Partager via


Comprendre les résultats d’analyse des programmes malveillants

Lorsqu’un blob est analysé pour rechercher des programmes malveillants, le résultat de l’analyse peut être évalué de plusieurs façons :

  • Balise d’index blob : une balise d’index avec la clé Résultat d’analyse des programmes malveillants (les balises d’index ne sont pas prises en charge dans les comptes de stockage avec les espaces de noms hiérarchiques activés).
  • Message Event Grid : vous permet d’automatiser les réponses aux résultats de l’analyse. Il nécessite davantage de configuration. En savoir plus sur la configuration d’Event Grid pour l’analyse des programmes malveillants.
  • Entrée de journal d’espace de travail Log Analytics : en utilisant cette méthode, vous pouvez stocker tous les résultats d’analyse dans un référentiel de journaux centralisé. Ce référentiel est conçu pour faciliter l’interrogation, ce qui en fait un outil puissant pour le suivi et l’analyse des résultats de recherche. En savoir plus sur la configuration de la journalisation pour l’analyse des programmes malveillants et la structure des messages Event Grid.
  • Alerte de sécurité dans Defender pour le cloud (si un programme malveillant a été détecté) : vous pouvez en apprendre davantage sur les alertes de sécurité Microsoft Defender pour le cloud.

Que vous cherchiez à automatiser les réponses à des résultats d’analyse spécifiques ou à conserver un enregistrement détaillé de toutes les analyses, ces options peuvent être adaptées à vos besoins.

Les résultats de l’analyse se répartissent en deux catégories : les états de réussite et les états d’erreur. Il est important de comprendre ces états pour interpréter les résultats de l’analyse de programmes malveillants et prendre les mesures appropriées.

Remarque

Pour les comptes de stockage qui dépassent les limites de capacité de débit et de taille du blob pour l’analyse des programmes malveillants Defender pour le stockage, certains blobs ne seront pas analysés et n’auront pas de résultat d’analyse.

États de réussite

Lorsqu’un blob est correctement analysé, le résultat de l’analyse indique :

  • Aucune menace détectée : l’analyse n’a trouvé aucun contenu malveillant.

  • Malveillant : du contenu malveillant a été trouvé dans le blob chargé.

    Capture d’écran montrant un exemple de résultat d’analyse blob.

États d’erreur

L’analyse de programmes malveillants pourrait échouer à analyser un blob. Dans ce cas, le résultat de l’analyse indique la nature de l’erreur.

Message d’erreur Cause de l’erreur Conseils Cette tentative d’analyse échouée entraîne-t-elle des frais ?
SAM259201 : « Échec de l’analyse : erreur du service interne. » Une erreur système interne inattendue s’est produite pendant l’analyse. Il s’agit d’une erreur temporaire et le chargement ultérieur de blobs avec cette erreur n’ayant pas pu être analysés devrait réussir. Non
SAM259203 : « Échec de l’analyse : impossible d’accéder au blob demandé. » Impossible d’accéder au blob en raison de restrictions d’autorisation. Cela peut se produire si quelqu’un a accidentellement supprimé l’autorisation permettant à l’analyseur de programmes malveillants de lire des blobs. Les autorisations peuvent également être supprimées par une stratégie Azure. Examinez le journal d’activité du compte de stockage pour déterminer l’origine de la suppression des autorisations de l’analyseur. Réactivez l’analyse de programmes malveillants. Non
SAM259204 : « Échec de l’analyse : le blob demandé est introuvable. » Le blob est introuvable. Cela pourrait être dû à la suppression, au déplacement ou au changement de nom après le chargement. N/A Non
SAM259205 : « Échec de l’analyse en raison d’une incompatibilité ETag : le blob a peut-être été remplacé. » Pendant le processus d’analyse d’un blob, l’analyse des programmes malveillants assure que la valeur ETag du blob reste cohérente avec son état lors du premier chargement. Si l’ETag ne correspond pas à la valeur attendue, cela peut indiquer que le blob a été modifié par un autre processus ou utilisateur après le chargement. N/A Non
SAM259206 : « Analyse abandonnée : le blob demandé dépasse la taille maximale autorisée de 50 Go. » La taille du blob dépasse la limite de taille existante, empêchant l’analyse. Pour plus d’informations, consultez la documentation sur les limitations de l’analyse des programmes malveillants. N/A Non
SAM259207 : « Analyse expirée : l’analyse demandée a dépassé la limite de temps. » L’analyse expire avant l’achèvement. Cette erreur pourrait également se produire si une étape précédente, telle que le téléchargement du blob à des fins d’analyse, prend trop de temps. Il s’agit d’une erreur temporaire et le chargement ultérieur de blobs avec cette erreur n’ayant pas pu être analysés devrait réussir. Non
SAM259208 : « Échec de l’analyse : le niveau d’accès archive n’est pas pris en charge. » Les blobs du niveau de stockage archive d’Azure ne peuvent pas être analysés. Pour plus d’informations, consultez la documentation sur les limitations de l’analyse des programmes malveillants. N/A Non
SAM259209 : « Échec de l’analyse : les blobs chiffrés avec les clés fournies par le client ne sont pas pris en charge. » Les blobs chiffrés côté client ne peuvent pas être déchiffrés pour l’analyse. Pour plus d’informations, consultez la documentation sur les limitations de l’analyse des programmes malveillants. N/A Non
SAM259210 : « Analyse abandonnée : le blob demandé est protégé par mot de passe. » Le blob est protégé par un mot de passe et ne peut pas être analysé. Pour plus d’informations, consultez la documentation sur les limitations de l’analyse des programmes malveillants. N/A Oui
SAM259211 : « Analyse abandonnée : profondeur maximale d’imbrication d’archive dépassée. » La profondeur maximale d’imbrication d’archive a été dépassée. L’imbrication d’archive est une méthode connue pour échapper à la détection de programmes malveillants. Gérez ce blob avec précaution. Oui
SAM259212 : « Analyse abandonnée : les données blob demandées sont endommagées. » Le blob est endommagé et l’analyse des programmes malveillants n’a pas pu l’analyser. N/A Oui
SAM259213 : « L’analyse a été limitée par le service ». La requête d’analyse a temporairement dépassé la limite de débit du service. Il s’agit d’une mesure que nous prenons pour gérer la charge du serveur et garantir des performances optimales pour tous les utilisateurs. Pour plus d’informations, consultez la documentation sur les limitations de l’analyse des programmes malveillants. Pour éviter ce problème à l’avenir, assurez-vous que vos demandes d’analyse restent dans la limite de débit du service. Si vos besoins dépassent la limite de débit actuelle, envisagez de distribuer vos demandes d’analyse plus uniformément au fil du temps. Non

Étapes suivantes