Linux에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사
적용 대상:
- 엔드포인트 서버용 Microsoft Defender
- 서버용 Microsoft Defender
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 문서에서는 엔드포인트용 Microsoft Defender 대한 바이러스 백신 및 전역 제외를 정의하는 방법에 대한 정보를 제공합니다. 바이러스 백신 제외는 주문형 검사, RTP(실시간 보호) 및 BM(동작 모니터링)에 적용됩니다. 글로벌 제외는 RTP(실시간 보호), BM(동작 모니터링) 및 EDR(엔드포인트 검색 및 응답)에 적용되므로 관련된 모든 바이러스 백신 검색, EDR 경고 및 제외된 항목에 대한 가시성을 중지합니다.
중요
이 문서에 설명된 바이러스 백신 제외는 EDR(엔드포인트 검색 및 응답)이 아닌 바이러스 백신 기능에만 적용됩니다. 이 문서에 설명된 바이러스 백신 제외를 사용하여 제외하는 파일은 여전히 EDR 경고 및 기타 검색을 트리거할 수 있습니다. 이 섹션에 설명된 전역 제외는 바이러스 백신 및 엔드포인트 검색 및 응답 기능에 적용되므로 관련된 모든 바이러스 백신 보호, EDR 경고 및 검색을 중지합니다. 전역 제외는 현재 공개 미리 보기로 제공되며, 참가자 느린 및 프로덕션 링의 엔드포인트용 Defender 버전 101.23092.0012
이상에서 사용할 수 있습니다. EDR 제외의 경우 지원에 문의하세요.
Linux의 엔드포인트용 Defender에서 특정 파일, 폴더, 프로세스 및 프로세스 열기 파일을 제외할 수 있습니다.
제외는 organization 고유하거나 사용자 지정된 파일 또는 소프트웨어에서 잘못된 검색을 방지하는 데 유용할 수 있습니다. 전역 제외는 Linux의 엔드포인트용 Defender로 인한 성능 문제를 완화하는 데 유용합니다.
경고
제외를 정의하면 Linux의 엔드포인트용 Defender에서 제공하는 보호가 줄어듭니다. 항상 제외 구현과 관련된 위험을 평가해야 하며 악의적이지 않다고 확신하는 파일만 제외해야 합니다.
지원되는 제외 범위
이전 섹션에서 설명한 대로 바이러스 백신() 및 전역(epp
global
) 제외의 두 가지 제외 범위를 지원합니다.
바이러스 백신 제외는 EDR 가시성을 유지하면서 실시간 보호에서 신뢰할 수 있는 파일 및 프로세스를 제외하는 데 사용할 수 있습니다. 전역 제외는 센서 수준에서 적용되며, 처리가 완료되기 전에 흐름 초기에 제외 조건과 일치하는 이벤트를 음소거하여 모든 EDR 경고 및 바이러스 백신 검색을 중지합니다.
참고
Global(global
)은 Microsoft에서 이미 지원되는 바이러스 백신(epp
) 제외 범위 외에도 도입하는 새로운 제외 scope.
제외 범주 | 제외 범위 | 설명 |
---|---|---|
바이러스 백신 제외 | 바이러스 백신 엔진 (scope: epp) |
AV(바이러스 백신) 검사 및 주문형 검사에서 콘텐츠를 제외합니다. |
전역 제외 | 바이러스 백신 및 엔드포인트 검색 및 응답 엔진 (scope: 전역) |
실시간 보호 및 EDR 표시 유형에서 이벤트를 제외합니다. 기본적으로 주문형 검사에는 적용되지 않습니다. |
지원되는 제외 유형
다음 표에서는 Linux의 엔드포인트용 Defender에서 지원하는 제외 유형을 보여 있습니다.
제외 | 정의 | 예제 |
---|---|---|
파일 확장명 | 확장이 있는 모든 파일(디바이스의 모든 위치)(전역 제외에 사용할 수 없음) | .test |
File | 전체 경로로 식별되는 특정 파일 | /var/log/test.log /var/log/*.log /var/log/install.?.log |
폴더 | 지정된 폴더 아래의 모든 파일(재귀) | /var/log/ /var/*/ |
프로세스 | 특정 프로세스(전체 경로 또는 파일 이름으로 지정됨) 및 해당 프로세스에서 연 모든 파일 | /bin/cat cat c?t |
중요
성공적으로 제외하려면 사용되는 경로가 기호 링크가 아닌 하드 링크여야 합니다. 를 실행file <path-name>
하여 경로가 기호 링크인지 검사 수 있습니다.
파일, 폴더 및 프로세스 제외는 다음 와일드카드를 지원합니다.
참고
scope 전역으로 사용하여 파일 제외를 추가하거나 제거하기 전에 파일 경로가 있어야 합니다. 와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다.
와일드 카드 | 설명 | 예제 |
---|---|---|
* | 없음을 포함하여 임의의 문자 수와 일치 (이 와일드카드는 경로의 끝에 사용되지 않는 경우 하나의 폴더만 대체합니다.) |
/var/*/tmp 에는 및 /var/abc/tmp 해당 하위 디렉터리 및 /var/def/tmp 해당 하위 디렉터리의 파일이 포함됩니다. 또는 을 포함하지 /var/abc/log 않습니다. /var/def/log
|
? | 모든 단일 문자와 일치 |
file?.log 에는 및 file2.log 가 포함되지 file1.log 만file123.log |
참고
바이러스 백신 제외의 경우 경로 끝에 * 와일드카드를 사용하는 경우 와일드카드의 부모 아래에 있는 모든 파일 및 하위 디렉터리와 일치합니다.
제외 목록을 구성하는 방법
관리 콘솔 사용
Puppet, Ansible 또는 다른 관리 콘솔 제외를 구성하려면 다음 샘플을 mdatp_managed.json
참조하세요.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
자세한 내용은 Linux의 엔드포인트용 Defender에 대한 기본 설정 설정을 참조하세요.
명령줄 사용
다음 명령을 실행하여 제외를 관리하는 데 사용할 수 있는 스위치를 확인합니다.
참고
--scope
은 또는 global
로 허용되는 값을 epp
가진 선택적 플래그입니다. 동일한 제외를 제거하기 위해 제외를 추가하는 동안 사용되는 것과 동일한 scope 제공합니다. 명령줄 접근 방식에서 scope 언급되지 않으면 scope 값이 로 epp
설정됩니다.
플래그가 도입 --scope
되기 전에 CLI를 통해 추가된 제외는 영향을 받지 않고 해당 scope 로 epp
간주됩니다.
mdatp exclusion
팁
와일드카드를 사용하여 제외를 구성할 때 매개 변수를 큰따옴표로 묶어 globbing을 방지합니다.
예제:
파일 확장명(확장명 제외는 전역 제외 scope 지원되지 않음)에 대한 제외를 추가합니다.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
파일에 대한 제외를 추가/제거합니다(전역 scope 제외를 추가하거나 제거하는 경우 파일 경로가 이미 있어야 합니다.)
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
폴더에 대한 제외 추가/제거:
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
두 번째 폴더에 대한 제외를 추가합니다.
mdatp exclusion folder add --path /var/log/ --scope epp mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
와일드카드가 포함된 폴더에 대한 제외를 추가합니다.
참고
와일드카드는 전역 제외를 구성하는 동안 지원되지 않습니다.
mdatp exclusion folder add --path "/var/*/tmp"
참고
/ var/*/tmp/의 경로만 제외되지만 tmp의 형제인 폴더는 제외되지 않습니다. 예를 들어 /var/this-subfolder/tmp이지만 /var/this-subfolder/log는 아닙니다.
mdatp exclusion folder add --path "/var/" --scope epp
또는
mdatp exclusion folder add --path "/var/*/" --scope epp
참고
그러면 부모가 /var/; 인 모든 경로가 제외됩니다. 예: /var/this-subfolder/and-this-subfolder-as-well.
Folder exclusion configured successfully
프로세스에 대한 제외를 추가합니다.
mdatp exclusion process add --name /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope global
Process exclusion removed successfully
mdatp exclusion process add --name /usr/bin/cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name /usr/bin/cat --scope epp
Process exclusion removed successfully
두 번째 프로세스에 대한 제외를 추가합니다.
mdatp exclusion process add --name cat --scope epp mdatp exclusion process add --name dog --scope global
Process exclusion configured successfully
EICAR 테스트 파일을 사용하여 제외 목록 유효성 검사
를 사용하여 curl
테스트 파일을 다운로드하여 제외 목록이 작동하는지 확인할 수 있습니다.
다음 Bash 코드 조각에서 를 제외 규칙을 준수하는 파일로 바꿉 test.txt
니다. 예를 들어 확장을 제외한 경우 를 .testing
로 test.testing
바꿉니다test.txt
. 경로를 테스트하는 경우 해당 경로 내에서 명령을 실행해야 합니다.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Linux의 엔드포인트용 Defender가 맬웨어를 보고하는 경우 규칙이 작동하지 않습니다. 맬웨어에 대한 보고가 없고 다운로드한 파일이 있는 경우 제외가 작동합니다. 파일을 열어 내용이 EICAR 테스트 파일 웹 사이트에 설명된 내용과 동일한지 확인할 수 있습니다.
인터넷에 액세스할 수 없는 경우 고유한 EICAR 테스트 파일을 만들 수 있습니다. 다음 Bash 명령을 사용하여 새 텍스트 파일에 EICAR 문자열을 씁니다.
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
빈 텍스트 파일에 문자열을 복사하여 파일 이름 또는 제외하려는 폴더에 저장하려고 시도할 수도 있습니다.
위협 허용
특정 콘텐츠가 검사되지 않도록 제외하는 것 외에도 일부 위협 클래스(위협 이름으로 식별됨)를 검색하지 않도록 제품을 구성할 수도 있습니다. 이 기능을 사용할 때는 디바이스가 보호되지 않도록 할 수 있으므로 주의해야 합니다.
허용된 목록에 위협 이름을 추가하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name [threat-name]
디바이스에서 검색과 연결된 위협 이름은 다음 명령을 사용하여 가져올 수 있습니다.
mdatp threat list
예를 들어 허용된 목록에 (EICAR 검색과 연결된 위협 이름)을 추가 EICAR-Test-File (not a virus)
하려면 다음 명령을 실행합니다.
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.