تمكين ونشر Defender for Storage
يعمل Microsoft Defender for Storage على نطاقين للتفعيل: مستوى الاشتراك ومستوى الموارد. النطاق الذي تختاره يحدد أي حسابات التخزين تحصل على الحماية ومدى انتظام تطبيق التكوين عند إنشاء حسابات جديدة.
| نطاق التمكين | التغطية | أفضل ل | الحماية التلقائية للحسابات الجديدة |
|---|---|---|---|
| الاشتراك | جميع حسابات التخزين في الاشتراك | حماية متسقة على مستوى المنظمة | نعم |
| مورد | حسابات التخزين الفردية | الحماية الانتقائية مع تكوينات مخصصة | لا |
تفعيل الحماية على مستوى الاشتراك
يوفر تمكين الاشتراك أكثر وضع أمني اتساقا. عند تفعيل Defender for Storage في نطاق الاشتراك، تحصل جميع حسابات التخزين الموجودة في ذلك الاشتراك على الحماية فورا، وترث جميع حسابات التخزين المستقبلية الحماية تلقائيا. يمنع هذا النهج فجوات التغطية التي تحدث عندما تقوم فرق التطوير بإنشاء حسابات تخزين جديدة دون التنسيق مع فريق الأمن.
تغطي خط أنابيب مستندات الذكاء الاصطناعي في كونتوسو عدة حسابات تخزين—واحدة لرفع الشركاء، وأخرى للمستندات المعالجة، وواحدة لبيانات تدريب تعلم الآلة. مع تمكين الاشتراك، يحمي فريق الأمن جميع الحسابات الثلاثة بإجراء تكوين واحد. عندما ينشئ فريق تطوير الذكاء الاصطناعي حساب تخزين جديد لمخرجات التجارب الشهر المقبل، يحصل ذلك الحساب على الحماية تلقائيا دون الحاجة إلى إعدادات أمان إضافية.
تستخدم المؤسسات تمكين الاشتراك كوضع أمني افتراضي، ثم تستبعد حسابات محددة عند الحاجة. حساب التخزين المستخدم حصريا لبناء التعديلات المؤقتة في اشتراك غير إنتاجي قد لا يتطلب فحص البرمجيات الخبيثة للتحكم في التكاليف. يقوم فريق الأمان بتمكين Defender على مستوى الاشتراك، ثم يضبط استثناء لحساب القطع الأثرية في البناء مع الحفاظ على الحماية لجميع الموارد الأخرى.
Deploy using نهج Azure for consistent implementation
يوفر نهج Azure آلية النشر الموصى بها ل Defender for Storage. التعريف المدمج للسياسة "تكوين Microsoft Defender for Storage to be enabled" ينشئ تعيينا يتيح تلقائيا Defender على جميع الاشتراكات ضمن النطاق. يضمن النشر القائم على السياسات التكوين المتسق عبر المنظمة ويصلح فجوات التغطية عند إنشاء اشتراكات جديدة.
يتم نشر السياسات من خلال تأثير نشر إذا لم يكن موجودا. عندما يدخل الاشتراك في نطاق العمل—سواء لأنك أنشأت اشتراكا جديدا أو لأن سياسة مجموعة الإدارة تتدفق إلى الأسفل—يتحقق نهج Azure مما إذا كان Defender for Storage مفعلا. إذا كانت الخطة مفقودة أو غير مهيأة، تقوم السياسة بتفعيل مهمة معالجة تطبق التكوين الصحيح. هذا النهج الآلي يلغي التتبع اليدوي المطلوب عادة للحفاظ على تغطية الأمان مع نمو بيئة السحابة.
تقوم المؤسسات بتعيين السياسة ضمن نطاق مجموعة الإدارة لتغطية عدة اشتراكات بمهمة واحدة. تسمح لك معايير السياسة بتحديد ميزات Defender التي يجب تفعيلها: مراقبة النشاط (دائما مشمولة)، فحص البرمجيات الخبيثة (قابلة للتكوين)، وكشف تهديدات البيانات الحساسة (قابلة للتكوين). كما أنك تحدد الحد الشهري لفحص البرمجيات الخبيثة في معايير السياسات، لضمان تطبيق ضوابط التكاليف بشكل متسق على جميع الاشتراكات المحمية.
تكوين تمكين مستوى المورد للتحكم الدقيق
يوفر تمكين مستوى الموارد مرونة عندما تتطلب حسابات التخزين المختلفة تكوينات حماية مختلفة. حساب التحميل الشريك في كونتوسو يحتاج إلى فحص برمجيات خبيثة عدوانية مع حد شهري مرتفع لأنه يقبل محتوى خارجي غير موثوق. يحتاج حساب بيانات تدريب التعلم الآلي إلى مراقبة النشاط لكنه يمكنه تخطي مسح البرمجيات الخبيثة لأن علماء البيانات يرفعون فقط مجموعات بيانات تم التحقق منها داخليا. تسمح التكوين على مستوى الموارد لفريق الأمن بتحسين حماية كل حساب بناء على ملف المخاطر الخاص به.
تقوم بتفعيل Defender على مستوى الموارد عبر بوابة Azure من خلال التنقل إلى إعدادات الأمان في حساب التخزين. يمكنك أيضا تفعيله برمجيا باستخدام PowerShell، Azure CLI، واجهة برمجة تطبيقات REST، أو قوالب البنية التحتية ككود. التكوين على مستوى الموارد يتجاوز إعدادات مستوى الاشتراك لذلك الحساب المحدد. عندما توجد تكوينات على مستوى الاشتراك ومستوى الموارد، تكون إعدادات مستوى المورد هي الأولوية.
يتطلب تمكين الموارد اهتماما مستمرا بالإدارة. على عكس الحماية على مستوى الاشتراك مع تطبيق السياسات، لا تنطبق تكوينات مستوى الموارد تلقائيا على حسابات التخزين الجديدة. يجب على فريق الأمن تنفيذ عمليات مراقبة لتحديد الحسابات الجديدة وتطبيق التكوينات المناسبة يدويا أو من خلال أتمتة مخصصة.
مراقبة التغطية باستخدام مركز التخزين
بعد تفعيل Defender for Storage، تتحقق من التغطية باستخدام Storage Center في بوابة Azure. أصبح مركز التخزين متاحا بشكل عام في أبريل 2026 كتجربة بوابة أصلية لنظام Azure، حيث يوفر عرضا مركزيا أصليا لحالة حماية Defender for Storage إلى جانب موارد التخزين الخاصة بك. يعرض Storage Center جميع حسابات التخزين في بيئتك منظمة حسب نوع الخدمة، بما في ذلك مساحة تخزين Azure Blob و ملفات Azure. يظهر كل حساب في واحدة من ثلاث حالات حماية:
- Protected: تم تفعيل Defender للتخزين مع تكوين جميع الميزات
- Partly protected: Defender مفعلة لكن بعض الميزات مثل مسح البرمجيات الخبيثة أو كشف البيانات الحساسة معطلة
- غير محمي: Defender التخزين غير مفعل
تستخدم المؤسسات مركز التخزين كتقرير تغطية نهائي. تحدد لوحة المعلومات فجوات التغطية فور النشر الأولي وتوفر رؤية مستمرة مع إنشاء حسابات تخزين جديدة. عندما ينشئ فريق تطوير كونتوسو حساب تخزين لمشروع ذكاء اصطناعي جديد، يظهر مركز التخزين الحساب غير المحمي خلال دقائق. يمكن لفريق الأمن بعد ذلك تقييم ما إذا كان الحساب يحتاج إلى حماية أو يجب استبعاده صراحة.
يعرض مركز التخزين أيضا تفاصيل التكوين لكل حساب محمي، موضحا الميزات المفعلة وما هي حدود المسح الشهرية التي يتم تكوينها. تسمح هذه الرؤية المركزية لفريق الأمن بتحديد انحراف التكوين—أي حسابات تم فيها تعطيل مسح البرمجيات الخبيثة عن طريق الخطأ أو تم ضبط حدود منخفضة جدا بالنسبة لأنماط استخدام الحساب.
اختر طريقة النشر المناسبة
عادة ما تجمع المؤسسات بين عدة طرق نشر لتحقيق تغطية شاملة. يوفر نهج Azure الأساس، حيث يمكن Defender عند نطاق الاشتراك أو مجموعة الإدارة مع الإعدادات الافتراضية. تتعامل تكوينات مستوى الموارد مع الحالات الخاصة التي تحتاج فيها الحسابات إلى إعدادات مخصصة. تتيح سكريبتات PowerShell أو Azure CLI تغييرات التكوين الجماعي عند الترحيل من الخطة الكلاسيكية أو تعديل حدود فحص البرمجيات الخبيثة عبر عدة حسابات.
لتنفيذ كونتوسو، يقوم فريق الأمان بتعيين تعريف نهج Azure في نطاق مجموعة الإدارة الذي يغطي جميع اشتراكات الإنتاج. تتيح هذه السياسة مراقبة الأنشطة، واكتشاف تهديدات البيانات الحساسة، ومسح البرمجيات الخبيثة بحد أقصى شهري يبلغ 10,000 جيجابايت. بالنسبة لحساب تخزين رفع الشريك الذي يعالج الملفات الخارجية، يطبقون تجاوز إعدادات على مستوى الموارد يزيد الحد الأقصى الشهري للمسح إلى 25,000 جيجابايت. يوفر هذا النهج متعدد الطبقات حماية أساسية متسقة مع السماح بالتخصيص القائم على المخاطر.