macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드

이 문서에서는 조직 정책이 디바이스를 관리하는 경우에도 관리자가 다양한 Microsoft Defender 바이러스 백신 기능을 일시적으로 해결할 수 있도록 macOS에서 엔드포인트용 Microsoft Defender 문제 해결 모드를 사용하도록 설정하는 방법을 설명합니다.

예를 들어 변조 방지를 사용하도록 설정하면 특정 설정을 수정하거나 끌 수 없지만 디바이스에서 문제 해결 모드를 사용하여 해당 설정을 일시적으로 편집할 수 있습니다.

문제 해결 모드는 기본적으로 사용하지 않도록 설정되며 제한된 시간 동안 디바이스(및/또는 디바이스 그룹)에 대해 설정해야 합니다. 문제 해결 모드는 엔터프라이즈 전용 기능이며 Microsoft Defender 포털에 액세스해야 합니다.

시작하기 전에 알아야 할 사항

문제 해결 모드 중에 다음을 수행할 수 있습니다.

• macOS 기능 문제 해결 /애플리케이션 호환성(가양성)에서 엔드포인트용 Microsoft Defender 사용합니다.

• 적절한 권한을 가진 로컬 관리자는 개별 엔드포인트에서 다음과 같은 정책 잠금 구성을 변경할 수 있습니다.

  설정	사용	사용 안 함/제거
  Real-Time 보호/수동 모드/주문형	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  네트워크 보호	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  태그	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  엔드포인트 DLP	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

문제 해결 모드에서는 다음을 수행할 수 없습니다.

• macOS에서 엔드포인트용 Microsoft Defender 대한 변조 방지를 사용하지 않도록 설정합니다.
• macOS에서 엔드포인트용 Microsoft Defender 제거합니다.

필수 구성 요소

• 엔드포인트용 Microsoft Defender 대해 지원되는 macOS 버전입니다.
• 엔드포인트용 Microsoft Defender 디바이스에서 테넌트 등록 및 활성 상태여야 합니다.
• 엔드포인트용 Microsoft Defender "Security Center에서 보안 설정 관리"에 대한 권한입니다.
• 플랫폼 업데이트 버전: 101.23122.0005 이상.

macOS에서 문제 해결 모드 사용

1. Microsoft Defender 포털로 이동하여 로그인합니다.

2. 문제 해결 모드를 켜려는 디바이스 페이지로 이동합니다. 그런 다음 줄임표(...)를 선택하고 문제 해결 모드 켜기를 선택합니다.

   

   참고

   문제 해결 모드 설정 옵션은 디바이스가 문제 해결 모드의 필수 구성 요소를 충족하지 않는 경우에도 모든 디바이스에서 사용할 수 있습니다. 자세한 내용은 이 문서의 뒷부 분에 있는 문제 해결 모드 섹션을 참조하세요.

3. 창에 표시되는 정보를 읽고 준비가 되면 제출 을 선택하여 해당 디바이스에 대한 문제 해결 모드를 켜고 싶은지 확인합니다.

4. 변경 내용이 표시되는 텍스트를 적용하는 데 몇 분 정도 걸릴 수 있습니다 . 이 시간 동안 줄임표를 다시 선택하면 문제 해결 모드 켜기 보류 중 옵션이 회색으로 표시됩니다.

5. 완료되면 디바이스 페이지에 디바이스가 이제 문제 해결 모드에 있음을 표시합니다.

   최종 사용자가 macOS 디바이스에 로그인하면 다음 텍스트가 표시됩니다.

   문제 해결 모드가 시작되었습니다. 이 모드를 사용하면 관리자가 관리하는 설정을 일시적으로 변경할 수 있습니다. YEAR-MM-DDTHH:MM:SSZ에 만료됩니다.

   확인을 선택합니다.

6. 사용하도록 설정하면 문제 해결 모드(TS 모드)에서 전환할 수 있는 다양한 명령줄 옵션을 테스트할 수 있습니다.

   예를 들어 명령을 사용하여 mdatp config real-time-protection --value disabled 실시간 보호를 사용하지 않도록 설정하면 암호를 입력하라는 메시지가 표시됩니다. 암호를 입력한 후 확인을 선택합니다.

   

   다음 스크린샷과 유사한 출력 보고서는 "false"와 real_time_protection_enabled "block" tamper_protection 을 사용하여 mdatp 상태 실행에 표시됩니다.

   

검색을 위한 고급 헌팅 쿼리

사용자 환경에서 발생하는 문제 해결 이벤트에 대한 가시성을 제공하기 위해 미리 빌드된 고급 헌팅 쿼리가 있습니다. 이러한 쿼리를 사용하여 디바이스가 문제 해결 모드에 있을 때 경고를 생성하는 검색 규칙을 만들 수 있습니다.

특정 디바이스에 대한 문제 해결 이벤트 가져오기

다음 쿼리를 사용하여 검색하거나 deviceName 해당 줄을 주석으로 처리하여 검색 deviceId 할 수 있습니다.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

현재 문제 해결 모드에 있는 디바이스

다음 쿼리를 사용하여 현재 문제 해결 모드에 있는 디바이스를 찾을 수 있습니다.

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

디바이스별 문제 해결 모드 인스턴스 수

다음 쿼리를 사용하여 디바이스에 대한 문제 해결 모드 인스턴스 수를 찾을 수 있습니다.

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

총 개수

다음 쿼리를 사용하여 문제 해결 모드 인스턴스의 총 수를 알 수 있습니다.

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

문제 해결 모드 문제

문제 해결 모드를 사용하도록 설정할 수 없는 경우 대상 Mac에서 다음 문제 해결 단계를 수행합니다.

• 다음 명령을 실행하여 앱 버전을 확인합니다.

  mdatp health --field app_version
  
  mdatp health --field edr_client_version
  

  앞에서 설명한 것처럼 플랫폼 업데이트 버전 101.23122.0005 이상이 필요합니다.

• 다음 명령을 실행하여 디바이스가 등록되고 활성 상태인지 확인합니다.

  mdatp health --field edr_machine_id
  
  mdatp connectivity test
  

  모든 엔드포인트는 [확인]을 표시해야 합니다.

• 다음 명령을 실행하여 구성 원본을 확인합니다.

  mdatp health --field managed_by
  

  MDE 엔드포인트용 Microsoft Defender 연결을 나타내며 우선 순위를 지정합니다. MEM은 Microsoft Intune 또는 Apple Jamf를 나타냅니다.

• 필요한 프로필 경로의 유효성을 검사합니다.

  • /Library/Preferences/com.microsoft.mdeattach.plist
  • /Library/Managed Preferences/com.microsoft.wdav*.plist

로깅을 승격하고 진단 수집하려면 다음 명령을 실행한 다음 문제 해결 모드를 다시 사용하도록 설정합니다.

sudo mdatp log level set --level debug

sudo mdatp diagnostic create

sudo mdatp log level set --level info

권장 콘텐츠

• Mac의 엔드포인트에 대한 Microsoft Defender XDR
• Cloud Apps용 Microsoft Defender XDR 엔드포인트 통합을 위한 Microsoft Defender XDR
• Microsoft Edge의 혁신적인 기능 알아보기
• 네트워크 보호
• 네트워크 보호 설정 켜기
• 웹 보호
• 지표 만들기
• 웹 컨텐츠 필터링