Udostępnij za pośrednictwem


Omówienie wyników skanowania złośliwego oprogramowania

Podczas skanowania obiektu blob pod kątem złośliwego oprogramowania wynik skanowania można ocenić na kilka sposobów:

  • Tag indeksu obiektów blob — tag indeksu z wynikiem skanowania skanowania złośliwego oprogramowania (tagi indeksu nie są obsługiwane na kontach magazynu z włączonymi hierarchicznymi przestrzeniami nazw).
  • Komunikat usługi Event Grid — umożliwia zautomatyzowanie odpowiedzi na wyniki skanowania. Wymaga to większej konfiguracji. Dowiedz się więcej o konfigurowaniu usługi Event Grid na potrzeby skanowania złośliwego oprogramowania.
  • Wpis dziennika obszaru roboczego usługi Log Analytics — korzystając z tej metody, można przechowywać wszystkie wyniki skanowania w scentralizowanym repozytorium dzienników. To repozytorium jest przeznaczone do łatwego wykonywania zapytań, dzięki czemu jest to zaawansowane narzędzie do śledzenia i analizowania wyników skanowania. Dowiedz się więcej na temat konfigurowania rejestrowania na potrzeby skanowania złośliwego oprogramowania i struktury komunikatów usługi Event Grid .
  • Alert zabezpieczeń w Defender dla Chmury (jeśli wykryto złośliwe oprogramowanie) — możesz dowiedzieć się więcej o alertach zabezpieczeń firmy Microsoft Defender dla Chmury.

Niezależnie od tego, czy chcesz zautomatyzować odpowiedzi na określone wyniki skanowania, czy zachować szczegółowy rekord wszystkich skanowań, te opcje mogą być dostosowane do Twoich potrzeb.

Wyniki skanowania należą do dwóch kategorii: stanów zakończonych powodzeniem i stanów błędów. Zrozumienie tych stanów jest ważne w przypadku interpretowania wyników skanowania złośliwego oprogramowania i podejmowania odpowiednich działań.

Uwaga

W przypadku kont magazynu, które przekraczają limity pojemności przepływności i rozmiaru obiektów blob dla skanowania złośliwego oprogramowania w usłudze Defender for Storage, niektóre obiekty blob nie będą skanowane i nie będą miały wyniku skanowania.

Stany powodzenia

Po pomyślnym skanowaniu obiektu blob wynik skanowania wskazuje:

  • Nie znaleziono zagrożeń — skanowanie nie odnalazło złośliwej zawartości.

  • Złośliwe — wykryto złośliwą zawartość w przekazanym obiekcie blob.

    Zrzut ekranu przedstawiający przykład wyniku skanowania obiektów blob.

Stany błędu

Skanowanie w poszukiwaniu złośliwego oprogramowania może zakończyć się niepowodzeniem podczas skanowania obiektu blob. W takim przypadku wynik skanowania wskazuje, jaki był błąd.

Komunikat o błędzie Przyczyna błędu Wskazówki Czy ta próba skanowania nie powiodła się, powoduje naliczenie opłaty?
SAM259201: "Skanowanie nie powiodło się — wewnętrzny błąd usługi". Podczas skanowania wystąpił nieoczekiwany wewnętrzny błąd systemu. Jest to błąd przejściowy, a kolejne przekazywanie obiektów blob, których nie można przeskanować z powodu tego błędu, powinno zakończyć się powodzeniem. Nie.
SAM259203: "Skanowanie nie powiodło się — nie można uzyskać dostępu do żądanego obiektu blob". Nie można uzyskać dostępu do obiektu blob z powodu ograniczeń uprawnień. Może się to zdarzyć, jeśli ktoś przypadkowo usunął uprawnienie skanera złośliwego oprogramowania do odczytu obiektów blob. Uprawnienia można również usunąć za pomocą usługi Azure Policy. Sprawdź dziennik aktywności konta magazynu, aby określić, kto lub co usunęło uprawnienia skanera. Ponownie włącz skanowanie w poszukiwaniu złośliwego oprogramowania. Nie.
SAM259204: "Skanowanie nie powiodło się — żądany obiekt blob nie został znaleziony". Nie można odnaleźć obiektu blob. Może to być spowodowane usunięciem, przeniesieniem lub zmianą nazwy po przekazaniu. Nie dotyczy Nie.
SAM259205: "Skanowanie nie powiodło się z powodu niezgodności elementu ETag — obiekt blob został prawdopodobnie zastąpiony". Podczas skanowania obiektu blob skanowanie złośliwego oprogramowania gwarantuje, że wartość elementu ETag obiektu blob pozostaje spójna z tym, co zostało przekazane po raz pierwszy. Jeśli element ETag nie jest zgodny z oczekiwaną wartością, może to oznaczać, że obiekt blob został zmieniony przez inny proces lub użytkownika po przekazaniu. Nie dotyczy Nie.
SAM259206: "Skanowanie przerwane — żądany obiekt blob przekroczył maksymalny dozwolony rozmiar 50 GB". Rozmiar obiektu blob przekroczył istniejący limit rozmiaru, uniemożliwiając skanowanie. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą ograniczeń skanowania złośliwego oprogramowania. Nie dotyczy Nie.
SAM259207: "Upłynął limit czasu skanowania — żądane skanowanie przekroczyło limit czasu". Upłynął limit czasu skanowania przed ukończeniem. Ten błąd może również wystąpić, jeśli poprzedni krok, taki jak pobieranie obiektu blob do skanowania, trwa zbyt długo. Jest to błąd przejściowy, a kolejne przekazywanie obiektów blob, których nie można przeskanować z powodu tego błędu, powinno zakończyć się powodzeniem. Nie.
SAM259208: "Skanowanie nie powiodło się — warstwa dostępu archiwum nie jest obsługiwana". Nie można skanować obiektów blob w warstwie magazynowania archiwum platformy Azure. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą ograniczeń skanowania złośliwego oprogramowania. Nie dotyczy Nie.
SAM259209: "Skanowanie nie powiodło się — obiekty blob zaszyfrowane przy użyciu kluczy dostarczonych przez klienta nie są obsługiwane". Nie można odszyfrować zaszyfrowanych obiektów blob po stronie klienta do skanowania. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą ograniczeń skanowania złośliwego oprogramowania. Nie dotyczy Nie.
SAM259210: "Skanowanie przerwane — żądany obiekt blob jest chroniony hasłem". Obiekt blob jest chroniony hasłem i nie można go skanować. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą ograniczeń skanowania złośliwego oprogramowania. Nie dotyczy Tak
SAM259211: "Skanowanie przerwane — przekroczono maksymalną głębokość zagnieżdżania archiwum". Przekroczono maksymalną głębokość zagnieżdżania archiwum. Zagnieżdżanie archiwum to znana metoda unikania wykrywania złośliwego oprogramowania. Obsłuż ten obiekt blob pod opieką. Tak
SAM259212: "Skanowanie przerwane — żądane dane obiektu blob są uszkodzone". Obiekt blob jest uszkodzony, a skanowanie złośliwego oprogramowania nie było w stanie go zeskanować. Nie dotyczy Tak
SAM259213: "Skanowanie zostało ograniczone przez usługę". Żądanie skanowania tymczasowo przekroczyło limit szybkości usługi. Jest to środek, który podejmujemy w celu zarządzania obciążeniem serwera i zapewnienia optymalnej wydajności dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą ograniczeń skanowania złośliwego oprogramowania. Aby uniknąć tego problemu w przyszłości, upewnij się, że żądania skanowania pozostają w limicie szybkości usługi. Jeśli twoje potrzeby przekraczają bieżący limit szybkości, rozważ równomierne dystrybuowanie żądań skanowania w miarę upływu czasu. Nie.

Następne kroki