تكوين مسح البرمجيات الخبيثة واكتشاف البيانات الحساسة
يعمل مسح البرمجيات الخبيثة كطبقة فحص المحتوى في Defender for Storage، حيث يحلل الملفات المرفوعة لاكتشاف الشيفرة الخبيثة قبل أن يتم تنفيذها في الأنظمة التالية. التكوين الذي تطبقه يحدد متى يحدث المسح، ومدى دقة تحليل الملفات، وكم تنفق على الحماية.
| تكوين المسح الضوئي | الغرض | تأثير التكلفة | الأفضل ل |
|---|---|---|---|
| المسح أثناء الرفع | الحماية الفورية عند وصول الملفات | يتم تحصيل كل جيجابايت يتم تحميلها | خطوط تحميل الشريك، واستيعاب المحتوى الخارجي |
| المسح عند الطلب | تحليل استرجاعي للمحتوى الموجود | يتم تحصيل كل جيجابايت يتم مسحها ضوئيا (بدون حد شهري) | التحقق من صحة البيانات التاريخية، البحث عن التهديدات |
| الحد الشهري (الافتراضي: 10,000 جيجابايت، عند الرفع فقط) | التحكم في التكاليف للمسح أثناء الرفع | يمنع رسوم التحميل غير المتوقعة | جميع الحسابات التي يتم تفعيل المسح عند الرفع |
| الحد المخصص لكل حساب | تخصيص التكاليف بناء على المخاطر أثناء التحميل | تحسين الإنفاق حسب أولوية الحساب | حسابات الإنتاج ذات الحجم العالي |
تكوين المسح أثناء الرفع للحماية في الوقت الحقيقي
يقوم المسح عند التحميل بتحليل الملفات عند وصولها إلى مخزن البيانات الثنائية الكبيرة، ويمنع المحتوى الضار قبل أن تعالج الأنظمة التالية النظام. يتم تفعيل المسح عند إنشاء كتلة (رفع جديد)، أو الكتابة فوقها بمحتوى جديد، أو إعادة تسميتها — أي من هذه العمليات تبدأ عملية الفحص. العمليات التدريجية مثل PutBlock و AppendFile لا تفعل المسح بشكل مستقل؛ يطلق المسح عندما تنهي عملية الcommit (PutBlockList أو FlushWithClose) الكتلة. هذا التمييز مهم بالنسبة لخطوط أنابيب الذكاء الاصطناعي التي تنظم الملفات الكبيرة عبر رفع الكتل. عند فحص المحفزات، يقوم Defender بتحليل المحتوى باستخدام Microsoft Defender Antivirus ويكتب علامات نتائج المسح على بيانات الكتلة الوصفية.
في سيناريو رفع الشريك في كونتوسو، يوفر المسح أثناء الرفع التحكم الحرج المفقود في تكوينهم السابق. يقوم الشركاء برفع الملفات عبر دالة Azure التي تكتب مباشرة إلى مخزن البيانات الثنائية الكبيرة باستخدام رمز SAS. لا تستطيع ضوابط الشبكة فحص محتوى الملف، ولا يمكن لسياسات الوصول التمييز بين الملفات الخبيثة والوثائق الشرعية. يفحص المسح عند الرفع هيكل كل ملف وأنماط سلوكه، ويحدد التهديدات بغض النظر عن كيفية التحقق من صحة الرفع أو التصريح به.
تكتمل عملية المسح خلال ثوان لمعظم الملفات. الوثائق الصغيرة وأنواع الملفات الشائعة تمسح بسرعة شبه فورية، بينما تتطلب الملفات الكبيرة أو الأرشيفات المعقدة وقت معالجة أطول. أثناء المسح، تكون الكتلة متاحة لعمليات القراءة، لكن يجب على التطبيقات التحقق من علامة نتيجة المسح قبل معالجة المحتوى. يكتب Defender وسومين فهرس blob لكل كتلة تم مسحها بشكل افتراضي: Malware scansion result و وقت مسح البرمجيات الخبيثة (UTC). يستخدم وسم نتائج المسح واحدة من أربع قيم: عدم وجود تهديدات يشير إلى عدم اكتشاف أي تهديدات؛ يشير مصطلح خبيث إلى أن الملف يحتوي على برمجيات خبيثة أو أنماط شيفرة مشبوهة؛ يشير الخطأ إلى أن المسح لم يكمل؛ وعدم مسح ضوئيا يشير إلى أن الكتلة تم استبعادها من المسح أو لم يكن بالإمكان معالجتها. يجب على التطبيقات التحقق من علامة نتائج مسح البرمجيات الخبيثة قبل معالجة المحتوى المرفوع.
فحص البرمجيات الخبيثة له قيود تؤثر على أي الكتل تحصل على نتائج المسح. الكتل التي تزيد حجمها عن 50 جيجابايت تتلقى نتيجة غير ممسوحة — لا يمكن للخدمة معالجة الملفات التي تتجاوز هذا الحجم. كما يتم استبعاد الكتل المخزنة في طبقة الوصول إلى الأرشيف والكتل المشفرة بمفاتيح يوفرها العميل من المسح. فهم هذه الحدود يمنع حدوث الالتباس عندما لا تتلقى بعض الكتل في حسابات التخزين الخاصة بك علامات نتائج المسح.
استخدم المسح عند الطلب للتحليل الاستعادي
يعمل المسح حسب الطلب خارج سير عمل الرفع، حيث يحلل الكتل الموجودة بالفعل في التخزين. تستخدم المؤسسات المسح عند الطلب عندما تحدد استخبارات التهديدات نوعا جديدا من البرمجيات الخبيثة قد يكون موجودا في التحميلات التاريخية، أو عند التحقيق في حوادث أمنية تتطلب التحقق من صحة المحتوى المرفع قبل تفعيل Defender.
تبدأ المسح عند الطلب من خلال بوابة Azure أو PowerShell أو REST API، مع تحديد حساب التخزين والحاوية التي يجب مسحها. يقوم Defender بوضع قائمة انتظار لعملية المسح ويعالج الكتل بناء على السعة المتاحة. تظهر النتائج في نفس علامات بيانات الكتلة المستخدمة في المسح أثناء الرفع، مما يسمح للتطبيقات بالاستعلام عن حالة المسح البرمجية.
يوفر المسح عند الطلب مرونة للمنظمات التي تمتلك كميات كبيرة من المحتوى الحالي. على عكس المسح عند الرفع، لا يوجد حد شهري للمسح عند الطلب — حيث تعتمد الرسوم بالكامل على الاستخدام لكل مهمة مسح. تعرض بوابة Azure تقديرا للتكلفة بناء على سعة التخزين قبل بدء كل مسح، مما يسمح لفريق الأمن بمراجعة التكاليف المتوقعة قبل الالتزام بعملية الفحص. بدلا من مسح الأرشيف التاريخي بالكامل فورا، تقوم بالمسح انتقائيا بناء على تقييم المخاطر. يقوم كونتوسو بمسح الحاويات التي تحتوي على مستندات تم رفعها خلال التسعين يوما الماضية، مع إعطاء الأولوية للمحتوى الحديث مع تأجيل الأرشيفات القديمة لدورات المسح المستقبلية. هذا النهج التدريجي يوازن بين تغطية الأمان وتكاليف المسح.
قارن تحليل سمعة التجزئة مع المسح الكامل للمحتوى
يقوم Defender for Storage بإجراء نوعين من اكتشاف البرمجيات الخبيثة، كل منهما يعالج سيناريوهات تهديد مختلفة. يقارن تحليل سمعة التجزئة قيمة التجزئة لكل ملف مع قواعد بيانات توقيعات البرمجيات الخبيثة المعروفة. يحدث هذا المقارنة بسرعة وكفاءة، حيث تحدد التهديدات المعترف بها مع عبء معالجة بسيط للغاية. تعمل سمعة التجزئة بشكل جيد مع أنواع البرمجيات الخبيثة المعروفة التي قام باحثو الأمن بتصنيفها بالفعل.
يفحص المسح الكامل للمحتوى هيكل الملفات، وأنماط الكود، والخصائص السلوكية باستخدام Microsoft Defender Antivirus. يقوم المحرك بتحليل كيفية عمل الملف، والموارد النظامية التي يحاول الوصول إليها، وما إذا كان سلوكه يتوافق مع أنماط الهجوم المعروفة. يكتشف هذا التحليل الشامل البرمجيات الخبيثة متعددة الأشكال التي تتغير توقيعها مع كل إصابة، وتهديدات يوم الصفر التي لم يتم تصنيفها بعد، وهجمات متقدمة تتجنب الكشف القائم على التجزئة.
تتلقى المؤسسات التي تتيح خطة Defender for Storage الجديدة مع فحص البرمجيات الخبيثة كلا نوعي الكشف. يتم تحليل سمعة التجزئة تلقائيا لجميع الملفات، مما يوفر حماية أساسية سريعة. يعمل مسح المحتوى الكامل بناء على إعدادك، حيث يحلل المحتوى بشكل أعمق عند تفعيل مسح البرمجيات الخبيثة على مستوى الاشتراك أو الموارد. تتضمن الخطة الكلاسيكية تحليل سمعة التجزئة فقط، ولهذا السبب توصي Microsoft بالانتقال إلى الخطة الجديدة لاكتشاف التهديدات بشكل شامل.
تحليل سمعة التجزئة لديه قيد حاسم: لا يمكنه اكتشاف التهديدات في الكتل التي تم إنشاؤها باستخدام نمط واجهة برمجة التطبيقات وضع الحظر ووضع قائمة الحظر (Put Block List). عندما تقوم التطبيقات بتحميل ملفات كبيرة عن طريق تقسيمها إلى كتل والالتزام بقائمة الكتل بشكل ذري، فإن تجزئة الملف الكاملة لا توجد حتى يتم الالتزام بجميع الكتل. لا يستطيع Defender إجراء تحليل سمعة التجزئة أثناء رفع الكتل لأن الملف الكامل غير متوفر. يعالج المسح الكامل للمحتوى هذه الفجوة من خلال تحليل المحتوى المجمع بعد الالتزام بقائمة الحظر.
قم بتكوين حدود المسح الشهرية للتحكم في التكاليف
يعمل مسح البرمجيات الخبيثة كميزة مدفوعة يتم تحصيلها لكل جيجابايت يتم مسحها. تحدد Microsoft حدا شهريا افتراضيا قدره 10,000 جيجابايت لكل حساب تخزين لمنع التكاليف غير المتوقعة. عندما يصل حساب التخزين إلى الحد الأقصى الذي تم تكوينه، يتوقف المسح لبقية الشهر. تستمر التحميلات الجديدة خلال هذه الفترة دون مسح ضوئي، ويقوم Defender بتوليد تنبيه يخطر فريق الأمن بأن الحماية قد انخفضت مؤقتا.
يقوم Defender بتوليد تنبيهين مرتبطين بالحد الأعلى للحد الأقصى (cap). تنبيه أول إنذار عند وصول المسح إلى 75% من الحد الشهري، مما يحذر من أن الحد سيصل قريبا. يتيح هذا التنبيه لفريق الأمن تقييم ما إذا كان يجب رفع الحد الأقصى أو ما إذا كانت أحجام الرفع أعلى من المتوقع. تنبيه ثاني يطلق عندما يصل المسح إلى 100% من الحد ويتوقف المسح، مما يشير إلى أن التحميلات الجديدة لم تعد تحلل بحثا عن البرمجيات الخبيثة.
تقوم بتكوين حدود مخصصة على مستوى الموارد لتخصيص سعة المسح بناء على ملف المخاطر لكل حساب. حساب تحميل شريك كونتوسو يعالج كميات كبيرة من المحتوى الخارجي ويبرر سقف شهري قدره 25,000 جيجابايت. يقبل حساب بيانات تدريب التعلم الآلي فقط التحميلات الداخلية من علماء البيانات ويعمل بحد أقصى قدره 5000 جيجابايت. حساب المستندات المعالجة يخزن مخرجات من سير العمل الداخلي ويتطلب مسحا ضئيلا جدا، لذا يكفي حد أقصى 2000 جيجابايت. هذا التخصيص القائم على المخاطر يحسن الإنفاق الأمني من خلال توجيه قدرة المسح نحو الحسابات الأكثر عرضة لمواجهة التهديدات.
| غرض الحساب | مستوى المخاطرة | الحد الشهري الموصى به | الأسباب |
|---|---|---|---|
| رفع الشركاء الخارجيين | درجة عالية | 25,000 جيجابايت | محتوى غير موثوق، احتمالية تهديد عالية |
| مخرجات التطبيقات الداخلية | متوسط | 10,000 جيجابايت (الافتراضي) | المحتوى المولد، والتحقق المعتدل مطلوب |
| بيانات تدريب التعلم الآلي (داخلية فقط) | منخفض | 5,000 جيجابايت | مصادر موثوقة، أولوية مسح أقل |
| القطع الأثرية المؤقتة للبناء | الحد الأدنى | تعطيل المسح الضوئي | بيانات غير إنتاجية مؤقتة |
توفر مرشحات المسح آلية تكملة للتحكم في التكاليف إلى جانب الحدود الشهرية. تقوم بتكوين الفلاتر لاستبعاد كتل محددة من المسح بناء على بادئة مسار الحاوية أو الكتلة (مثل أو )، أو لاحقة اسم الملف (مثل .log أو .tmp)، أو حجم الملف — حتى 24 معيار فلتر لكل حساب تخزين. في تنفيذ كونتوسو، تمنع الفلاتر التي /logs/ تستبعد بادئة الحاوية واللاحقة .tmp المسح غير الضروري للمخرجات التشغيلية، مما يوجه قدرة المسح نحو حاويات رفع الشريك التي تتعامل مع المحتوى الخارجي غير الموثوق. قم بتكوين الفلاتر من إعدادات Microsoft Defender for Cloud الخاصة بحساب التخزين في بوابة Azure.
تمكين الكشف عن تهديدات البيانات الحساسة
يعمل كشف تهديدات البيانات الحساسة بشكل مستقل عن مسح البرمجيات الخبيثة، مما يثري تنبيهات Defender بسياق تصنيف البيانات. عند تفعيل الميزة على مستوى الاشتراك أو الموارد، يتكامل Defender مع خدمة اكتشاف البيانات الحساسة من Microsoft Purview لتحديد موارد التخزين التي تحتوي على معلومات سرية.
الميزة لا تولد أنواع تنبيهات جديدة. بدلا من ذلك، يعزز تنبيهات مراقبة النشاط الحالية باستخدام ملصقات حساسية. عندما يكتشف Defender أنماط وصول مشبوهة تستهدف حساب تخزين، فإنه يتحقق مما إذا كان الحساب يحتوي على بيانات مصنفة كسرية أو شديدة السرية أو مستويات حساسية أخرى محددة في سياسات Purview الخاصة بمؤسستك. تشمل التنبيهات التي تستهدف البيانات الحساسة ملصق التصنيف، مما يسمح لفريق عمليات الأمن بإعطاء الأولوية للتحقيق بناء على قيمة البيانات.
تمكن المؤسسات من اكتشاف تهديدات البيانات الحساسة دون أي تكلفة إضافية تتجاوز خطة Defender for Storage الأساسية. تتطلب الميزة تكوين اكتشاف البيانات الحساسة في Microsoft Purview في بيئتك، لكنها لا تتطلب ترخيص Purview لكل حساب تخزين. يستفيد Defender من بيانات التصنيف الوصفية التي أنشأتها Purview بالفعل، حيث يقرأ التسميات دون الحاجة إلى تفعيل فحوصات تصنيف إضافية.
مع إعداد مسح البرمجيات الخبيثة لاكتشاف التهديدات بتكلفة فعالة وتمكين كشف البيانات الحساسة لإعطاء الأولوية للتنبيهات، أنت جاهز لتكوين توجيه التنبيهات لضمان وصول الاكتشافات إلى فريق عمليات الأمن الخاص بك والتحقق من أن خط الكشف بأكمله يعمل بشكل صحيح.