이 문서에서는 문제를 해결하거나 Linux에서 엔드포인트용 Microsoft Defender 구성하기 위한 리소스를 제공합니다. 이 문서에서는 명령줄을 사용하여 진단 정보를 수집하고, 설치 문제를 기록하고, Linux에서 엔드포인트용 Defender를 구성하는 방법을 설명합니다. 이 문서에서는 Linux에서 엔드포인트용 Defender를 제거하는 방법도 설명합니다.
진단 정보 수집
팁
라이브 응답 또는 디바이스에서 로컬로 엔드포인트용 Defender 클라이언트 분석기를 실행하여 Linux의 엔드포인트용 Defender에서 진단 정보를 수집합니다.
문제를 재현할 수 있는 경우 먼저 로깅 수준을 높이고, 일정 시간 동안 시스템을 실행한 다음, 로깅 수준을 기본값으로 복원합니다.
로깅 수준 늘리기:
mdatp log level set --level debugLog level configured successfully문제를 재현하세요.
다음 명령을 실행하여 엔드포인트용 Defender의 로그를 백업합니다. 파일은 .zip 보관 파일 내에 저장됩니다.
sudo mdatp diagnostic create이 명령은 작업이 성공한 후 백업에 대한 파일 경로도 출력합니다.
Diagnostic file created: <path to file>로깅 수준 복원:
mdatp log level set --level infoLog level configured successfully
로그 설치 문제
설치 중에 오류가 발생하면 설치 관리자는 일반 오류만 보고합니다.
자세한 로그는 에 /var/log/microsoft/mdatp/install.log저장됩니다.
설치 중에 문제가 발생하는 경우 원인을 진단할 수 있도록 이 파일을 보내주세요.
명령줄에서 구성
제품 설정 제어 및 주문형 검사 트리거와 같은 중요한 작업은 명령줄에서 수행할 수 있습니다.
전역 옵션
기본적으로 명령줄 도구는 결과를 사람이 읽을 수 있는 형식으로 출력합니다. 또한 이 도구는 자동화 시나리오에 유용한 JSON으로 결과 출력을 지원합니다. 출력을 JSON으로 변경하려면 아래 명령 중 한 가지에 전달 --output json 합니다.
지원되는 명령
다음 표에는 가장 일반적인 시나리오 중 일부에 대한 명령이 나와 있습니다. 터미널에서 를 실행 mdatp help 하여 지원되는 명령의 전체 목록을 봅니다.
| 그룹 | 시나리오 | 명령 |
|---|---|---|
| 구성 | 실시간 보호 켜기/끄기 | mdatp config real-time-protection --value [enabled\|disabled] |
| 구성 | 동작 모니터링 켜기/끄기 | mdatp config behavior-monitoring --value [enabled\|disabled] |
| 구성 | 클라우드 보호 켜기/끄기 | mdatp config cloud --value [enabled\|disabled] |
| 구성 | 제품 진단 켜기/끄기 | mdatp config cloud-diagnostic --value [enabled\|disabled] |
| 구성 | 자동 샘플 제출 켜기/끄기 | mdatp config cloud-automatic-sample-submission --value [enabled\|disabled] |
| 구성 | 바이러스 백신 수동 모드 켜기/끄기 | mdatp config passive-mode --value [enabled\|disabled] |
| 구성 | 파일 확장 프로그램에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion extension [add\|remove] --name [extension] |
| 구성 | 파일에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion file [add\|remove] --path [path-to-file] |
| 구성 | 디렉터리에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion folder [add\|remove] --path [path-to-directory] |
| 구성 | 프로세스에 대한 바이러스 백신 제외 추가/제거 | mdatp exclusion process [add\|remove] --path [path-to-process] |
| 구성 | 파일에 대한 전역 제외 추가/제거 | mdatp exclusion file [add\|remove] --path [path-to-file] --scope global |
| 구성 | 디렉터리에 대한 전역 제외 추가/제거 | mdatp exclusion folder [add\|remove] --path [path-to-directory] --scope global |
| 구성 | 프로세스에 대한 전역 제외 추가/제거 | mdatp exclusion process [add\|remove] --path [path-to-process] --scope global |
| 구성 | 모든 바이러스 백신 제외 나열 | mdatp exclusion list |
| 구성 | 허용된 목록에 위협 이름 추가 | mdatp threat allowed add --name [threat-name] |
| 구성 | 허용된 목록에서 위협 이름 제거 | mdatp threat allowed remove --name [threat-name] |
| 구성 | 허용되는 모든 위협 이름 나열 | mdatp threat allowed list |
| 구성 | PUA 보호 켜기 | mdatp threat policy set --type potentially_unwanted_application --action block |
| 구성 | PUA 보호 끄기 | mdatp threat policy set --type potentially_unwanted_application --action off |
| 구성 | PUA 보호에 대한 감사 모드 켜기 | mdatp threat policy set --type potentially_unwanted_application --action audit |
| 구성 | 주문형 검사에 대한 병렬 처리 수준 구성 | mdatp config maximum-on-demand-scan-threads --value [numerical-value-between-1-and-64] |
| 구성 | 보안 인텔리전스 업데이트 후 검사 켜기/끄기 | mdatp config scan-after-definition-update --value [enabled/disabled] |
| 구성 | 보관 검색 켜기/끄기(주문형 검사만 해당) | mdatp config scan-archives --value [enabled/disabled] |
| 구성 | 파일 해시 계산 켜기/끄기 | mdatp config enable-file-hash-computation --value [enabled/disabled] |
| 진단 | 로그 수준 변경 | mdatp log level set --level verbose [error|warning|info|verbose] |
| 진단 | 진단 로그 생성 | mdatp diagnostic create --path [directory] |
| 진단 | 보존된 제품 로그에 대한 크기 제한 | mdatp config log-rotation-parameters [max-current-size/max-rotated-size] --size [value in MB] |
| 상태 | 제품 상태 확인 | mdatp health |
| 보호 | 경로 검사 | mdatp scan custom --path [path] [--ignore-exclusions] |
| 보호 | 빠른 검사 수행 | mdatp scan quick |
| 보호 | 전체 검사 수행 | mdatp scan full |
| 보호 | 진행 중인 주문형 검사 취소 | mdatp scan cancel |
| 보호 | 보안 인텔리전스 업데이트 요청 | mdatp definitions update |
| 보호 | 원래 기본 집합으로 보안 인텔리전스 롤백 | mdatp definitions restore |
| 보호 기록 | 전체 보호 기록 인쇄 | mdatp threat list |
| 보호 기록 | 위협 세부 정보 가져오기 | mdatp threat get --id [threat-id] |
| 격리 관리 | 격리된 모든 파일 나열 | mdatp threat quarantine list |
| 격리 관리 | 격리에서 모든 파일 제거 | mdatp threat quarantine remove-all |
| 격리 관리 | 격리에 대한 위협으로 검색된 파일 추가 | mdatp threat quarantine add --id [threat-id] |
| 격리 관리 | 격리에서 위협으로 검색된 파일 제거 | mdatp threat quarantine remove --id [threat-id] |
| 격리 관리 | 격리에서 파일을 복원합니다. 이전 101.23092.0012버전의 엔드포인트용 Defender 버전에서 사용할 수 있습니다. |
mdatp threat quarantine restore --id [threat-id] --path [destination-folder] |
| 격리 관리 | 위협 ID를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. |
mdatp threat quarantine restore threat-id --id [threat-id] --destination-path [destination-folder] |
| 격리 관리 | 위협 원본 경로를 사용하여 격리에서 파일을 복원합니다. 엔드포인트용 Defender 버전 101.23092.0012 이상에서 사용할 수 있습니다. |
mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder] |
| 엔드포인트 감지 및 응답 | 초기 미리 보기 설정 | mdatp edr early-preview [enabled\|disabled] |
| 엔드포인트 감지 및 응답 | group-id 설정 | mdatp edr group-ids --group-id [group-id] |
| 엔드포인트 감지 및 응답 | 태그 설정/제거, 지원되는 태그만 GROUP |
mdatp edr tag set --name GROUP --value [tag] |
| 엔드포인트 감지 및 응답 | 목록 제외(루트) | mdatp edr exclusion list [processes|paths|extensions|all] |
엔드포인트용 Defender Linux용 격리 디렉터리
MDATP에서 격리된 파일의 기본 디렉터리가 입니다 /var/opt/microsoft/mdatp/quarantine. 최상의 결과를 위해 격리 디렉터리에서 직접 파일을 이동하거나 수정하는 대신 명령을 MDATP threat quarantine 사용하여 격리된 파일을 관리합니다. 직접 파일 작업은 권장되지 않습니다. 항상 안전하고 지원되는 격리 관리를 위해 CLI를 사용합니다.
Linux에서 엔드포인트용 Defender 제거
Linux에서 엔드포인트용 Defender를 제거하는 방법에는 여러 가지가 있습니다. Puppet과 같은 구성 도구를 사용하는 경우 구성 도구에 대한 패키지 제거 지침을 따릅니다.
Linux 디바이스 오프보딩
서비스 해제된 디바이스가 디바이스 인벤토리에 표시되지 않도록 하고 보다 정확한 보안 점수 등급을 보장하려면 엔드포인트용 Defender에서 오프보딩하려는 디바이스에 디바이스 태그를 추가합니다. 그렇지 않으면 180일 동안 디바이스 인벤토리 에 해당 디바이스가 표시됩니다.
디바이스 태그를 만들고 태그의 이름을 로 지정합니다
decommissioned. 엔드포인트용 Defender에서 오프보딩하려는 Linux 디바이스에 태그를 할당합니다.디바이스 그룹을 만들고 이름을 로
Decommissioned Linux지정합니다. 이 태그를 적절한 사용자 그룹에 할당합니다.Microsoft Defender 포털의 탐색 창에서 설정>오프보딩을 선택합니다. 오프보딩 프로세스를 시작할 운영 체제 선택에서 Linux Server를 선택한 다음 배포 방법을 선택합니다.
또는 비 Microsoft 디바이스 관리 솔루션을 사용하는 경우 엔드포인트용 Defender와의 통합을 사용하지 않도록 설정합니다.
디바이스에서 엔드포인트용 Defender를 제거합니다.
수동 제거
-
sudo yum remove mdatpRHEL 및 variants(CentOS 및 Oracle Linux)의 경우 -
sudo zypper remove mdatpSLES 및 변형의 경우 -
sudo apt-get purge mdatpUbuntu 및 Debian 시스템의 경우 -
sudo dnf remove mdatp용 마리너.
관련 콘텐츠
- Microsoft Defender for Endpoint(Linux용)
- Linux에서 엔드포인트용 Microsoft Defender 위한 필수 구성 요소
- Linux의 엔드포인트용 Microsoft Defender 보안 설정 구성
- Linux에서 클라이언트 분석기 실행
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.