macOS에서 엔드포인트용 Microsoft Defender 사용하여 검사 예약
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
macOS에서 엔드포인트용 Microsoft Defender 기본 제공 검사 예약
엔드포인트용 Microsoft Defender 사용하여 언제든지 위협 검사를 시작할 수 있지만 기업은 예약되거나 시간이 초과된 검사를 활용할 수 있습니다. 예를 들어 매 작업일 또는 주초에 실행되도록 검사를 예약할 수 있습니다.
구성할 수 있는 예약된 검사에는 시간별, 일별 및 주간 검사의 세 가지 유형이 있습니다. 매시간 및 매일 예약된 검사는 항상 빠른 검사로 실행되며, 주간 검사는 빠른 검사 또는 전체 검사로 구성할 수 있습니다. 세 가지 유형의 예약된 검사를 동시에 가질 수 있습니다. 이 문서의 샘플을 참조하세요.
필수 구성 요소:
- 플랫폼 업데이트 버전: 101.23122.0005 이상
macOS에서 엔드포인트용 Microsoft Defender 사용하여 검사 예약
macOS에서 엔드포인트용 Microsoft Defender 위해 기본 제공되는 macOS에 대한 예약된 검사를 만들 수 있습니다.
여기에 사용되는 파일 형식에 대한 .plist 자세한 내용은 공식 Apple 개발자 웹 사이트에서 정보 속성 목록 파일 정보를 참조하세요.
다음 샘플에서는 macOS에서 예약된 검사에 대한 일별 및/또는 주별 구성을 보여줍니다.
팁
일정은 디바이스의 현지 표준 시간대를 기반으로 합니다.
| 매개 변수 | 이 매개 변수에 사용할 수 있는 값은 다음과 같습니다. |
|---|---|
scheduledScan |
enabled 또는 disabled |
scanType |
quick 또는 full |
ignoreExclusions |
true 또는 false |
| lowPriorityScheduledScan |
true 또는 false |
dayOfWeek |
범위는 와 8사이 0 입니다. - 0:일상- 1:일요일- 2:월요일- 3:화요일- 4:수요일- 5:목요일- 6:금요일- 7:토요일- 8:결코 |
timeOfDay |
예약된 검사를 수행할 시간을 의 minutes after midnight수로 지정합니다. 시간은 컴퓨터의 현지 시간을 나타냅니다. 이 매개 변수의 값을 지정하지 않으면 예약된 검사는 자정 이후 2시간의 기본 시간에 실행됩니다. |
interval |
0 (절대 없음), every 1 (시간) ~ every 24 (시간, 하루에 한 번의 검사) |
randomizeScanStartTime |
매일 빠른 검사 또는 매주 빠른/전체 검사에만 적용됩니다. 검사 시작 시간을 지정된 시간까지 임의로 지정합니다. 예를 들어 검사가 오후 2시에 예약되고 randomizeScanStartTime 2로 설정된 경우 검사는 오후 2시에서 오후 4시 사이에 임의로 시작됩니다. |
예약된 검사는 에서 정의한 날짜, 시간 및 빈도에 plist따라 실행됩니다.
예제 1: plist를 사용하여 매일 빠른 검사 및 매주 전체 검사 예약
다음 예제에서는 일일 빠른 검사 구성이 자정(오후 2시 45분) 이후 885분 후에 실행되도록 설정됩니다. 주간 구성은 수요일 자정(오후 2시 40분) 이후 880분 후에 전체 검사를 실행하도록 설정됩니다. 또한 제외를 무시하고 우선 순위가 낮은 검사를 실행하도록 설정됩니다.
다음 코드에서는 앞에서 언급한 요구 사항에 따라 검사를 예약하는 데 사용해야 하는 스키마를 보여 줍니다.
- 텍스트 편집기를 열고 이 예제를 예약된 자체 검사 파일에 대한 가이드로 사용합니다.
Intune
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>880</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>885</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 파일을 로
com.microsoft.wdav.mobileconfig저장합니다.
JamF 및 기타 타사 MDM의 경우
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
파일을 로
com.microsoft.wdav.plist저장합니다.예약된 검사가 "기본 설정 설정"을 통해 구성되었는지 확인합니다.
mdatp health --details scheduled_scan결과에서 [관리]를 볼 수 있어야 합니다.
예제 2: plist를 사용하여 매시간 빠른 검사, 매일 빠른 검사 및 매주 전체 검사 예약
다음 예제에서는 매시간 빠른 검사가 6시간마다 실행되고, 매일 빠른 검사 구성은 자정(오후 2시 45분) 이후 885분 후에 실행되도록 설정되며, 매주 전체 검사는 수요일 자정(오후 2시 40분) 이후 880분 후에 실행됩니다.
Intune 경우:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint settings</string>
<key>PayloadDescription</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadType</key>
<string>com.microsoft.wdav</string>
<key>PayloadOrganization</key>
<string>Microsoft</string>
<key>PayloadIdentifier</key>
<string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
<key>PayloadDisplayName</key>
<string>Microsoft Defender for Endpoint configuration settings</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</array>
</dict>
</plist>
- 파일을 로
com.microsoft.wdav.mobileconfig저장합니다.
JamF 및 기타 타사 MDM의 경우
- 텍스트 편집기를 열고 이 예제를 사용합니다.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>features</key>
<dict>
<key>scheduledScan</key>
<string>enabled</string>
</dict>
<key>scheduledScan</key>
<dict>
<key>ignoreExclusions</key>
<true/>
<key>lowPriorityScheduledScan</key>
<true/>
<key>dailyConfiguration</key>
<dict>
<key>timeOfDay</key>
<integer>885</integer>
<key>interval</key>
<string>1</string>
</dict>
<key>weeklyConfiguration</key>
<dict>
<key>dayOfWeek</key>
<integer>4</integer>
<key>timeOfDay</key>
<integer>880</integer>
<key>scanType</key>
<string>full</string>
</dict>
</dict>
</dict>
</plist>
파일을 로
com.microsoft.wdav.plist저장합니다.예약된 검사가 "기본 설정 설정"을 통해 구성되었는지 확인합니다.
mdatp health --details scheduled_scan결과에서 [관리]를 볼 수 있어야 합니다.
옵션 3: CLI 도구를 통해 예약된 검사 구성
예약된 검사 기능을 사용하도록 설정하려면 다음을 수행합니다.
| 버전 | 명령 |
|---|---|
| 버전 101.23122.x 이상 | sudo mdatp config scheduled-scan settings feature --value enabled |
매시간 빠른 검사를 예약하려면 다음을 수행합니다.
| 버전 | 명령 |
|---|---|
| 버전 101.23122.x 이상 | sudo mdatp config scheduled-scan quick-scan hourly-interval --value \<arg\> |
매일 빠른 검사를 예약하려면 다음을 수행합니다.
| 버전 | 명령 |
|---|---|
| 버전 101.23122.x 이상 | sudo mdatp config scheduled-scan quick-scan time-of-day --value \<arg\> |
주간 검사를 예약하려면 다음을 수행합니다.
| 버전 | 명령 |
|---|---|
| 버전 101.23122.x 이상 | sudo mdatp config scheduled-scan weekly-scan --day-of-week \<arg\> --time-of-day \<arg\>--scan-type \<arg\> |
다른 구성 옵션의 경우:
예약된 검사 전에 정의 업데이트를 검사 하려면 다음을 수행합니다.
sudo mdatp config scheduled-scan settings check-for-definitions --value true예약된 검사에 우선 순위가 낮은 스레드를 사용하려면 다음을 수행합니다.
sudo mdatp config scheduled-scan settings low-priority --value true
예약된 검사가 실행되어 있는지 확인합니다.
다음 명령을 사용합니다.
mdatp scan list
\<snip\>
중요
예약된 검사는 디바이스가 절전 모드인 동안 예약된 시간에 실행되지 않습니다. 대신 디바이스가 절전 모드에서 다시 시작될 때 예약된 검사가 실행됩니다. 디바이스가 꺼져 있으면 예약된 다음 검사 시간에 검사가 실행됩니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.