Inzicht in scanresultaten van malware
Wanneer een blob wordt gescand op malware, kan het scanresultaat op verschillende manieren worden beoordeeld:
- Een blob-indextag : een indextag met het scanresultaat voor malwarescans (indextags worden niet ondersteund in opslagaccounts waarvoor hiërarchische naamruimten zijn ingeschakeld).
- Een Event Grid-bericht : hiermee kunt u antwoorden automatiseren om resultaten te scannen. Hiervoor is meer configuratie vereist. Meer informatie over het instellen van Event Grid voor malwarescans.
- Een Log Analytics Workspace-logboekvermelding : door deze methode te gebruiken, kunt u alle scanresultaten opslaan in een gecentraliseerde logboekopslagplaats. Deze opslagplaats is ontworpen voor eenvoudige query's, waardoor het een krachtig hulpprogramma is voor het bijhouden en analyseren van scanresultaten. Meer informatie over het instellen van logboekregistratie voor malwarescans en de Event Grid-berichtstructuur .
- Een beveiligingswaarschuwing in Defender voor Cloud (als er malware is gedetecteerd) - meer informatie over Microsoft Defender voor Cloud beveiligingswaarschuwingen.
Of u nu reacties op specifieke scanresultaten wilt automatiseren of een gedetailleerde record van alle scans wilt bewaren, deze opties kunnen worden aangepast aan uw behoeften.
Scanresultaten vallen in twee categorieën: geslaagde statussen en foutstatussen. Het begrijpen van deze statussen is belangrijk voor het interpreteren van de resultaten van malwarescans en het nemen van de juiste actie.
Notitie
Voor opslagaccounts die de doorvoercapaciteit en blobgroottelimieten overschrijden voor het scannen van Malware in Defender for Storage, worden sommige blobs niet gescand en hebben ze geen scanresultaat.
Geslaagde statussen
Wanneer een blob is gescand, geeft het scanresultaat een van de volgende opties aan:
Er zijn geen bedreigingen gevonden. De scan heeft geen schadelijke inhoud gevonden .
Schadelijk : schadelijke inhoud is gevonden in de geüploade blob.
Foutstatussen
Scannen van malware kan een blob mogelijk niet scannen. Wanneer dit gebeurt, geeft het scanresultaat aan wat de fout was.
| Foutbericht | Oorzaak van fout | Richtlijn | Worden er kosten in rekening gebracht voor deze mislukte scanpoging? |
|---|---|---|---|
| SAM259201: 'Scan is mislukt - interne servicefout'. | Er is een onverwachte interne systeemfout opgetreden tijdens de scan. | Dit is een tijdelijke fout en het uploaden van blobs die niet konden worden gescand met deze fout, zou moeten slagen. | Nee |
| SAM259203: 'Scannen is mislukt - kan geen toegang krijgen tot de aangevraagde blob'. | De blob kan niet worden geopend vanwege machtigingsbeperkingen. Dit kan gebeuren als iemand per ongeluk de machtiging van de malwarescanner heeft verwijderd om blobs te lezen. Machtigingen kunnen ook worden verwijderd door een Azure Policy. | Bekijk het activiteitenlogboek van het opslagaccount om te bepalen wie of wat de machtigingen van de scanner heeft verwijderd. Malwarescans opnieuw inschakelen. | Nee |
| SAM259204: 'Scannen is mislukt - de aangevraagde blob is niet gevonden'. | De blob is niet gevonden. Dit kan het gevolg zijn van verwijdering, verplaatsing of hernoeming na het uploaden. | N.v.t. | Nee |
| SAM259205: 'Scannen is mislukt vanwege niet-overeenkomende ETag - blob is mogelijk overschreven'. | Tijdens het scannen van een blob zorgt malwarescans ervoor dat de ETag-waarde van de blob consistent blijft met wat het was toen het eerst werd geüpload. Als de ETag niet overeenkomt met de verwachte waarde, kan dit erop wijzen dat de blob is gewijzigd door een ander proces of een andere gebruiker na het uploaden. | N.v.t. | Nee |
| SAM259206: 'Scan aborted - de aangevraagde blob heeft de maximaal toegestane grootte van 50 GB overschreden'. | De blobgrootte heeft de bestaande grootte overschreden, waardoor de scan niet mogelijk is. Zie de documentatie over beperkingen voor malwarescans voor meer informatie. | N.v.t. | Nee |
| SAM259207: 'Er is een time-out opgetreden bij scannen: de aangevraagde scan heeft de tijdslimiet overschreden'. | Er is een time-out opgetreden voordat de scan is voltooid. Deze fout kan ook optreden als een voorgaande stap, zoals het downloaden van de blob voor scannen, te lang duurt. | Dit is een tijdelijke fout en het uploaden van blobs die niet konden worden gescand met deze fout, zou moeten slagen. | Nee |
| SAM259208: 'Scannen is mislukt - archieftoegangslaag wordt niet ondersteund'. | Blobs in de archiefopslaglaag van Azure kunnen niet worden gescand. Zie de documentatie over beperkingen voor malwarescans voor meer informatie. | N.v.t. | Nee |
| SAM259209: 'Scannen is mislukt- blobs die zijn versleuteld met door de klant verstrekte sleutels worden niet ondersteund.' | Versleutelde blobs aan de clientzijde kunnen niet worden ontsleuteld voor scannen. Zie de documentatie over beperkingen voor malwarescans voor meer informatie. | N.v.t. | Nee |
| SAM259210: 'Scan aborted - the requested blob is protected by password'. | De blob is beveiligd met een wachtwoord en kan niet worden gescand. Zie de documentatie over beperkingen voor malwarescans voor meer informatie. | N.v.t. | Ja |
| SAM259211: 'Scan afgebroken - maximale diepte van archief genest overschreden'. | De maximale diepte van het archiveren van nesten is overschreden. | Archiveren van nesten is een bekende methode voor het omzeilen van malwaredetectie. Afhandelen van deze blob met zorg. | Ja |
| SAM259212: 'Scan aborted - de aangevraagde blobgegevens zijn beschadigd'. | De blob is beschadigd en het scannen van malware kan deze niet scannen. | N.v.t. | Ja |
| SAM259213: 'Scan is beperkt door de service'. | De scanaanvraag heeft de frequentielimiet van de service tijdelijk overschreden. Dit is een meting die we nemen om de belasting van de server te beheren en optimale prestaties voor alle gebruikers te garanderen. Zie de documentatie over beperkingen voor malwarescans voor meer informatie. | Om dit probleem in de toekomst te voorkomen, moet u ervoor zorgen dat uw scanaanvragen binnen de frequentielimiet van de service blijven. Als uw behoeften de huidige frequentielimiet overschrijden, kunt u overwegen om uw scanaanvragen gelijkmatiger in de loop van de tijd te distribueren. | Nee |
Volgende stappen
- Meer informatie over geavanceerde configuraties voor het scannen van malware.