엔드포인트용 Microsoft Defender 문제 해결 모드 시작

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Microsoft Defender 문제 해결 모드를 사용하면 관리자는 조직 정책에서 디바이스를 관리하는 경우에도 다양한 Microsoft Defender 바이러스 백신 기능을 해결할 수 있습니다. 예를 들어 변조 방지 를 사용하는 경우 특정 설정을 수정하거나 끌 수는 없지만 디바이스에서 문제 해결 모드를 사용하여 해당 설정을 일시적으로 편집할 수 있습니다.

문제 해결 모드는 기본적으로 사용하지 않도록 설정되며 제한된 시간 동안 디바이스(및/또는 디바이스 그룹)에 대해 설정해야 합니다. 문제 해결 모드는 엔터프라이즈 전용 기능이며 Microsoft Defender 포털 액세스가 필요합니다.

  • 문제 해결 모드 중에 Windows 디바이스에서 PowerShell 명령을 Set-MPPreference -DisableTamperProtection $true 사용할 수 있습니다.
  • 변조 방지 상태를 검사 Get-MpComputerStatus PowerShell cmdlet을 사용할 수 있습니다. 결과 목록에서 또는 RealTimeProtectionEnabledIsTamperProtected 찾습니다. 값이 true 이면 변조 방지를 사용할 수 있습니다. .

시작하기 전에 알아야 할 사항은 무엇인가요?

문제 해결 모드 중에 PowerShell 명령을 Set-MPPreference -DisableTamperProtection $true 사용하거나 클라이언트 운영 체제에서 Security Center 앱을 사용하여 디바이스에서 변조 방지를 일시적으로 사용하지 않도록 설정하고 필요한 구성을 변경할 수 있습니다.

  • 문제 해결 모드를 사용하여 수행할 변조 방지 설정을 사용하지 않도록 설정/변경합니다.

    • Microsoft Defender 바이러스 백신 기능 문제 해결 /애플리케이션 호환성(가양성 애플리케이션 블록)입니다.

  • 적절한 권한을 가진 로컬 관리자는 일반적으로 정책에 의해 잠겨 있는 개별 엔드포인트의 구성을 변경할 수 있습니다. 문제 해결 모드에서 디바이스를 사용하는 것은 Microsoft Defender 바이러스 백신 성능 및 호환성 시나리오를 진단할 때 유용할 수 있습니다.

    • 로컬 관리자는 바이러스 백신을 Microsoft Defender 끄거나 제거할 수 없습니다.

    • 로컬 관리자는 Microsoft Defender 바이러스 백신 제품군(예: 클라우드 보호, 변조 방지)의 다른 모든 보안 설정을 구성할 수 있습니다.

  • "보안 설정 관리" 권한이 있는 관리자는 문제 해결 모드를 켤 수 있습니다.

  • 엔드포인트용 Microsoft Defender 문제 해결 프로세스 전반에 걸쳐 로그 및 조사 데이터를 수집합니다.

    • 문제 해결 모드가 시작되기 전에 의 MpPreference 스냅샷 수행됩니다.

    • 문제 해결 모드가 만료되기 직전에 두 번째 스냅샷 수행됩니다.

    • 문제 해결 모드 중의 운영 로그도 수집됩니다.

    • 로그 및 스냅샷은 수집되며 관리자가 디바이스 페이지의 조사 패키지 수집 기능을 사용하여 수집할 수 있습니다. Microsoft는 관리자가 수집할 때까지 디바이스에서 이 데이터를 제거하지 않습니다.

  • 관리자는 디바이스 페이지의 이벤트 뷰어 문제 해결 모드 중에 발생하는 설정의 변경 내용을 검토할 수도 있습니다.

  • 문제 해결 모드는 만료 시간에 도달한 후 자동으로 꺼집니다(4시간 동안 지속됨). 만료 후 모든 정책 관리 구성은 다시 읽기 전용이 되고 문제 해결 모드를 사용하도록 설정하기 전에 디바이스가 어떻게 구성되었는지 다시 되돌리기.

  • 명령이 Microsoft Defender XDR 전송되는 시간부터 디바이스에서 활성화되는 시점까지 최대 15분이 걸릴 수 있습니다.

  • 문제 해결 모드가 시작되고 문제 해결 모드가 종료되면 사용자에게 알림이 전송됩니다. 문제 해결 모드가 곧 종료됨을 나타내는 경고도 전송됩니다.

  • 문제 해결 모드의 시작 및 끝은 디바이스 페이지의 디바이스 타임라인 에서 식별됩니다.

  • 고급 헌팅에서 모든 문제 해결 모드 이벤트를 쿼리할 수 있습니다.

참고

정책 관리 변경 내용은 문제 해결 모드에서 적극적으로 디바이스에 적용됩니다. 그러나 문제 해결 모드가 만료될 때까지 변경 내용은 적용되지 않습니다. 또한 Microsoft Defender 바이러스 백신 플랫폼 업데이트는 문제 해결 모드 중에 적용되지 않습니다. 플랫폼 업데이트는 문제 해결 모드가 Windows 업데이트로 끝날 때 적용됩니다.

필수 구성 요소

문제 해결 모드 사용

  1. Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.

  2. 문제 해결 모드를 켜려는 디바이스의 디바이스 페이지/컴퓨터 페이지로 이동합니다. 문제 해결 모드 켜기를 선택합니다. 엔드포인트용 Microsoft Defender 대한 "Security Center에서 보안 설정 관리" 권한이 있어야 합니다.

    문제 해결 모드 켜기

참고

문제 해결 모드 설정 옵션은 디바이스가 문제 해결 모드의 필수 구성 요소를 충족하지 않는 경우에도 모든 디바이스에서 사용할 수 있습니다.

  1. 디바이스에 대한 문제 해결 모드를 켜고 싶은지 확인합니다.

    구성 플라이아웃

  2. 디바이스 페이지에는 디바이스가 현재 문제 해결 모드로 표시되어 있습니다.

    이제 디바이스가 문제 해결 모드에 있습니다.

고급 헌팅 쿼리

다음은 사용자 환경에서 발생하는 문제 해결 이벤트에 대한 가시성을 제공하기 위해 미리 빌드된 고급 헌팅 쿼리입니다. 이러한 쿼리를 사용하여 디바이스가 문제 해결 모드에 있을 때 경고를 생성하는 검색 규칙을 만들 수도 있습니다.

특정 디바이스에 대한 문제 해결 이벤트 가져오기

각 줄을 주석으로 처리하여 deviceId 또는 deviceName으로 Search.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

현재 문제 해결 모드에 있는 디바이스

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

디바이스별 문제 해결 모드 인스턴스 수

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

총 개수

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

성능 팁 다양한 요인으로 인해 Microsoft Defender 바이러스 백신은 다른 바이러스 백신 소프트웨어와 마찬가지로 엔드포인트 디바이스에서 성능 문제를 일으킬 수 있습니다. 경우에 따라 이러한 성능 문제를 완화하기 위해 Microsoft Defender 바이러스 백신의 성능을 조정해야 할 수 있습니다. Microsoft의 성능 분석기는 성능 문제를 일으킬 수 있는 파일, 파일 경로, 프로세스 및 파일 확장명을 결정하는 데 도움이 되는 PowerShell 명령줄 도구입니다. 몇 가지 예는 다음과 같습니다.

  • 검사 시간에 영향을 주는 상위 경로
  • 스캔 시간에 영향을 주는 상위 파일
  • 검사 시간에 영향을 주는 주요 프로세스
  • 스캔 시간에 영향을 주는 상위 파일 확장자
  • 조합 – 예를 들면 다음과 같습니다.
    • 확장 프로그램당 상위 파일 수
    • 확장당 상위 경로
    • 경로당 상위 프로세스
    • 파일당 상위 검사
    • 프로세스당 파일당 상위 검사

성능 분석기를 사용하여 수집된 정보를 사용하여 성능 문제를 더 잘 평가하고 수정 작업을 적용할 수 있습니다. Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.