Informazioni sui risultati dell'analisi malware
Quando un BLOB viene analizzato per individuare il malware, il risultato dell'analisi può essere valutato in diversi modi:
- Tag di indice BLOB: un tag di indice con il risultato dell'analisi malware chiave (i tag di indice non sono supportati negli account di archiviazione con spazi dei nomi gerarchici abilitati).
- Messaggio di Griglia di eventi: consente di automatizzare le risposte per analizzare i risultati. Richiede più configurazione. Altre informazioni sulla configurazione di Griglia di eventi per l'analisi di malware.
- Una voce di log dell'area di lavoro Log Analytics: usando questo metodo, è possibile archiviare tutti i risultati dell'analisi in un repository di log centralizzato. Questo repository è progettato per eseguire facilmente query, rendendolo uno strumento potente per tenere traccia e analizzare i risultati dell'analisi. Altre informazioni sulla configurazione della registrazione per l'analisi malware e sulla struttura dei messaggi di Griglia di eventi.
- Un avviso di sicurezza in Defender per il cloud (se è stato rilevato malware): è possibile leggere altre informazioni sugli avvisi di sicurezza di Microsoft Defender per il cloud.
Sia che si stia cercando di automatizzare le risposte a risultati di analisi specifici o di mantenere un record dettagliato di tutte le analisi, queste opzioni possono essere personalizzate in base alle proprie esigenze.
I risultati dell'analisi rientrano in due categorie: stati di esito positivo e stati di errore. Comprendere questi stati è importante per interpretare i risultati della scansione malware e intraprendere azioni appropriate.
Nota
Per gli account di archiviazione che superano i limiti di capacità effettiva e dimensioni BLOB per l'analisi malware di Defender per Archiviazione, alcuni BLOB non verranno analizzati e non avranno un risultato di analisi.
Stati di esito positivo
Quando un BLOB viene analizzato correttamente, il risultato dell'analisi indica quanto riportato di seguito:
Nessuna minaccia trovata : l'analisi non ha trovato contenuto dannoso.
Dannoso : contenuto dannoso trovato nel BLOB caricato.
Stati di errore
L'analisi malware potrebbe non riuscire a analizzare un BLOB. In questo caso, il risultato dell'analisi indica l'errore.
| Messaggio di errore | Causa dell'errore | Indicazioni | Questo tentativo di analisi non riuscito comporta un addebito? |
|---|---|---|---|
| SAM259201: "Analisi non riuscita - Errore interno del servizio". | Si è verificato un errore di sistema interno imprevisto durante l'analisi. | Si tratta di un errore temporaneo e del successivo caricamento di BLOB che non è stato possibile analizzare con questo errore. | No |
| SAM259203: "Analisi non riuscita: non è stato possibile accedere al BLOB richiesto". | Non è stato possibile accedere al BLOB a causa di restrizioni di autorizzazione. Ciò può verificarsi se un utente ha accidentalmente rimosso l'autorizzazione dello scanner malware per leggere i BLOB. Le autorizzazioni possono essere rimosse anche da un Criteri di Azure. | Esaminare il log attività dell'account di archiviazione per determinare chi o cosa ha rimosso le autorizzazioni dello scanner. Riabilitare l'analisi malware. | No |
| SAM259204: "Analisi non riuscita: il BLOB richiesto non è stato trovato". | Il BLOB non è stato trovato. Ciò potrebbe essere dovuto all'eliminazione, alla rilocazione o alla ridenominazione dopo il caricamento. | N/D | No |
| SAM259205: "L'analisi non è riuscita a causa di mancata corrispondenza ETag- il BLOB è stato probabilmente sovrascritto". | Durante il processo di analisi di un BLOB, l'analisi malware garantisce che il valore ETag del BLOB rimanga coerente con ciò che è stato caricato per la prima volta. Se L'ETag non corrisponde al valore previsto, potrebbe indicare che il BLOB è stato modificato da un altro processo o utente dopo il caricamento. | N/D | No |
| SAM259206: "Analisi interrotta: il BLOB richiesto ha superato le dimensioni massime consentite di 50 GB". | Le dimensioni del BLOB hanno superato il limite di dimensioni esistente, impedendo l'analisi. Per altre informazioni, vedere la documentazione relativa alle limitazioni di analisi malware. | N/D | No |
| SAM259207: "Timeout analisi - l'analisi richiesta ha superato il limite di tempo". | Timeout dell'analisi prima del completamento. Questo errore può verificarsi anche se un passaggio precedente, ad esempio il download del BLOB per l'analisi, richiede troppo tempo. | Si tratta di un errore temporaneo e del successivo caricamento di BLOB che non è stato possibile analizzare con questo errore. | No |
| SAM259208: "Analisi non riuscita - Il livello di accesso archivio non è supportato". | I BLOB nel livello di archiviazione archivio di Azure non possono essere analizzati. Per altre informazioni, vedere la documentazione relativa alle limitazioni di analisi malware. | N/D | No |
| SAM259209: "Analisi non riuscita: i BLOB crittografati con le chiavi fornite dal cliente non sono supportati". | I BLOB crittografati sul lato client non possono essere decrittografati per l'analisi. Per altre informazioni, vedere la documentazione relativa alle limitazioni di analisi malware. | N/D | No |
| SAM259210: "Analisi interrotta: il BLOB richiesto è protetto da password". | Il BLOB è protetto da password e non può essere analizzato. Per altre informazioni, vedere la documentazione relativa alle limitazioni di analisi malware. | N/D | Sì |
| SAM259211: "Scan aborted - Maximum archive nesting depth exceeded". | È stata superata la profondità massima di annidamento dell'archivio. | L'annidamento dell'archivio è un metodo noto per eludere il rilevamento di malware. Gestire questo BLOB con attenzione. | Sì |
| SAM259212: "Analisi interrotta: i dati blob richiesti sono danneggiati". | Il BLOB è danneggiato e l'analisi malware non è stata in grado di analizzarla. | N/D | Sì |
| SAM259213: "L'analisi è stata limitata dal servizio". | La richiesta di analisi ha superato temporaneamente il limite di frequenza del servizio. Si tratta di una misura che viene eseguita per gestire il carico del server e garantire prestazioni ottimali per tutti gli utenti. Per altre informazioni, vedere la documentazione relativa alle limitazioni di analisi malware. | Per evitare questo problema in futuro, assicurarsi che le richieste di analisi rimangano entro il limite di frequenza del servizio. Se le esigenze superano il limite di frequenza corrente, è consigliabile distribuire le richieste di analisi in modo più uniforme nel tempo. | No |
Passaggi successivi
- Informazioni sulle configurazioni avanzate per l'analisi di malware.