Verstehen der Ergebnisse von Überprüfungen auf Schadsoftware
Wenn ein Blob auf Schadsoftware überprüft wird, kann das Überprüfungsergebnis auf verschiedene Arten bewertet werden:
- Blobindextag: Ein Indextag mit dem Schlüssel „Ergebnis der Überprüfung auf Schadsoftware“ (Indextags werden in Speicherkonten mit aktivierten hierarchischen Namespaces nicht unterstützt).
- Event Grid-Nachricht: Ermöglicht Ihnen die Automatisierung von Reaktionen auf Überprüfungsergebnisse. Dafür ist weitere Konfiguration erforderlich. Erfahren Sie mehr über das Einrichten von Event Grid für die Überprüfung auf Schadsoftware.
- Protokolleintrag im Log Analytics-Arbeitsbereich: Mit dieser Methode können Sie alle Überprüfungsergebnisse in einem zentralen Protokollrepository speichern. Dieses Repository ist für einfache Abfragen konzipiert und somit ein leistungsstarkes Tool zum Nachverfolgen und Analysieren von Überprüfungsergebnissen. Erfahren Sie mehr über das Einrichten der Protokollierung für die Überprüfung auf Schadsoftware und die Nachrichtenstruktur von Event Grid.
- Sicherheitswarnung in Defender for Cloud (wenn Schadsoftware erkannt wurde): Mehr dazu erfahren Sie unter Microsoft Defender for Cloud-Sicherheitswarnungen.
Ob Ihr Ziel die Automatisierung von Reaktionen auf bestimmte Überprüfungsergebnisse ist oder Sie detaillierte Aufzeichnungen aller Überprüfungen aufbewahren möchten – diese Optionen lassen sich ganz an Ihre spezifischen Anforderungen anpassen.
Überprüfungsergebnisse lassen sich in zwei Zustandskategorien einteilen: Erfolgszustände und Fehlerzustände. Sie müssen diese Zustände verstehen, um die Ergebnisse der Schadsoftwareüberprüfung richtig zu interpretieren und geeignete Maßnahmen zu ergreifen.
Hinweis
Bei Speicherkonten, die die Grenzwerte für Durchsatzkapazität und Blobgröße für die Schadsoftwareüberprüfung von Defender for Storage überschreiten, werden einige Blobs nicht überprüft, und entsprechend werden keine Überprüfungsergebnisse angezeigt.
Erfolgszustände
Wenn ein Blob erfolgreich überprüft wurde, gibt das Überprüfungsergebnis Folgendes an:
Keine Bedrohungen gefunden: Bei der Überprüfung wurden keine schädlichen Inhalte gefunden.
Schädlich: Im hochgeladenen Blob wurden schädliche Inhalte gefunden.
Fehlerstatus
Bei der Überprüfung auf Schadsoftware kann ein Blob möglicherweise nicht überprüft werden. In diesem Fall wird im Überprüfungsergebnis angegeben, was der Fehler war.
| Fehlermeldung | Fehlerursache | Anleitungen | Fällt für diesen fehlerhaften Überprüfungsversuch eine Gebühr an? |
|---|---|---|---|
| SAM259201: „Fehler bei Überprüfung – interner Dienstfehler.“ | Während der Überprüfung ist ein unerwarteter interner Systemfehler aufgetreten. | Dies ist ein vorübergehender Fehler, und der nachfolgende Upload von Blobs, die aufgrund dieses Fehlers nicht überprüft werden konnten, sollte erfolgreich sein. | Nein |
| SAM259203: „Fehler bei Überprüfung – Zugriff auf das angeforderte Blob nicht möglich.“ | Auf das Blob konnte aufgrund von Berechtigungseinschränkungen nicht zugegriffen werden. Das kann passieren, wenn jemand versehentlich die Berechtigung der Schadsoftwareüberprüfung zum Lesen von Blobs entfernt hat. Berechtigungen können auch durch eine Azure Policy-Instanz entfernt werden. | Sehen Sie sich das Aktivitätsprotokoll des Speicherkontos an, um festzustellen, wer oder was die Berechtigungen der Überprüfung entfernt hat. Aktivieren Sie die Überprüfung auf Schadsoftware erneut. | Nein |
| SAM259204: „Fehler bei Überprüfung – das angeforderte Blob wurde nicht gefunden.“ | Das Blob wurde nicht gefunden. Ursache hierfür kann sein, dass das Blob nach dem Hochladen gelöscht, verschoben oder umbenannt wurde. | Nicht zutreffend | Nein |
| SAM259205: „Fehler bei Überprüfung aufgrund nicht übereinstimmender ETags – das Blob wurde möglicherweise überschrieben.“ | Während der Überprüfung eines Blobs stellt die Schadsoftwareüberprüfung sicher, dass der ETag-Wert des Blobs noch mit dem Wert konsistent ist, den das ETag beim ersten Hochladen des Blobs aufwies. Wenn das ETag nicht mit dem erwarteten Wert übereinstimmt, kann dies darauf hindeuten, dass das Blob nach dem Hochladen von einem anderen Prozess oder von einem Benutzer oder einer Benutzerin geändert wurde. | Nicht zutreffend | Nein |
| SAM259206: „Überprüfung abgebrochen – das angeforderte Blob hat die maximal zulässige Größe von 2 GB überschritten.“ | Die Blobgröße hat das vorhandene Größenlimit überschritten, wodurch die Überprüfung verhindert wurde. Weitere Informationen finden Sie in der Dokumentation zu Einschränkungen bei der Überprüfung auf Schadsoftware. | Nicht zutreffend | No |
| SAM259207: „Scanvorgang wurde abgebrochen - der angeforderte Scanvorgang hat das Zeitlimit überschritten.“ | Bei der Überprüfung ist ein Timeout aufgetreten, bevor sie abgeschlossen wurde. Dieser Fehler kann auch auftreten, wenn ein vorheriger Schritt, z. B. das Herunterladen des Blobs zur Überprüfung, zu lange dauert. | Dies ist ein vorübergehender Fehler, und der nachfolgende Upload von Blobs, die aufgrund dieses Fehlers nicht überprüft werden konnten, sollte erfolgreich sein. | Nein |
| SAM259208: „Fehler bei Überprüfung – die Archivzugriffsebene wird nicht unterstützt.“ | Blobs in der Archivspeicherebene von Azure können nicht überprüft werden. Weitere Informationen finden Sie in der Dokumentation zu Einschränkungen bei der Überprüfung auf Schadsoftware. | Nicht zutreffend | Nein |
| SAM259209: „Fehler bei Überprüfung – mit kundenseitig bereitgestellten Schlüsseln verschlüsselte Blob werden nicht unterstützt.“ | Clientseitig verschlüsselte Blobs können für die Überprüfung nicht entschlüsselt werden. Weitere Informationen finden Sie in der Dokumentation zu Einschränkungen bei der Überprüfung auf Schadsoftware. | Nicht zutreffend | Nein |
| SAM259210: „Überprüfung abgebrochen – das angeforderte Blob ist mit einem Kennwort geschützt.“ | Das Blob ist kennwortgeschützt und kann nicht überprüft werden. Weitere Informationen finden Sie in der Dokumentation zu Einschränkungen bei der Überprüfung auf Schadsoftware. | Nicht zutreffend | Ja |
| SAM259211: „Überprüfung abgebrochen – die maximale Archivschachtelungstiefe wurde überschritten.“ | Die maximale Tiefe der Archivschachtelung wurde überschritten. | Die Archivschachtelung ist eine bekannte Methode, um die Erkennung von Schadsoftware zu umgehen. Behandeln Sie dieses Blob mit Vorsicht. | Ja |
| SAM259212: „Überprüfung abgebrochen – die angeforderten Blobdaten sind beschädigt.“ | Das Blob ist beschädigt, und die Schadsoftwareüberprüfung konnte es nicht überprüfen. | Nicht zutreffend | Ja |
| SAM259213: "Der Scan wurde vom Dienst gedrosselt." | Die Scananforderung hat die Rategrenze des Diensts vorübergehend überschritten. Dies ist ein Maß, das wir ergreifen, um die Serverlast zu verwalten und eine optimale Leistung für alle Benutzer sicherzustellen. Weitere Informationen finden Sie in der Dokumentation zu Einschränkungen bei der Überprüfung auf Schadsoftware. | Um dieses Problem in Zukunft zu vermeiden, stellen Sie sicher, dass Ihre Scananfragen im Grenzwert des Diensts bleiben. Wenn Ihre Anforderungen das aktuelle Ratelimit überschreiten, sollten Sie ihre Scananforderungen im Laufe der Zeit gleichmäßiger verteilen. | No |
Nächste Schritte
- Erfahren Sie mehr über erweiterte Konfigurationen für die Schadsoftwareüberprüfung.