الحماية السحابية وتقديم العينات في برنامج الحماية من الفيروسات Microsoft Defender

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

• ماك

• ينكس

• Windows Server

يستخدم برنامج الحماية من الفيروسات Microsoft Defender العديد من الآليات الذكية للكشف عن البرامج الضارة. واحدة من أقوى القدرات هي القدرة على تطبيق قوة السحابة للكشف عن البرامج الضارة وإجراء تحليل سريع. تعمل الحماية السحابية وإرسال العينات التلقائية جنبا إلى جنب مع برنامج الحماية من الفيروسات Microsoft Defender للمساعدة في الحماية من التهديدات الجديدة والناشئة.

إذا تم الكشف عن ملف مريب أو ضار، يتم إرسال عينة إلى الخدمة السحابية للتحليل أثناء Microsoft Defender يحظر برنامج الحماية من الفيروسات الملف. بمجرد اتخاذ قرار، والذي يحدث بسرعة، يتم إصدار الملف أو حظره بواسطة برنامج الحماية من الفيروسات Microsoft Defender.

توفر هذه المقالة نظرة عامة على الحماية السحابية وإرسال العينة التلقائية في برنامج الحماية من الفيروسات Microsoft Defender. لمعرفة المزيد حول حماية السحابة، راجع حماية السحابة ومكافحة الفيروسات Microsoft Defender.

كيفية عمل الحماية السحابية وتقديم العينات معا

لفهم كيفية عمل الحماية السحابية مع إرسال العينة، قد يكون من المفيد فهم كيفية حماية Defender لنقطة النهاية من التهديدات. يراقب Microsoft Intelligent Security Graph بيانات التهديد من شبكة واسعة من أجهزة الاستشعار. طبقات Microsoft نماذج التعلم الآلي المستندة إلى السحابة التي يمكنها تقييم الملفات استنادا إلى إشارات من العميل والشبكة الواسعة من أدوات الاستشعار والبيانات في Intelligent Security Graph. يمنح هذا الأسلوب Defender لنقطة النهاية القدرة على حظر العديد من التهديدات التي لم يسبق لها مثيل.

تصور الصورة التالية تدفق الحماية السحابية وتقديم العينة باستخدام برنامج الحماية من الفيروسات Microsoft Defender:

Microsoft Defender الحماية من الفيروسات والسحابة تلقائيا حظر معظم التهديدات الجديدة التي لم يسبق لها مثيل من قبل من النظرة الأولى باستخدام الطرق التالية:

1. نماذج التعلم الآلي الخفيفة المستندة إلى العميل، مما يمنع البرامج الضارة الجديدة وغير المعروفة.

2. تحليل سلوكي محلي، وإيقاف الهجمات المستندة إلى الملف والهجمات التي لا تعتمد على الملف.

3. مكافحة الفيروسات عالية الدقة، والكشف عن البرامج الضارة الشائعة من خلال تقنيات عامة واستدلالية.

4. يتم توفير حماية متقدمة مستندة إلى السحابة للحالات التي يحتاج فيها برنامج الحماية من الفيروسات Microsoft Defender الذي يعمل على نقطة النهاية إلى مزيد من الذكاء للتحقق من هدف ملف مشبوه.

   1. في حالة عدم تمكن برنامج الحماية من الفيروسات من تحديد Microsoft Defender بوضوح، يتم إرسال بيانات تعريف الملف إلى خدمة الحماية السحابية. في كثير من الأحيان ضمن ميلي ثانية، يمكن لخدمة حماية السحابة تحديد استنادا إلى بيانات التعريف فيما يتعلق بما إذا كان الملف ضارا أم لا.

      • يمكن أن يكون الاستعلام السحابي لبيانات تعريف الملف نتيجة للسلوك أو علامة الويب أو خصائص أخرى حيث لا يتم تحديد حكم واضح.
      • يتم إرسال حمولة بيانات تعريف صغيرة، بهدف الوصول إلى حكم بشأن البرامج الضارة أو عدم وجود تهديد. لا تتضمن بيانات التعريف معلومات تعريف شخصية (PII). يتم تجزئة معلومات مثل أسماء الملفات.
      • يمكن أن يكون متزامنا أو غير متزامن. للمزامنة، لن يفتح الملف حتى تصدر السحابة حكما. بالنسبة إلى غير متزامن، يفتح الملف أثناء إجراء الحماية السحابية لتحليله.
      • يمكن أن تتضمن بيانات التعريف سمات PE وسمات الملفات الثابتة والسمات الديناميكية والسياقية والمزيد (راجع أمثلة بيانات التعريف المرسلة إلى خدمة الحماية السحابية).

   2. بعد فحص بيانات التعريف، إذا لم تتمكن الحماية السحابية من برنامج الحماية من الفيروسات Microsoft Defender من الوصول إلى حكم قاطع، فيمكنها طلب عينة من الملف لمزيد من الفحص. يكرم هذا الطلب تكوين الإعدادات لنموذج الإرسال:

      1. إرسال عينات آمنة تلقائيا

         • العينات الآمنة هي عينات تعتبر لا تحتوي عادة على بيانات PII مثل: .bat و.scr .dll .exe.
         • إذا كان من المحتمل أن يحتوي الملف على PII، يحصل المستخدم على طلب للسماح بتقديم نموذج الملف.
         • هذا الخيار هو الخيار الافتراضي على Windows وmacOS وLinux.

      2. المطالبة دائما

         • إذا تم تكوينه، تتم مطالبة المستخدم دائما بالموافقة قبل إرسال الملف
         • هذا الإعداد غير متوفر في حماية السحابة macOS وLinux

      3. إرسال جميع العينات تلقائيا

         • إذا تم تكوينها، يتم إرسال جميع العينات تلقائيا
         • إذا كنت ترغب في أن يتضمن إرسال العينة وحدات ماكرو مضمنة في مستندات Word، فيجب عليك اختيار "إرسال جميع العينات تلقائيا"
         • هذا الإعداد غير متوفر على حماية سحابة macOS

      4. عدم الإرسال

         • يمنع "الحظر من النظرة الأولى" استنادا إلى تحليل عينة الملف
         • "عدم الإرسال" هو ما يعادل إعداد "معطل" في نهج macOS وإعداد "بلا" في نهج Linux.
         • يتم إرسال بيانات التعريف للكشف حتى عند تعطيل إرسال العينة

   3. بعد إرسال الملفات إلى حماية السحابة، يمكن فحص الملفات المرسلة وتفجيرها ومعالجتها من خلال نماذج التعلم الآليلتحليل البيانات الضخمة للوصول إلى حكم. يؤدي إيقاف تشغيل الحماية المقدمة من السحابة إلى تحليل ما يمكن للعميل توفيره فقط من خلال نماذج التعلم الآلي المحلية والوظائف المماثلة.

هام

يوفر الحظر من النظرة الأولى (BAFS) التفجير والتحليل لتحديد ما إذا كان الملف أو العملية آمنة. يمكن أن يؤخر BAFS فتح ملف مؤقتا حتى يتم التوصل إلى حكم. إذا قمت بتعطيل إرسال العينة، يتم أيضا تعطيل BAFS، ويقتصر تحليل الملفات على بيانات التعريف فقط. نوصي بإبقاء إرسال العينة وتمكين BAFS. لمعرفة المزيد، راجع ما هي "الكتلة من النظرة الأولى"؟

مستويات حماية السحابة

يتم تمكين الحماية السحابية بشكل افتراضي في برنامج الحماية من الفيروسات Microsoft Defender. نوصي بالاحتفاظ بحماية السحابة ممكنة، على الرغم من أنه يمكنك تكوين مستوى الحماية لمؤسستك. راجع تحديد مستوى الحماية المقدمة من السحابة لبرنامج الحماية من الفيروسات Microsoft Defender.

عينة إعدادات الإرسال

بالإضافة إلى تكوين مستوى الحماية السحابية، يمكنك تكوين إعدادات إرسال العينة. يمكنك الاختيار من بين عدة خيارات:

• إرسال عينات آمنة تلقائيا (السلوك الافتراضي)
• إرسال جميع العينات تلقائيا
• عدم إرسال عينات

تلميح

Send all samples automatically يوفر استخدام الخيار أمانا أفضل، لأن هجمات التصيد الاحتيالي تستخدم لكمية كبيرة من هجمات الوصول الأولية. للحصول على معلومات حول خيارات التكوين باستخدام Intune أو Configuration Manager أو نهج المجموعة أو PowerShell، راجع تشغيل الحماية السحابية في برنامج الحماية من الفيروسات Microsoft Defender.

أمثلة على بيانات التعريف المرسلة إلى خدمة الحماية السحابية

يسرد الجدول التالي أمثلة على بيانات التعريف المرسلة للتحليل بواسطة حماية السحابة:

نوع	السمه
سمات الجهاز	OS version Processor Security settings
السمات الديناميكية والسياقية	المعالجة والتثبيت ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships السلوكيه Connection IPs System changes API calls Process injection الإعدادات المحلية Locale setting Geographical location
سمات الملف الثابت	تجزئات جزئية وكاملة ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 خصائص الملف FileName FileSize معلومات الموقع AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash

يتم التعامل مع العينات كبيانات العملاء

فقط في حال كنت تتساءل عما يحدث مع عمليات إرسال العينات، يعامل Defender for Endpoint جميع عينات الملفات كبيانات عميل. تحترم Microsoft اختيارات استبقاء البيانات والجغرافية التي حددتها مؤسستك عند الإلحاق ب Defender لنقطة النهاية.

بالإضافة إلى ذلك، حصل Defender لنقطة النهاية على شهادات توافق متعددة، مما يدل على استمرار الالتزام بمجموعة متطورة من عناصر التحكم في التوافق:

• ISO 27001
• ISO 27018
• SOC I، II، III
• Pci

لمزيد من المعلومات، راجع الموارد التالية:

• عروض توافق Azure
• Service Trust Portal
• Microsoft Defender لنقطة النهاية تخزين البيانات والخصوصية

سيناريوهات إرسال نموذج ملف أخرى

هناك سيناريوهان إضافيان حيث قد يطلب Defender لنقطة النهاية عينة ملف غير مرتبطة بحماية السحابة في برنامج الحماية من الفيروسات Microsoft Defender. يتم وصف هذه السيناريوهات في الجدول التالي:

السيناريو	الوصف
مجموعة نماذج الملفات اليدوية في مدخل Microsoft Defender	عند إلحاق الأجهزة ب Defender لنقطة النهاية، يمكنك تكوين إعدادات الكشف عن نقطة النهاية والاستجابة لها (EDR). على سبيل المثال، هناك إعداد لتمكين مجموعات العينات من الجهاز، والذي يمكن الخلط بسهولة مع إعدادات إرسال العينة الموضحة في هذه المقالة. يتحكم إعداد EDR في مجموعة عينات الملفات من الأجهزة عند طلبها من خلال مدخل Microsoft Defender، ويخضع للأدوار والأذونات التي تم إنشاؤها بالفعل. يمكن أن يسمح هذا الإعداد بمجموعة الملفات أو حظرها من نقطة النهاية لميزات مثل التحليل العميق في مدخل Microsoft Defender. إذا لم يتم تكوين هذا الإعداد، فإن الإعداد الافتراضي هو تمكين مجموعة العينات. تعرف على إعدادات تكوين Defender لنقطة النهاية، راجع: أدوات وأساليب الإلحاق للأجهزة Windows 10 في Defender لنقطة النهاية
تحليل محتوى التحقيق والاستجابة التلقائي	عند تشغيل التحقيقات التلقائية على الأجهزة (عند تكوينها للتشغيل تلقائيا استجابة لتنبيه أو تشغيل يدوي)، يمكن جمع الملفات التي تم تحديدها على أنها مشبوهة من نقاط النهاية لمزيد من الفحص. إذا لزم الأمر، يمكن تعطيل ميزة تحليل محتوى الملف للتحقيقات التلقائية في مدخل Microsoft Defender. يمكن أيضا تعديل أسماء ملحقات الملفات لإضافة أو إزالة الملحقات الخاصة بأنواع الملفات الأخرى التي سيتم إرسالها تلقائيا أثناء التحقيق التلقائي. لمعرفة المزيد، راجع إدارة تحميلات ملفات التنفيذ التلقائي.

تلميح

إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender for Endpoint على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

راجع أيضًا

نظرة عامة حول حماية الجيل التالي

تكوين المعالجة لاكتشافات Microsoft Defender مكافحة الفيروسات.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.