다음을 통해 공유

Linux에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

이 문서에서는 엔드포인트용 Microsoft Defender 대한 바이러스 백신 및 전역 제외를 정의하는 방법에 대한 정보를 제공합니다. 바이러스 백신 제외는 주문형 검사, RTP(실시간 보호) 및 BM(동작 모니터링)에 적용됩니다. 글로벌 제외는 RTP(실시간 보호), BM(동작 모니터링) 및 EDR(엔드포인트 검색 및 응답)에 적용되므로 관련된 모든 바이러스 백신 검색, EDR 경고 및 제외된 항목에 대한 가시성을 중지합니다.

중요

이 문서에 설명된 바이러스 백신 제외는 EDR(엔드포인트 검색 및 응답)이 아닌 바이러스 백신 기능에만 적용됩니다. 이 문서에 설명된 바이러스 백신 제외를 사용하여 제외하는 파일은 여전히 EDR 경고 및 기타 검색을 트리거할 수 있습니다. 이 섹션에 설명된 전역 제외는 바이러스 백신 엔드포인트 검색 및 응답 기능에 적용되므로 관련된 모든 바이러스 백신 보호, EDR 경고 및 검색을 중지합니다. 전역 제외는 현재 공개 미리 보기로 제공되며, 참가자 느린 및 프로덕션 링의 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. EDR 제외의 경우 지원에 문의하세요.

Linux의 엔드포인트용 Defender에서 특정 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다.

제외는 organization 고유하거나 사용자 지정된 파일 또는 소프트웨어에서 잘못된 검색을 방지하는 데 유용할 수 있습니다. 전역 제외는 Linux의 엔드포인트용 Defender로 인한 성능 문제를 완화하는 데 유용합니다.

경고

제외를 정의하면 Linux의 엔드포인트용 Defender에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.

지원되는 제외 범위

이전 섹션에서 설명한 대로 바이러스 백신() 및 전역(eppglobal) 제외의 두 가지 제외 범위를 지원합니다.

바이러스 백신 제외는 EDR 가시성을 유지하면서 실시간 보호에서 신뢰할 수 있는 파일 및 프로세스를 제외하는 데 사용할 수 있습니다. 전역 제외는 센서 수준에서 적용되며, 처리가 완료되기 전에 흐름 초기에 제외 조건과 일치하는 이벤트를 음소거하여 모든 EDR 경고 및 바이러스 백신 검색을 중지합니다.

참고

Global(global)은 Microsoft에서 이미 지원되는 바이러스 백신(epp) 제외 범위 외에도 도입하는 새로운 제외 scope.

제외 범주 제외 범위 설명
바이러스 백신 제외 바이러스 백신 엔진
(scope: epp)		 바이러스 백신 검사 및 주문형 검사에서 콘텐츠를 제외합니다.
전역 제외 바이러스 백신 및 엔드포인트 검색 및 응답 엔진
(scope: 전역)		 실시간 보호 및 EDR 표시 유형에서 이벤트를 제외합니다. 기본적으로 주문형 검사에는 적용되지 않습니다.

중요

전역 제외는 네트워크 보호에 적용되지 않으므로 네트워크 보호에서 생성된 경고는 계속 표시됩니다. 네트워크 보호에서 프로세스를 제외하려면 을 사용합니다. mdatp network-protection exclusion

지원되는 제외 유형

다음 표에서는 Linux의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.

제외 정의 예제
파일 확장명 확장이 있는 모든 파일(디바이스의 모든 위치)(전역 제외에 사용할 수 없음) .test
File 전체 경로로 식별되는 특정 파일 /var/log/test.log
/var/log/*.log
/var/log/install.?.log
폴더 지정된 폴더 아래의 모든 파일(재귀) /var/log/
/var/*/
프로세스 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일.
완전하고 신뢰할 수 있는 프로세스 시작 경로를 사용하는 것이 좋습니다.		 /bin/cat
cat
c?t

중요

성공적으로 제외하려면 사용되는 경로가 기호 링크가 아닌 하드 링크여야 합니다. 를 실행file <path-name>하여 경로가 기호 링크인지 검사 수 있습니다. 전역 프로세스 제외를 구현하는 경우 시스템 안정성 및 보안을 보장하는 데 필요한 것만 제외합니다. 프로세스가 알려지고 신뢰할 수 있는지 확인하고, 프로세스 위치에 대한 전체 경로를 지정하고, 프로세스가 동일한 신뢰할 수 있는 전체 경로에서 일관되게 시작되는지 확인합니다.

파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.

와일드 카드 설명 예제
* 없음을 포함하여 임의의 문자 수와 일치
(이 와일드카드는 경로의 끝에 사용되지 않는 경우 하나의 폴더만 대체합니다.)		 /var/*/tmp 에는 및 /var/abc/tmp 해당 하위 디렉터리 및 /var/def/tmp 해당 하위 디렉터리의 파일이 포함됩니다. 또는 을 포함하지 /var/abc/log 않습니다. /var/def/log

/var/*/ 와 같은 /var/abc/하위 디렉터리에는 파일만 포함하지만 내부에 /var직접 있는 파일은 포함하지 않습니다.
? 모든 단일 문자와 일치 file?.log에는 및 file2.log가 포함되지 file1.logfile123.log

참고

와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다. 바이러스 백신 제외의 경우 경로 끝에 * 와일드카드를 사용하는 경우 와일드카드의 부모 아래에 있는 모든 파일 및 하위 디렉터리와 일치합니다. scope 전역으로 사용하여 파일 제외를 추가하거나 제거하기 전에 파일 경로가 있어야 합니다.

제외 목록을 구성하는 방법

관리 Json 구성, 엔드포인트용 Defender 보안 설정 관리 또는 명령줄을 사용하여 제외를 구성할 수 있습니다.

관리 콘솔 사용

엔터프라이즈 환경에서는 구성 프로필을 통해 제외를 관리할 수도 있습니다. 일반적으로 Puppet, Ansible 또는 다른 관리 콘솔 같은 구성 관리 도구를 사용하여 위치에 /etc/opt/microsoft/mdatp/managed/이름이 mdatp_managed.json 인 파일을 푸시합니다. 자세한 내용은 Linux의 엔드포인트용 Defender에 대한 기본 설정 설정을 참조하세요. 의 다음 샘플을 mdatp_managed.json참조하세요.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

엔드포인트용 Defender 보안 설정 관리 사용

참고

이 메서드는 현재 프라이빗 미리 보기로 제공됩니다. 이 기능을 사용하려면 에 문의 xplatpreviewsupport@microsoft.com하세요. 필수 구성 요소인 엔드포인트용 Defender 보안 설정 관리 필수 구성 요소를 검토해야 합니다.

Microsoft Intune 관리 센터 또는 Microsoft Defender 포털을 사용하여 제외를 엔드포인트 보안 정책으로 관리하고 해당 정책을 Microsoft Entra ID 그룹에 할당할 수 있습니다. 이 메서드를 처음 사용하는 경우 다음 단계를 완료해야 합니다.

1. 보안 설정 관리를 지원하도록 테넌트 구성

  1. Microsoft Defender 포털에서 설정>엔드포인트>구성 관리>적용 범위로 이동한 다음 Linux 플랫폼을 선택합니다.

  2. 태그를 사용하여 디바이스에 태그를 지정 MDE-Management 합니다. 대부분의 디바이스는 몇 분 내에 정책을 등록하고 수신하지만 일부는 최대 24시간이 걸릴 수 있습니다. 자세한 내용은 Intune 엔드포인트 보안 정책을 사용하여 Intune 등록되지 않은 디바이스에서 엔드포인트용 Microsoft Defender 관리하는 방법을 참조하세요.

2. Microsoft Entra 그룹 만들기

운영 체제 유형에 따라 동적 Microsoft Entra 그룹을 만들어 엔드포인트용 Defender에 온보딩된 모든 디바이스가 적절한 정책을 받도록 합니다. 이 동적 그룹에는 엔드포인트용 Defender에서 관리하는 디바이스가 자동으로 포함되어 관리자가 새 정책을 수동으로 만들 필요가 없습니다. 자세한 내용은 다음 문서를 참조하세요. Microsoft Entra 그룹 만들기

3. 엔드포인트 보안 정책 만들기

  1. Microsoft Defender 포털에서 엔드포인트구성 관리>엔드포인트> 보안 정책으로 이동한 다음, 새 정책 만들기를 선택합니다.

  2. 플랫폼에서 Linux를 선택합니다.

  3. 필수 제외 템플릿(Microsoft defender global exclusions (AV+EDR) 전역 제외 및 Microsoft defender antivirus exclusions 바이러스 백신 제외의 경우)을 선택한 다음 , 정책 만들기를 선택합니다.

  4. 기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음을 선택합니다.

  5. 설정 페이지에서 각 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다.

  6. 설정 구성을 완료하면 다음을 선택합니다.

  7. 할당 페이지에서 이 프로필을 받는 그룹을 선택합니다. 그런 후 다음을 선택합니다.

  8. 검토 + 만들기 페이지에서 완료되면 저장을 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.

자세한 내용은 엔드포인트용 Microsoft Defender 엔드포인트 보안 정책 관리를 참조하세요.

명령줄 사용

다음 명령을 실행하여 제외를 관리하는 데 사용할 수 있는 스위치를 확인합니다.

mdatp exclusion

참고

--scope은 또는 global로 허용되는 값을 epp 가진 선택적 플래그입니다. 동일한 제외를 제거하기 위해 제외를 추가하는 동안 사용되는 것과 동일한 scope 제공합니다. 명령줄 접근 방식에서 scope 언급되지 않으면 scope 값이 로 epp설정됩니다. 플래그가 도입 --scope 되기 전에 CLI를 통해 추가된 제외는 영향을 받지 않고 해당 scope 로 epp간주됩니다.

와일드카드를 사용하여 제외를 구성할 때 매개 변수를 큰따옴표로 묶어 globbing을 방지합니다.

이 섹션에는 몇 가지 예제가 포함되어 있습니다.

예제 1: 파일 확장명 제외 추가

파일 확장명 제외를 추가할 수 있습니다. 확장 제외는 전역 제외 scope 지원되지 않습니다.

mdatp exclusion extension add --name .txt

Extension exclusion configured successfully

mdatp exclusion extension remove --name .txt

Extension exclusion removed successfully

예제 2: 파일 제외 추가 또는 제거

파일에 대한 제외를 추가하거나 제거할 수 있습니다. 전역 scope 제외를 추가하거나 제거하는 경우 파일 경로가 이미 있어야 합니다.

mdatp exclusion file add --path /var/log/dummy.log --scope epp

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope epp

File exclusion removed successfully"

mdatp exclusion file add --path /var/log/dummy.log --scope global

File exclusion configured successfully

mdatp exclusion file remove --path /var/log/dummy.log --scope global

File exclusion removed successfully"

예제 3: 폴더 제외 추가 또는 제거

폴더에 대한 제외를 추가하거나 제거할 수 있습니다.

mdatp exclusion folder add --path /var/log/ --scope epp

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope epp

Folder exclusion removed successfully

mdatp exclusion folder add --path /var/log/ --scope global

Folder exclusion configured successfully

mdatp exclusion folder remove --path /var/log/ --scope global

Folder exclusion removed successfully

예제 4: 두 번째 폴더에 대한 제외 추가

두 번째 폴더에 대한 제외를 추가할 수 있습니다.

mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder  --scope global

Folder exclusion configured successfully

예제 5: 와일드카드를 사용하여 폴더 제외 추가

와일드카드가 있는 폴더에 대한 제외를 추가할 수 있습니다. 와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다.

mdatp exclusion folder add --path "/var/*/tmp"

이전 명령은 에서 */var/*/tmp/*경로를 제외하지만 의 *tmp*형제인 폴더는 제외하지 않습니다. 예를 들어 는 */var/this-subfolder/tmp* 제외되지만 */var/this-subfolder/log* 제외되지는 않습니다.

mdatp exclusion folder add --path "/var/" --scope epp

또는

mdatp exclusion folder add --path "/var/*/" --scope epp

이전 명령은 부모가 */var/*인 모든 경로(예: */var/this-subfolder/and-this-subfolder-as-well*)를 제외합니다.

Folder exclusion configured successfully

예제 6: 프로세스에 대한 제외 추가

프로세스에 대한 제외를 추가할 수 있습니다.

mdatp exclusion process add --path /usr/bin/cat --scope global 

Process exclusion configured successfully

mdatp exclusion process remove --path /usr/bin/cat  --scope global

참고

전체 경로만 scope 사용하여 프로세스 제외를 global 설정하는 데 지원됩니다. 플래그만 --path 사용

Process exclusion removed successfully

mdatp exclusion process add --name cat --scope epp 

Process exclusion configured successfully

mdatp exclusion process remove --name cat --scope epp

Process exclusion removed successfully

예제 7: 두 번째 프로세스에 대한 제외 추가

두 번째 프로세스에 대한 제외를 추가할 수 있습니다.

mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global

Process exclusion configured successfully

EICAR 테스트 파일을 사용하여 제외 목록 유효성 검사

를 사용하여 curl 테스트 파일을 다운로드하여 제외 목록이 작동하는지 확인할 수 있습니다.

다음 Bash 코드 조각에서 를 제외 규칙을 준수하는 파일로 바꿉 test.txt 니다. 예를 들어 확장을 제외한 경우 를 .testingtest.testing바꿉니다test.txt. 경로를 테스트하는 경우 해당 경로 내에서 명령을 실행해야 합니다.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Linux의 엔드포인트용 Defender가 맬웨어를 보고하는 경우 규칙이 작동하지 않습니다. 맬웨어에 대한 보고가 없고 다운로드한 파일이 있는 경우 제외가 작동합니다. 파일을 열어 내용이 EICAR 테스트 파일 웹 사이트에 설명된 내용과 동일한지 확인할 수 있습니다.

인터넷에 액세스할 수 없는 경우 고유한 EICAR 테스트 파일을 만들 수 있습니다. 다음 Bash 명령을 사용하여 새 텍스트 파일에 EICAR 문자열을 씁니다.

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

빈 텍스트 파일에 문자열을 복사하여 파일 이름 또는 제외하려는 폴더에 저장하려고 시도할 수도 있습니다.

위협 허용

특정 콘텐츠가 검사되지 않도록 제외하는 것 외에도 위협 이름으로 식별되는 일부 위협 클래스를 검색하지 않도록 Linux의 엔드포인트용 Defender를 구성할 수도 있습니다.

경고

이 기능을 사용할 때는 디바이스가 보호되지 않도록 할 수 있으므로 주의해야 합니다.

허용된 목록에 위협 이름을 추가하려면 다음 명령을 실행합니다.

mdatp threat allowed add --name [threat-name]

검색된 위협의 이름을 얻으려면 다음 명령을 실행합니다.

mdatp threat list

예를 들어 허용 목록에 추가 EICAR-Test-File (not a virus) 하려면 다음 명령을 실행합니다.

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.