استكشف قدرات Microsoft Defender for Storage
يوفر Microsoft Defender for Storage ثلاث ركائز تكميلية للكشف تعمل معا لتحديد التهديدات التي تستهدف حسابات تخزين Azure الخاصة بك. على عكس ضوابط الشبكة التي تركز على من يمكنه الاتصال أو الوصول إلى السياسات التي تحدد الإجراءات المسموح بها، يحلل Defender ما يحدث — اكتشاف المحتوى الخبيث، أنماط النشاط المشبوهة، وسلوكيات الوصول الشاذة التي تشير إلى وقوع حادث أمني.
| عمود الكشف | ما الذي يحلل | سيناريوهات الكشف الرئيسية |
|---|---|---|
| مراقبة نشاط | سجلات البيانات ومستويات التحكم | أنماط وصول مشبوهة، شذوذات جغرافية، احتمال استخراج البيانات، سوء استخدام رموز SAS |
| فحص البرامج الضارة | المحتوى الملف المرفوع | ملفات خبيثة، تهديدات متعددة الأشكال، أنواع غير معروفة من البرمجيات الخبيثة |
| الكشف عن تهديدات البيانات الحساسة | النشاط الذي يستهدف الموارد المصنفة | عمليات مشبوهة على موارد تحتوي على بيانات حساسة |
اكتشاف أنماط النشاط المشبوهة من خلال المراقبة المستمرة
تقوم مراقبة النشاط بتحليل مستمر لعمليات البيانات ومستوى التحكم عبر مساحة تخزين Azure Blob وملفات Azure وAzure Data Lake Storage Gen2. تعمل المراقبة في طبقة خدمة التخزين، لذلك لا تحتاج إلى تفعيل سجلات التشخيص بشكل منفصل أو تكوين إعادة توجيه السجل. يستقبل Defender بيانات النشاط تلقائيا أثناء حدوث العمليات.
يستخدم محرك مراقبة النشاط Microsoft Threat Intelligence لاكتشاف أنماط تشير إلى وجود اختراق. عندما يصل وكيل ذكاء اصطناعي أو تطبيق إلى التخزين باستخدام رمز SAS من موقع جغرافي غير معتاد، يقوم Defender بتوليد تنبيه. عندما تشير عمليات القراءة المتسلسلة إلى سحب بيانات تلقائي، يقوم النظام بوضع علامة على السلوك. عندما يبدأ الوصول من عقدة خروج تور، يحدد بث استخبارات التهديد محاولة إخفاء الهوية.
بالنسبة للمنظمات التي تنشر خطوط أنابيب الذكاء الاصطناعي، تعالج مراقبة النشاط جانبا حرجا غير محمية: كيانات بلا هويات. تعمل ضوابط الأمان التقليدية القائمة على الهوية بشكل جيد عندما يقوم المستخدمون بالتحقق باستخدام بيانات اعتماد Microsoft Entra، لكن وكلاء الذكاء الاصطناعي والأنظمة الآلية غالبا ما يستخدمون رموز SAS للوصول إلى التخزين. تمنح هذه الرموز الوصول دون الحاجة إلى المتصل بالتحقق من هوية المستخدم أو الخدمة. تكتشف مراقبة النشاط متى تستخدم هذه الرموز بطرق تشير إلى اختراق—مثل الوصول من مواقع غير متوقعة، أو أحجام وصول غير معتادة، أو عمليات لا تتطابق مع أنماط السلوك الطبيعية للتطبيق.
امسح المحتوى المرفوع بحثا عن تهديدات البرمجيات الخبيثة
يعمل مسح البرمجيات الخبيثة على مستوى الملفات، حيث يحلل المحتوى عند وصوله إلى مخزن البيانات الثنائية الكبيرة. يستخدم محرك المسح برنامج Microsoft Defender Antivirus لإجراء تحليل محتوى كامل للملفات، مع تحديد توقيعات البرمجيات الخبيثة المعروفة وأنماط السلوك التي تشير إلى نية خبيثة.
يقوم المحرك بإجراء نوعين من التحليل. يقارن تحليل سمعة التجزئة قيمة التجزئة للملف بقواعد بيانات البرمجيات الخبيثة المعروفة، مما يوفر اكتشافا سريعا للتهديدات المعترف بها. يفحص المسح الكامل للمحتوى هيكل الملفات وأنماط الكود، ويكتشف البرمجيات الخبيثة متعددة الأشكال التي تغير توقيعها لتجنب الكشف القائم على التجزئة. يتناول هذا النهج الشامل سيناريو كونتوسو مباشرة: حتى لو كان الملف الخبيث فريدا، يمكن لتحليل المحتوى تحديد السلوكيات المشبوهة.
يعمل مسح البرمجيات الخبيثة كميزة إضافية مدفوعة يتم تحصيلها لكل جيجابايت يتم مسحها. تقوم المؤسسات بضبط المسح ليعمل عند الرفع للحماية في الوقت الحقيقي أو عند الطلب عند الاستجابة لمؤشرات التهديد. تدعم الخدمة حسابات مخزن البيانات الثنائية الكبيرة، مما يجعلها مثالية لحماية خطوط رفع الملفات. كما أنه مثالي لسير عمل معالجة المستندات ومستودعات بيانات تدريب الذكاء الاصطناعي.
أولوية التنبيهات بناء على حساسية البيانات
يثري اكتشاف تهديدات البيانات الحساسة تنبيهات Defender بمعلومات حول تصنيف البيانات. تتكامل هذه الميزة مع قدرات اكتشاف البيانات الحساسة في Microsoft Purview، حيث تحدد موارد التخزين التي تحتوي على معلومات حساسة بناء على سياسات تصنيف مؤسستك.
عندما يولد Defender تنبيها لنشاط مريب، يتحقق النظام مما إذا كان المورد المستهدف يحتوي على بيانات مصنفة. إذا كان حساب التخزين يحتوي على سجلات مالية مصنفة على أنها سرية، أو إذا كانت حاوية الكتلة تخزن معلومات شخصية مصنفة على أنها شديدة الحساسية، فإن Defender يضيف هذا السياق إلى التنبيه. يتلقى فريق عمليات الأمن تنبيهات ذات أولوية مسبقة بسبب حساسية البيانات، مما يسمح له بالتركيز على التهديدات التي تستهدف أصول المنظمة الأكثر قيمة.
على عكس مراقبة النشاط ومسح البرمجيات الخبيثة، فإن اكتشاف تهديدات البيانات الحساسة لا يولد أنواعا جديدة من التنبيهات. بدلا من ذلك، يعزز التنبيهات الموجودة مع سياق التصنيف. يقلل هذا النهج من إرهاق التنبيه مع ضمان حصول الحوادث المتعلقة ببيانات حساسة على الاهتمام المناسب. تدعم المؤسسات هذه الميزة دون أي تكلفة إضافية كجزء من خطة Defender for Storage.
قارن بين خيارات خطة Defender for Storage
تقدم Microsoft خطتين من Defender for Storage: الخطة الكلاسيكية والخطة الجديدة. الخطة الكلاسيكية تستخدم تسعير كل معاملة وتشمل تحليل سمعة التجزئة لاكتشاف البرمجيات الخبيثة. تستخدم الخطة الجديدة تسعيرا لكل حساب تخزين، وتشمل مسح البرمجيات الخبيثة بالكامل كإضافة قابلة للتكوين، وتوفر قدرات محسنة لاكتشاف تهديدات البيانات الحساسة.
يجب على المؤسسات التي تستخدم الخطة الكلاسيكية الانتقال إلى الخطة الجديدة للحصول على إمكانية الوصول إلى مسح شامل للبرمجيات الخبيثة، وخوارزميات اكتشاف محسنة، وتسعير أكثر توقعا. يجعل نموذج التسعير لكل حساب في الخطة الجديدة التنبؤ بالتكاليف أسهل للمؤسسات ذات حجم المعاملات العالي، كما توفر ميزات فحص البرمجيات الخبيثة حماية أفضل بكثير ضد التهديدات غير المعروفة.
جميع قدرات Defender for Storage تعمل دون الحاجة إلى نشر الوكيل. تحلل الخدمة النشاط في طبقة خدمة تخزين Azure، متكاملة مباشرة مع عمليات التحكم ومستوى البيانات في المنصة. تقلل هذه البنية التشغيلية بدون وكيل وتضمن تغطية متسقة عبر جميع حسابات التخزين المحمية.