제외 개요

엔드포인트용 Microsoft Defender 및 비즈니스용 Defender 고급 사이버 위협을 방지, 탐지, 조사 및 대응하는 다양한 기능을 포함합니다. Microsoft는 제품이 설치된 운영 체제에서 잘 작동하도록 제품을 미리 구성합니다. 다른 변경은 필요하지 않습니다. 미리 구성된 설정에도 불구하고 예기치 않은 동작이 발생하는 경우가 있습니다. 다음은 몇 가지 예입니다.

• 가양성: 실제로 위협이 아닌 파일, 폴더 또는 프로세스는 엔드포인트용 Defender 또는 Microsoft Defender 바이러스 백신에서 악성으로 검색할 수 있습니다. 이러한 엔터티는 위협이 아니더라도 차단되거나 격리로 전송될 수 있습니다.
• 성능 문제: 엔드포인트용 Defender를 사용하여 실행할 때 시스템에서 예기치 않은 성능 영향을 경험합니다.
• 애플리케이션 호환성 문제: 엔드포인트용 Defender를 사용하여 실행할 때 애플리케이션에서 예기치 않은 동작이 발생합니다.

제외를 만드는 것은 이러한 유형의 문제를 해결하기 위한 한 가지 가능한 방법입니다. 그러나 종종 수행할 수 있는 다른 단계가 있습니다. 이 문서에는 지표 및 제외에 대한 개요를 제공하는 것 외에도 제외 및 허용 지표를 만드는 대안이 포함되어 있습니다.

고려해야 할 문제 및 단계의 예

제외를 만들고 표시기를 허용하는 대안

제외 또는 허용 표시기를 만들면 보호 간격이 만들어집니다. 이러한 기술은 문제의 근본 원인을 결정한 후에만 사용해야 합니다. 이 결정을 내릴 때까지 다음 대안을 고려합니다.

• 분석을 위해 Microsoft에 파일 제출
• 경고 표시 안 함

분석을 위해 파일 제출

잘못 검색된 파일이 맬웨어(가양성) 또는 검색되지 않았더라도 맬웨어일 수 있다고 의심되는 파일(거짓 부정)이 있는 경우 분석을 위해 Microsoft에 파일을 제출할 수 있습니다. 제출은 즉시 검사되고 Microsoft 보안 분석가가 검토합니다. 제출 기록 페이지에서 제출의 상태 검사 수 있습니다.

분석을 위해 파일을 제출하면 모든 고객의 가양성 및 거짓 부정을 줄일 수 있습니다. 자세한 내용은 다음 문서를 참조하세요.

• 분석을 위해 파일 제출 (모든 고객이 사용할 수 있음)
• 엔드포인트용 Defender의 새 통합 제출 포털을 사용하여 파일 제출(엔드포인트용 Defender 플랜 2 또는 Microsoft Defender XDR 고객이 사용할 수 있음)

경고 표시 안 함

Microsoft Defender 포털에서 실제로 위협이 아니라고 알고 있는 도구 또는 프로세스에 대한 경고를 받는 경우 해당 경고를 표시하지 않을 수 있습니다. 경고를 표시하지 않하려면 표시 안 함 규칙을 만들고 동일한 다른 경고에 대해 수행할 작업을 지정합니다. 단일 디바이스의 특정 경고 또는 organization 타이틀이 동일한 모든 경고에 대해 표시 안 함 규칙을 만들 수 있습니다.

자세한 내용은 다음 문서를 참조하세요.

• 경고 표시 안 함
• 기술 커뮤니티 블로그: 새로운 경고 억제 환경 소개 (엔드포인트용 Defender용)

제외 유형

고려해야 할 몇 가지 유형의 제외가 있습니다. 일부 유형의 제외는 엔드포인트용 Defender의 여러 기능에 영향을 미치는 반면, 다른 형식은 Microsoft Defender 바이러스 백신과 관련이 있습니다.

• 사용자 지정 제외: 특정 사용 사례 또는 시나리오 및 Mac, Linux 및 Windows와 같은 특정 운영 체제에 대해 정의하는 제외입니다.
• 미리 구성된 바이러스 백신 제외: 자동 서버 역할 제외 및 기본 제공 바이러스 백신 제외와 같이 정의할 필요가 없는 제외입니다. 이러한 항목을 정의할 필요는 없지만, 정의할 필요가 없더라도 해당 항목이 무엇인지와 작동 방식을 아는 것이 좋습니다.
• 공격 표면 감소 제외: 공격 표면 감소 기능이 organization 사용할 수 있는 합법적인 애플리케이션을 차단하는 것을 방지하기 위한 제외입니다.
• Automation 폴더 제외: 자동화된 조사 및 수정 기능이 특정 파일 또는 폴더에 적용되지 않도록 정의한 제외입니다.
• 제어된 폴더 액세스 제외: 특정 앱 또는 실행 파일이 보호된 폴더에 액세스할 수 있도록 하는 제외입니다.
• 사용자 지정 수정 작업: 특정 유형의 검색 시 Microsoft Defender 바이러스 백신에 대해 지정하는 작업입니다.

지표에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 지표 개요를 참조하세요.

사용자 지정 제외

엔드포인트용 Microsoft Defender 사용하면 성능을 최적화하고 가양성 방지를 위해 사용자 지정 제외를 구성할 수 있습니다. 설정할 수 있는 제외 유형은 엔드포인트용 Defender 기능 및 운영 체제에 따라 달라집니다.

다음 표에서는 정의할 수 있는 사용자 지정 제외 유형을 요약합니다. 각 제외 유형에 대한 scope 확인합니다.

Mac에서 제외

macOS의 경우 주문형 검사, 실시간 보호 및 모니터링에 적용되는 제외를 정의할 수 있습니다. 지원되는 제외 유형은 다음과 같습니다.

• 파일 확장명: 특정 확장자를 가진 모든 파일을 제외합니다.
• 파일: 전체 경로로 식별되는 특정 파일을 제외합니다.
• 폴더: 지정된 폴더 아래의 모든 파일을 재귀적으로 제외합니다.
• 프로세스: 특정 프로세스 및 해당 프로세스에서 연 모든 파일을 제외합니다.

자세한 내용은 macOS에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사를 참조하세요.

Linux에서 제외

Linux에서 바이러스 백신 및 전역 제외를 모두 구성할 수 있습니다.

• 바이러스 백신 제외: 주문형 검사, RTP(실시간 보호) 및 BM(동작 모니터링)에 적용됩니다.
• 전역 제외: RTP(실시간 보호), BM(동작 모니터링) 및 EDR(엔드포인트 검색 및 응답)에 적용하여 관련된 모든 바이러스 백신 검색 및 EDR 경고를 중지합니다.

자세한 내용은 Linux의 엔드포인트용 Microsoft Defender에 대한 제외 구성 및 유효성 검사를 참조하세요.

Windows에서 제외

Microsoft Defender 바이러스 백신은 예약된 검사, 주문형 검사 및 실시간 보호에서 프로세스, 파일 및 확장의 조합을 제외하도록 구성할 수 있습니다. Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외 구성을 참조하세요.

보호 격차를 최소화하는 데 도움이 되는 보다 세부적인 제어를 위해 컨텍스트 파일 및 프로세스 제외를 사용하는 것이 좋습니다.

바이러스 백신 미리 구성된 제외

이러한 제외 형식은 Microsoft Defender 바이러스 백신에 대한 엔드포인트용 Microsoft Defender 미리 구성됩니다.

자동 서버 역할 제외

자동 서버 역할 제외에는 Windows Server 2016 이상의 서버 역할 및 기능에 대한 제외가 포함됩니다. 이러한 제외는 실시간 보호 에 의해 검사되지 않지만 빠른, 전체 또는 주문형 바이러스 백신 검사의 대상이 됩니다.

예를 들면 다음과 같습니다.

• FRS(파일 복제 서비스)
• Hyper-V
• SYSVOL
• PowerShell 연결
• DNS 서버
• 인쇄 서버
• 웹 서버
• Windows Server Update Services
• ... 을 선택합니다.

자세한 내용은 자동 서버 역할 제외를 참조하세요.

기본 제공 바이러스 백신 제외

기본 제공 바이러스 백신 제외에는 모든 버전의 Windows(Windows 10, Windows 11 및 Windows Server 포함)에서 Microsoft Defender 바이러스 백신에서 제외되는 특정 운영 체제 파일이 포함됩니다.

예를 들면 다음과 같습니다.

• %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
• %allusersprofile%\NTUser.pol
• 파일 Windows 업데이트
• 파일 Windows 보안
• 그리고 더 많은 것들이 있습니다.

위협 환경이 변경됨에 따라 Windows의 기본 제공 제외 목록은 최신 상태로 유지됩니다. 이러한 제외에 대한 자세한 내용은 Windows Server에서 바이러스 백신 제외 Microsoft Defender: 기본 제공 제외를 참조하세요.

공격 표면 감소 제외

공격 표면 감소 규칙 (ASR 규칙이라고도 함)은 다음과 같은 특정 소프트웨어 동작을 대상으로 합니다.

• 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트 시작
• 난독화되거나 의심스러운 것처럼 보이는 스크립트 실행
• 일반적인 일상적인 작업 중에 앱이 일반적으로 시작되지 않는 동작 수행

경우에 따라 합법적인 애플리케이션은 공격 표면 감소 규칙에 의해 차단될 수 있는 소프트웨어 동작을 나타냅니다. organization 발생하는 경우 특정 파일 및 폴더에 대한 제외를 정의할 수 있습니다. 이러한 제외는 모든 공격 표면 감소 규칙에 적용됩니다. 공격 표면 감소 규칙 사용을 참조하세요.

Automation 폴더 제외

자동화 폴더 제외는 경고를 검사하고 검색된 위반을 resolve 즉각적인 조치를 취하도록 설계된 엔드포인트용 Defender의 자동화된 조사 및 수정에 적용됩니다. 경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거에 대한 평결(악의적인, 의심스러운 또는 위협 없음)에 도달합니다. 자동화 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 발생할 수 있습니다.

폴더, 특정 디렉터리의 파일 확장명 및 자동 조사 및 수정 기능에서 제외할 파일 이름을 지정할 수 있습니다. 이러한 자동화 폴더 제외는 엔드포인트용 Defender에 온보딩된 모든 디바이스에 적용됩니다. 이러한 제외는 여전히 바이러스 백신 검사의 적용을 받습니다.

자세한 내용은 Automation 폴더 제외 관리를 참조하세요.

제어된 폴더 액세스 제외

제어된 폴더 액세스 는 악성으로 검색되고 Windows 디바이스에서 특정(보호된) 폴더의 콘텐츠를 보호하는 활동에 대한 앱을 모니터링합니다. 제어된 폴더 액세스를 사용하면 신뢰할 수 있는 앱만 일반적인 시스템 폴더(부팅 섹터 포함) 및 지정한 다른 폴더와 같은 보호된 폴더에 액세스할 수 있습니다. 제외를 정의하여 특정 앱 또는 서명된 실행 파일이 보호된 폴더에 액세스하도록 허용할 수 있습니다.

자세한 내용은 제어된 폴더 액세스 사용자 지정을 참조하세요.

사용자 지정 수정 작업

Microsoft Defender 바이러스 백신이 검사를 실행하는 동안 잠재적 위협을 감지하면 검색된 위협을 수정하거나 제거하려고 시도합니다. 사용자 지정 수정 작업을 정의하여 Microsoft Defender 바이러스 백신이 특정 위협을 해결하는 방법, 복원 지점을 수정하기 전에 만들어야 하는지 여부 및 위협을 제거해야 하는 시기를 구성할 수 있습니다.

자세한 내용은 Microsoft Defender 바이러스 백신 검색에 대한 수정 작업 구성을 참조하세요.

제외 및 지표 평가 방법

대부분의 조직에는 사용자가 파일 또는 프로세스에 액세스하고 사용할 수 있어야 하는지 여부를 결정하는 여러 가지 유형의 제외 및 지표가 있습니다. 제외 및 지표는 정책 충돌이 체계적으로 처리되도록 특정 순서로 처리됩니다.

작동 방식은 다음과 같습니다.

1. 검색된 파일/프로세스가 Windows Defender 애플리케이션 제어 및 AppLocker에서 허용되지 않으면 차단됩니다. 그렇지 않으면 Microsoft Defender 바이러스 백신으로 진행됩니다.

2. 검색된 파일/프로세스가 Microsoft Defender 바이러스 백신에 대한 제외의 일부가 아닌 경우 차단됩니다. 그렇지 않으면 엔드포인트용 Defender에서 파일/프로세스에 대한 사용자 지정 표시기를 확인합니다.

3. 검색된 파일/프로세스에 차단 또는 경고 표시기가 있는 경우 해당 작업이 수행됩니다. 그렇지 않으면 파일/프로세스가 허용되고 공격 표면 감소 규칙, 제어된 폴더 액세스 및 SmartScreen 보호에 의해 평가를 진행합니다.

4. 검색된 파일/프로세스가 공격 표면 감소 규칙, 제어된 폴더 액세스 또는 SmartScreen 보호에 의해 차단되지 않으면 Microsoft Defender 바이러스 백신으로 진행됩니다.

5. 검색된 파일/프로세스가 Microsoft Defender 바이러스 백신에서 허용되지 않는 경우 위협 ID에 따라 작업을 확인합니다.

정책 충돌 처리 방법

엔드포인트용 Defender 표시기가 충돌하는 경우 예상되는 내용은 다음과 같습니다.

• 충돌하는 파일 표시기가 있는 경우 가장 안전한 해시를 사용하는 표시기가 적용됩니다. 예를 들어 SHA256은 MD5보다 우선하는 SHA-1보다 우선합니다.

• 충돌하는 URL 표시기가 있는 경우 더 엄격한 표시기가 사용됩니다. Microsoft Defender SmartScreen의 경우 가장 긴 URL 경로를 사용하는 표시기가 적용됩니다. 예를 들어 는 www.dom.ain/admin/ 보다 우선합니다 www.dom.ain. (네트워크 보호 는 도메인 내의 하위 페이지가 아닌 도메인에 적용됩니다.)

• 다른 동작이 있는 파일 또는 프로세스에 대한 유사한 지표가 있는 경우 특정 디바이스 그룹으로 범위가 지정된 표시기가 모든 디바이스를 대상으로 하는 지표보다 우선합니다.

자동화된 조사 및 수정이 지표에서 작동하는 방식

엔드포인트용 Defender의 자동화된 조사 및 수정 기능은 먼저 각 증명 정보에 대한 평결을 결정한 다음 엔드포인트용 Defender 지표에 따라 작업을 수행합니다. 따라서 파일/프로세스는 "양호"(위협이 발견되지 않음을 의미)의 평결을 얻을 수 있으며 해당 동작에 대한 지표가 있는 경우 여전히 차단될 수 있습니다. 마찬가지로 엔터티는 "불량"(악의적인 것으로 확인됨)의 판결을 받을 수 있으며 해당 동작에 대한 지표가 있는 경우에도 계속 허용될 수 있습니다.

자세한 내용은 자동 조사 및 수정 및 지표를 참조하세요.

기타 서버 워크로드 및 제외

organization Exchange Server, SharePoint Server 또는 SQL Server 같은 다른 서버 워크로드를 사용하는 경우 Windows Server에서 기본 제공 서버 역할(나중에 설치하는 소프트웨어의 필수 구성 요소일 수 있음)만 자동 서버 역할 제외 기능(기본 설치 위치를 사용하는 경우에만)에서 제외된다는 점에 유의하세요. 자동 제외를 사용하지 않도록 설정하는 경우 이러한 다른 워크로드 또는 모든 워크로드에 대한 바이러스 백신 제외를 정의해야 할 수 있습니다.

다음은 필요한 제외를 식별하고 구현하기 위한 기술 설명서의 몇 가지 예입니다.

• Exchange Server 바이러스 백신 소프트웨어 실행
• SharePoint Server의 바이러스 백신 검사에서 제외할 폴더
• SQL Server 바이러스 백신 소프트웨어 선택

사용 중인 항목에 따라 해당 서버 워크로드에 대한 설명서를 참조해야 할 수 있습니다.

참고 항목

• 제외를 사용하여 일반적인 가양성 시나리오 해결
• Microsoft Defender 바이러스 백신에 대한 제외 구성
• 제외 정의 시 피해야 하는 일반적인 실수
• 엔드포인트용 Microsoft Defender 지표 개요