이 문서는 Linux 서버에서 엔드포인트용 Microsoft Defender 오프보딩하거나 제거해야 하는 IT 관리자 및 보안 전문가를 위한 것입니다. 오프보딩과 제거의 차이점을 설명하고, 시나리오에 적합한 옵션을 결정하는 데 도움이 되며, 각 메서드에 대한 단계별 지침을 제공합니다. 또한 오프보딩 및 제거된 디바이스가 Microsoft Defender 포털에 표시되는 방법을 설명합니다.
개요
엔드포인트용 Defender에서 디바이스를 오프보딩하거나 Defender 애플리케이션을 제거하면 새 검색, 취약성 또는 보안 데이터가 Microsoft Defender 포털로 전송되지 않습니다. 디바이스를 오프보딩한 지 7일 후 센서 상태가 비활성 상태로 변경됩니다. 오프보딩되거나 제거된 디바이스에 대한 경고, 취약성 및 디바이스 타임라인 같은 과거 데이터는 구성된 보존 기간이 만료될 때까지 Microsoft Defender 포털에 계속 표시됩니다. 또한 최대 180일 동안 디바이스 인벤토리에 디바이스 프로필(데이터 없음)이 표시됩니다. 지난 30일 이내에 활성화되지 않은 디바이스는 organization 노출 점수에 포함되지 않습니다.
활성 디바이스에 대해서만 데이터를 보려면 센서 상태, 디바이스 태그 또는 디바이스 그룹과 같은 필터를 사용할 수 있습니다.
오프보딩과 제거의 차이점은 무엇인가요?
오프보딩과 제거 사이에는 중요한 차이점이 있습니다.
- 오프보딩하면 Defender 서비스에서 디바이스의 연결이 끊어지므로 에이전트를 설치한 상태로 두는 동안 보안 데이터 전송이 중지됩니다.
- 제거하면 엔드포인트용 Defender 소프트웨어 및 서비스가 디바이스에서 완전히 제거되고 보안 데이터 전송이 중지됩니다.
오프보딩과 제거 중에서 선택하는 방법
Defender 애플리케이션을 Linux 서버에 설치한 상태로 유지하면서 Defender가 Defender 서비스와의 통신을 일시적으로 중지하려는 경우 오프보딩합니다. 에이전트를 다시 설치하지 않고 나중에 Defender를 다시 사용하도록 설정하려는 경우 이 옵션을 사용하는 것이 좋습니다. 예를 들어 Defender 애플리케이션 문제를 해결해야 하거나 서버에서 유지 관리를 수행하는 동안 Defender를 일시적으로 중지하려는 경우 오프보딩할 수 있습니다.
설치 링(Prod/Insider Slow/Insider Fast)을 변경하거나 디바이스에서 Microsoft Defender 더 이상 사용하지 않으려는 경우와 같이 Linux 서버에서 Defender 애플리케이션을 완전히 제거하려는 경우 제거합니다.
오프보딩 및 제거된 디바이스는 어떻게 작동합니까?
디바이스가 성공적으로 오프보딩되거나 제거된 후 Defender 애플리케이션은 다음과 같이 작동합니다.
- 원격 분석(예: 경고 및 취약성)을 Microsoft Defender 포털로 보내는 것을 중지합니다.
- 그것은 허가되지 않고 비기능이됩니다.
- Microsoft Defender 통해 적용된 보안 정책이 제거됩니다.
오프보딩 및 제거된 디바이스는 Defender 포털에 어떻게 표시합니까?
- 원격 분석 없이 7일 후에 오프보딩되거나 제거된 디바이스의 센서 상태가 비활성 으로 변경됩니다.
- 오프보딩 및 제거된 디바이스는 최대 180일 동안 계속 표시됩니다. 데이터 보존에 대한 자세한 내용은 데이터 스토리지 및 개인 정보 엔드포인트용 Microsoft Defender 참조하세요.
- 보존 기간 동안 기록 데이터(경고, 타임라인, 소프트웨어 인벤토리)에 액세스할 수 있습니다.
- 명시적 오프보딩 또는제거된 레이블은 포털에 표시되지 않습니다. 오프보딩 또는 제거된 디바이스와 연결이 끊어지거나 비활성 상태인 디바이스를 구분하려면 오프보딩하거나 제거하기 전에 디바이스에 태그를 추가하는 것이 좋습니다. 이렇게 하면 나중에 해당 디바이스를 더 쉽게 식별하고 필터링할 수 있습니다.
장치 오프보딩
두 가지 메서드를 사용하여 엔드포인트용 Microsoft Defender Linux 서버를 오프보딩할 수 있습니다.
- 스크립트를 사용하여 오프보딩
- 오프보딩 JSON 파일을 사용하여 오프보딩합니다.
두 방법 모두 동일한 결과를 얻을 수 있으므로 시나리오에 가장 적합한 방법을 선택할 수 있습니다.
스크립트를 사용하여 오프보딩
Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
탐색 창의 시스템 아래에서 설정>엔드포인트를 선택한 다음, 디바이스 관리에서 오프보딩을 선택합니다.
운영 체제로 Linux 서버를 선택한 다음 배포 방법 섹션에서 로컬 스크립트를 선택합니다.
패키지 다운로드를 선택한 다음 다운로드를 선택합니다. 다운로드되는 압축된 폴더의 이름은 WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (여기서 YYYY-MM-DD는 패키지의 만료 날짜임).
Linux 서버에서 ZIP 파일의 내용을 로컬 디렉터리에 추출합니다.
터미널을 열고 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD 파일이 있는 디렉터리로 이동합니다.
터미널에 를 입력
sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py합니다. 엔드포인트용 Microsoft Defender 디바이스를 오프보딩하는 오프보딩 스크립트를 실행합니다.
오프보딩 JSON 파일을 사용하여 오프보딩
참고
이 메서드는 원하는 Linux 구성 관리 도구를 사용하여 수동으로 또는 자동으로 수행할 수 있습니다.
- Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
- 탐색 창의 시스템 아래에서 설정>엔드포인트를 선택한 다음, 디바이스 관리에서 오프보딩을 선택합니다.
- 운영 체제로 Linux 서버를 선택한 다음 배포 방법 섹션에서 기본 설정 Linux 구성 관리 도구를 선택합니다.
- 패키지 다운로드를 선택한 다음 다운로드를 선택합니다. 압축된 폴더의 이름은 WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (여기서 YYYY-MM-DD는 패키지의 만료 날짜임).
- ZIP 파일의 내용을 추출하고 mdatp_offboard.json 파일을 찾습니다.
-
Linux 서버의 다음 위치에 mdatp_offboard.json 복사합니다.
/etc/opt/microsoft/mdatp/mdatp_offboard.json
Linux 서버에서 Defender 애플리케이션 제거
두 가지 방법을 사용하여 Linux 서버에서 Defender 애플리케이션을 제거할 수 있습니다. Defender 배포 도구(권장) 또는 수동 제거를 사용하여 제거합니다. 두 방법 모두 동일한 결과를 얻을 수 있으므로 시나리오에 가장 적합한 방법을 선택할 수 있습니다.
Defender 배포 도구를 사용하여 제거(권장)
단일 단계에서 Defender 애플리케이션을 제거할 수 있으므로 권장되는 방법입니다.
Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
탐색 창의 시스템 아래에서 설정>엔드포인트를 선택한 다음, 디바이스 관리에서 온보딩을 선택합니다.
운영 체제로 Linux 서버를 선택합니다.
배포 방법으로 Defender 배포 도구로 이동하여 패키지 다운로드 (ZIP 파일이 다운로드됨)를 선택합니다.
패키지를 추출하고 다음 명령을 실행합니다. 그러면 Defender 애플리케이션이 제거되고 리포지토리가 정리됩니다.
./defender_deployment_tool.sh --remove --clean
수동 제거
Defender 애플리케이션을 수동으로 제거하고 리포지토리를 클린 다음 명령 중 하나를 실행합니다(Linux 배포에 따라 적절한 명령 중 하나).
RHEL(Red Hat Enterprise Linux) 및 변형(CentOS 및 Oracle Linux)
sudo yum remove mdatp
또는
sudo dnf remove mdatp
SLES(SUSE Linux Enterprise Server) 및 변형
sudo zypper remove mdatp
Ubuntu 및 Debian
sudo apt-get purge mdatp
마리너
sudo dnf remove mdatp
디바이스의 오프보딩 상태를 확인하는 방법
디바이스의 오프보딩 상태를 확인하려면 다음 명령을 실행합니다.
mdatp health --field health_issues
예상 출력
ATTENTION: No license found. Contact your administrator for help. ["missing license"]
Defender 애플리케이션은 수동으로 제거되지 않는 한 디바이스에 설치된 상태로 유지됩니다.