위협이 아니라고 알고 있는 도구 또는 프로세스에 대한 경고를 받는 경우 해당 경고를 표시하지 않을 수 있습니다. 경고를 표시하지 않하려면 표시 안 함 규칙을 만들고 동일한 다른 경고에 대해 수행할 작업을 지정합니다. 단일 디바이스의 특정 경고 또는 organization 타이틀이 동일한 모든 경고에 대해 표시 안 함 규칙을 만들 수 있습니다.

자세한 내용은 다음 문서를 참조하세요.

제외 및 표시기

경우에 따라 예외라는 용어는 엔드포인트용 Defender 및 Microsoft Defender 바이러스 백신에 적용되는 예외를 참조하는 데 사용됩니다. 이러한 예외를 보다 정확하게 설명하는 방법은 다음과 같습니다.

다음 표에는 엔드포인트용 Defender 및 Microsoft Defender 바이러스 백신에 대해 정의할 수 있는 제외 유형이 요약되어 있습니다.

제품/서비스 제외 유형
Microsoft Defender 바이러스 백신
엔드포인트용 Defender 플랜 1 또는 플랜 2		 - 자동 제외(Windows Server 2016 이상에서 활성 역할의 경우)
- 기본 제공 제외 (Windows의 운영 체제 파일용)
- 프로세스 기반 제외, 폴더 위치 기반 제외, 파일 확장자 제외 또는 컨텍스트 파일 및 폴더 제외와 같은 사용자 지정 제외
- 위협 심각도 또는 특정 위협에 기반한 사용자 지정 수정 작업

독립 실행형 버전의 엔드포인트용 Defender 플랜 1 및 플랜 2에는 서버 라이선스가 포함되지 않습니다. 서버를 온보딩하려면 서버용 엔드포인트용 Microsoft Defender 또는 서버 플랜 1 또는 2용 Microsoft Defender 같은 다른 라이선스가 필요합니다. 자세한 내용은 엔드포인트용 Defender 온보딩 Windows Server를 참조하세요.

비즈니스용 Microsoft Defender 사용하는 중소기업인 경우 비즈니스용 Microsoft Defender 서버얻을 수 있습니다.
엔드포인트용 Defender 플랜 1 또는 플랜 2 - 파일, 인증서 또는 IP 주소, URL/도메인에 대한 지표
- 공격 표면 감소 제외
- 제어된 폴더 액세스 제외
엔드포인트용 Microsoft Defender 플랜 2 Automation 폴더 제외 (자동화된 조사 및 수정용)

다음 섹션에서는 이러한 제외에 대해 자세히 설명합니다.

Microsoft Defender 바이러스 백신 제외

Microsoft Defender 바이러스 백신 제외는 바이러스 백신 검사 및/또는 실시간 보호에 적용될 수 있습니다. 이러한 제외는 다음과 같습니다.

자동 제외

자동 제외 ( 자동 서버 역할 제외라고도 함)에는 Windows Server의 서버 역할 및 기능에 대한 제외가 포함됩니다. 이러한 제외는 실시간 보호 에 의해 검사되지 않지만 빠른, 전체 또는 주문형 바이러스 백신 검사의 대상이 됩니다.

예를 들면 다음과 같습니다.

  • FRS(파일 복제 서비스)
  • Hyper-V
  • Sysvol
  • PowerShell 연결
  • DNS 서버
  • 인쇄 서버
  • 웹 서버
  • Windows Server Update Services
  • ... 을 선택합니다.

참고

서버 역할에 대한 자동 제외는 Windows Server 2012 R2에서 지원되지 않습니다. Active Directory Domain Services(AD DS) 서버 역할이 설치된 Windows Server 2012 R2를 실행하는 서버의 경우 도메인 컨트롤러에 대한 제외를 수동으로 지정해야 합니다. Active Directory 제외를 참조하세요.

자세한 내용은 자동 서버 역할 제외를 참조하세요.

기본 제공 제외

기본 제공 제외에는 모든 Windows 버전(Windows 10, Windows 11 및 Windows Server 포함)에서 Microsoft Defender 바이러스 백신에서 제외되는 특정 운영 체제 파일이 포함됩니다.

예를 들면 다음과 같습니다.

  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %allusersprofile%\NTUser.pol
  • 파일 Windows 업데이트
  • 파일 Windows 보안
  • 그리고 더 많은 것들이 있습니다.

위협 환경이 변경됨에 따라 Windows의 기본 제공 제외 목록은 최신 상태로 유지됩니다. 이러한 제외에 대한 자세한 내용은 Windows Server에서 바이러스 백신 제외 Microsoft Defender: 기본 제공 제외를 참조하세요.

사용자 지정 제외

사용자 지정 제외에는 지정한 파일 및 폴더가 포함됩니다. 예약된 검사, 주문형 검사 및 실시간 보호를 통해 파일, 폴더 및 프로세스에 대한 제외를 건너뜁니다. 프로세스에서 연 파일에 대한 제외는 실시간 보호 로 검사되지 않지만 빠른, 전체 또는 주문형 바이러스 백신 검사의 대상이 됩니다.

사용자 지정 수정 작업

Microsoft Defender 바이러스 백신이 검사를 실행하는 동안 잠재적 위협을 감지하면 검색된 위협을 수정하거나 제거하려고 시도합니다. 사용자 지정 수정 작업을 정의하여 Microsoft Defender 바이러스 백신이 특정 위협을 해결하는 방법, 복원 지점을 수정하기 전에 만들어야 하는지 여부 및 위협을 제거해야 하는 시기를 구성할 수 있습니다. Microsoft Defender 바이러스 백신 검색에 대한 수정 작업을 구성합니다.

엔드포인트용 Defender 표시기

파일, IP 주소, URL/도메인 및 인증서와 같은 엔터티에 대한 특정 작업으로 지표 를 정의할 수 있습니다. 엔드포인트용 Defender에서 지표를 IoC(손상 지표)라고 하며 사용자 지정 지표로 자주 언급되지 않습니다. 표시기를 정의할 때 다음 작업 중 하나를 지정할 수 있습니다.

  • 허용 – 엔드포인트용 Defender는 허용 표시기가 있는 파일, IP 주소, URL/도메인 또는 인증서를 차단하지 않습니다. (주의해서 이 작업을 사용하세요.)

  • 감사 – 감사 표시기가 있는 파일, IP 주소 및 URL/도메인이 모니터링되며 사용자가 액세스하면 Microsoft Defender 포털에서 정보 경고가 생성됩니다.

  • 차단 및 수정 – 차단 및 수정 표시기가 있는 파일 또는 인증서가 검색되면 차단되고 격리됩니다.

  • 실행 차단 – 실행 차단 표시기가 있는 IP 주소 및 URL/도메인이 차단됩니다. 사용자는 해당 위치에 액세스할 수 없습니다.

  • 경고 – 경고 표시기가 있는 IP 주소 및 URL/도메인은 사용자가 해당 위치에 액세스하려고 할 때 경고 메시지가 표시됩니다. 사용자는 경고를 무시하고 IP 주소 또는 URL/도메인으로 진행하도록 선택할 수 있습니다.

중요

테넌트에서 최대 15,000개의 지표를 가질 수 있습니다.

다음 표에는 IoC 유형 및 사용 가능한 작업이 요약되어 있습니다.

표시기 유형 사용 가능한 작업
파일 -허용
-감사
-경고
- 실행 차단
- 차단 및 수정
IP 주소 및 URL/도메인 -허용
-감사
-경고
- 실행 차단
인증서 -허용
- 차단 및 수정

지표에 대한 자세한 내용은 다음 리소스를 참조하세요.

공격 표면 감소 제외

공격 표면 감소 규칙 (ASR 규칙이라고도 함)은 다음과 같은 특정 소프트웨어 동작을 대상으로 합니다.

  • 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트 시작
  • 난독화되거나 의심스러운 것처럼 보이는 스크립트 실행
  • 일반적인 일상적인 작업 중에 앱이 일반적으로 시작되지 않는 동작 수행

경우에 따라 합법적인 애플리케이션은 공격 표면 감소 규칙에 의해 차단될 수 있는 소프트웨어 동작을 나타냅니다. organization 발생하는 경우 특정 파일 및 폴더에 대한 제외를 정의할 수 있습니다. 이러한 제외는 모든 공격 표면 감소 규칙에 적용됩니다. 공격 표면 감소 규칙 사용을 참조하세요.

또한 대부분의 ASR 규칙 제외는 Microsoft Defender 바이러스 백신 제외와 독립적이지만 일부 ASR 규칙은 일부 Microsoft Defender 바이러스 백신 제외를 준수합니다. 공격 표면 감소 규칙 참조 - 바이러스 백신 제외 및 ASR 규칙 Microsoft Defender 참조하세요.

제어된 폴더 액세스 제외

제어된 폴더 액세스 는 악성으로 검색되고 Windows 디바이스에서 특정(보호된) 폴더의 콘텐츠를 보호하는 활동에 대한 앱을 모니터링합니다. 제어된 폴더 액세스를 사용하면 신뢰할 수 있는 앱만 일반적인 시스템 폴더(부팅 섹터 포함) 및 지정한 다른 폴더와 같은 보호된 폴더에 액세스할 수 있습니다. 제외를 정의하여 특정 앱 또는 서명된 실행 파일이 보호된 폴더에 액세스하도록 허용할 수 있습니다. 제어된 폴더 액세스 사용자 지정을 참조하세요.

Automation 폴더 제외

자동화 폴더 제외는 경고를 검사하고 검색된 위반을 resolve 즉각적인 조치를 취하도록 설계된 엔드포인트용 Defender의 자동화된 조사 및 수정에 적용됩니다. 경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거에 대한 평결(악의적인, 의심스러운 또는 위협 없음)에 도달합니다. 자동화 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 발생할 수 있습니다.

폴더, 특정 디렉터리의 파일 확장명 및 자동 조사 및 수정 기능에서 제외할 파일 이름을 지정할 수 있습니다. 이러한 자동화 폴더 제외는 엔드포인트용 Defender에 온보딩된 모든 디바이스에 적용됩니다. 이러한 제외는 여전히 바이러스 백신 검사의 적용을 받습니다. Automation 폴더 제외 관리를 참조하세요.

제외 및 지표 평가 방법

대부분의 조직에는 사용자가 파일 또는 프로세스에 액세스하고 사용할 수 있어야 하는지 여부를 결정하는 여러 가지 유형의 제외 및 지표가 있습니다. 제외 및 지표는 정책 충돌이 체계적으로 처리되도록 특정 순서로 처리됩니다.

다음 이미지는 엔드포인트용 Defender 및 Microsoft Defender 바이러스 백신에서 제외 및 표시기를 처리하는 방법을 요약합니다.

제외 및 표시기가 평가되는 순서를 보여 주는 스크린샷

작동 방식은 다음과 같습니다.

  1. 검색된 파일/프로세스가 Windows Defender Application Control 및 AppLocker에서 허용되지 않으면 차단됩니다. 그렇지 않으면 Microsoft Defender 바이러스 백신으로 진행됩니다.

  2. 검색된 파일/프로세스가 Microsoft Defender 바이러스 백신에 대한 제외의 일부가 아닌 경우 차단됩니다. 그렇지 않으면 엔드포인트용 Defender에서 파일/프로세스에 대한 사용자 지정 표시기를 확인합니다.

  3. 검색된 파일/프로세스에 차단 또는 경고 표시기가 있는 경우 해당 작업이 수행됩니다. 그렇지 않으면 파일/프로세스가 허용되고 공격 표면 감소 규칙, 제어된 폴더 액세스 및 SmartScreen 보호에 의해 평가를 진행합니다.

  4. 검색된 파일/프로세스가 공격 표면 감소 규칙, 제어된 폴더 액세스 또는 SmartScreen 보호에 의해 차단되지 않으면 Microsoft Defender 바이러스 백신으로 진행됩니다.

  5. 검색된 파일/프로세스가 Microsoft Defender 바이러스 백신에서 허용되지 않는 경우 위협 ID에 따라 작업을 확인합니다.

정책 충돌 처리 방법

엔드포인트용 Defender 표시기가 충돌하는 경우 예상되는 내용은 다음과 같습니다.

  • 충돌하는 파일 표시기가 있는 경우 가장 안전한 해시를 사용하는 표시기가 적용됩니다. 예를 들어 SHA256은 MD5보다 우선하는 SHA-1보다 우선합니다.

  • 충돌하는 URL 표시기가 있는 경우 더 엄격한 표시기가 사용됩니다. Microsoft Defender SmartScreen의 경우 가장 긴 URL 경로를 사용하는 표시기가 적용됩니다. 예를 들어 는 www.dom.ain/admin/ 보다 우선합니다 www.dom.ain. (네트워크 보호 는 도메인 내의 하위 페이지가 아닌 도메인에 적용됩니다.)

  • 다른 동작이 있는 파일 또는 프로세스에 대한 유사한 지표가 있는 경우 특정 디바이스 그룹으로 범위가 지정된 표시기가 모든 디바이스를 대상으로 하는 지표보다 우선합니다.

자동화된 조사 및 수정이 지표에서 작동하는 방식

엔드포인트용 Defender의 자동화된 조사 및 수정 기능은 먼저 각 증명 정보에 대한 평결을 결정한 다음 엔드포인트용 Defender 지표에 따라 작업을 수행합니다. 따라서 파일/프로세스는 "양호"(위협이 발견되지 않음을 의미)의 평결을 얻을 수 있으며 해당 동작에 대한 지표가 있는 경우 여전히 차단될 수 있습니다. 마찬가지로 엔터티는 "불량"(악의적인 것으로 확인됨)의 판결을 받을 수 있으며 해당 동작에 대한 지표가 있는 경우에도 계속 허용될 수 있습니다.

다음 다이어그램에서는 자동화된 조사 및 수정이 지표에서 작동하는 방식을 보여 줍니다.

자동화된 조사 및 수정 및 지표를 보여 주는 스크린샷

기타 서버 워크로드 및 제외

organization Exchange Server, SharePoint Server 또는 SQL Server 같은 다른 서버 워크로드를 사용하는 경우 Windows Server에서 기본 제공 서버 역할(나중에 설치하는 소프트웨어의 필수 구성 요소일 수 있음)만 자동 제외 기능(기본 설치 위치를 사용하는 경우에만)에서 제외됩니다. 자동 제외를 사용하지 않도록 설정하는 경우 이러한 다른 워크로드 또는 모든 워크로드에 대한 바이러스 백신 제외를 정의해야 할 수 있습니다.

다음은 필요한 제외를 식별하고 구현하기 위한 기술 설명서의 몇 가지 예입니다.

사용 중인 항목에 따라 해당 서버 워크로드에 대한 설명서를 참조해야 할 수 있습니다.

성능 팁 다양한 요인으로 인해 Microsoft Defender 바이러스 백신은 다른 바이러스 백신 소프트웨어와 마찬가지로 엔드포인트 디바이스에서 성능 문제를 일으킬 수 있습니다. 경우에 따라 이러한 성능 문제를 완화하기 위해 Microsoft Defender 바이러스 백신의 성능을 조정해야 할 수 있습니다. Microsoft의 성능 분석기는 성능 문제를 일으킬 수 있는 파일, 파일 경로, 프로세스 및 파일 확장명을 결정하는 데 도움이 되는 PowerShell 명령줄 도구입니다. 몇 가지 예는 다음과 같습니다.

  • 검사 시간에 영향을 주는 상위 경로
  • 스캔 시간에 영향을 주는 상위 파일
  • 검사 시간에 영향을 주는 주요 프로세스
  • 스캔 시간에 영향을 주는 상위 파일 확장자
  • 다음과 같은 조합:
    • 확장 프로그램당 상위 파일 수
    • 확장당 상위 경로
    • 경로당 상위 프로세스
    • 파일당 상위 검사
    • 프로세스당 파일당 상위 검사

성능 분석기를 사용하여 수집된 정보를 사용하여 성능 문제를 더 잘 평가하고 수정 작업을 적용할 수 있습니다. Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.