Общие сведения о результатах сканирования вредоносных программ
При сканировании большого двоичного объекта для вредоносных программ результат сканирования можно оценить несколькими способами:
- Тег индекса BLOB-объектов — тег индекса с ключом "Результат сканирования вредоносных программ" (теги индекса не поддерживаются в учетных записях хранения с включенными иерархическими пространствами имен).
- Сообщение сетки событий позволяет автоматизировать ответы на сканирование результатов. Для этого требуется дополнительная конфигурация. Дополнительные сведения о настройке сетки событий для сканирования вредоносных программ.
- Запись журнала рабочей области Log Analytics — с помощью этого метода можно сохранить все результаты сканирования в централизованном репозитории журналов. Этот репозиторий предназначен для простого запроса, что делает его мощным инструментом для отслеживания и анализа результатов сканирования. Дополнительные сведения о настройке ведения журнала для сканирования вредоносных программ и структуры сообщений сетки событий.
- Оповещение системы безопасности в Defender для облака (если вредоносные программы обнаружены) — дополнительные сведения о оповещениях системы безопасности Майкрософт Defender для облака.
Независимо от того, хотите ли вы автоматизировать ответы на конкретные результаты сканирования или сохранить подробную запись всех проверок, эти параметры можно настроить в соответствии с вашими потребностями.
Результаты сканирования делятся на две категории: успешные состояния и состояния ошибок. Понимание этих состояний важно для интерпретации результатов сканирования вредоносных программ и принятия соответствующих действий.
Примечание.
Для учетных записей хранения, превышающих пропускную способность и ограничения размера BLOB-объектов для сканирования вредоносных программ Defender для хранилища, некоторые большие двоичные объекты не будут проверяться и не будут иметь результата сканирования.
Состояния успешности
При успешном сканировании большого двоичного объекта результат сканирования указывает:
Угрозы не найдены . Проверка не обнаружила вредоносного содержимого.
Вредоносный — вредоносный контент был найден в отправленном BLOB-объекте.
Состояния с ошибками
Сканирование вредоносных программ может завершиться ошибкой сканирования большого двоичного объекта. В этом случае результат сканирования указывает, что произошла ошибка.
| Сообщение об ошибке | Причина ошибки | Руководство | Взимается ли эта неудачная попытка сканирования? |
|---|---|---|---|
| SAM259201: "Сбой сканирования — внутренняя ошибка службы". | Во время сканирования произошла непредвиденная внутренняя ошибка системы. | Это временная ошибка и последующее отправка больших двоичных объектов, которые не удалось проверить с этой ошибкой. | No |
| SAM259203: "Сбой сканирования - не удалось получить доступ к запрошенным BLOB-объектам". | Доступ к большому двоичному объекту не удалось получить из-за ограничений разрешений. Это может произойти, если кто-то случайно удалил разрешение сканера вредоносных программ для чтения БОЛЬШИХ двоичных объектов. Разрешения также можно удалить с помощью Политика Azure. | Просмотрите журнал действий учетной записи хранения, чтобы определить, кто или что удалил разрешения сканера. Повторно включите сканирование вредоносных программ. | No |
| SAM259204: "Сбой сканирования - запрошенный большой двоичный объект не найден". | Большой двоичный объект не найден. Это может быть связано с удалением, перемещением или переименованием после отправки. | Н/П | No |
| SAM259205: "Сбой сканирования из-за несоответствия ETag - большой двоичный объект был, возможно, перезаписан". | Во время сканирования большого двоичного объекта проверка вредоносных программ гарантирует, что значение ETag большого двоичного объекта остается неизменным с тем, что было при первой отправке. Если ETag не соответствует ожидаемому значению, он может указать, что большой двоичный объект был изменен другим процессом или пользователем после отправки. | Н/П | No |
| SAM259206: "Сканирование прервано - запрошенный большой двоичный объект превысил максимальный допустимый размер 2 ГБ". | Размер большого двоичного объекта превысил существующее ограничение размера, предотвращая сканирование. Дополнительные сведения см. в документации по ограничениям сканирования вредоносных программ. | Н/П | No |
| SAM259207: "Время ожидания сканирования — запрошенное сканирование превысило ограничение времени". | Время ожидания сканирования истекло до завершения. Эта ошибка также может возникнуть, если предыдущий шаг, например скачивание большого двоичного объекта для сканирования, занимает слишком много времени. | Это временная ошибка и последующее отправка больших двоичных объектов, которые не удалось проверить с этой ошибкой. | No |
| SAM259208: "Сбой сканирования — уровень доступа к архиву не поддерживается". | Большие двоичные объекты на архивном уровне хранилища Azure не могут быть сканированы. Дополнительные сведения см. в документации по ограничениям сканирования вредоносных программ. | Н/П | No |
| SAM259209: "Сбой сканирования — большие двоичные объекты, зашифрованные с предоставленными клиентом ключами, не поддерживаются". | Зашифрованные BLOB-объекты на стороне клиента не могут быть расшифрованы для сканирования. Дополнительные сведения см. в документации по ограничениям сканирования вредоносных программ. | Н/П | No |
| SAM259210: "Сканирование прервано - запрошенный большой двоичный объект защищен паролем". | Большой двоичный объект защищен паролем и не может быть сканирован. Дополнительные сведения см. в документации по ограничениям сканирования вредоносных программ. | Н/П | Да |
| SAM259211: "Сканирование прервано - превышена максимальная глубина вложенного архива". | Превышена максимальная глубина вложения архива. | Вложение архива — это известный метод для обнаружения вредоносных программ. Обработайте этот большой двоичный объект с осторожностью. | Да |
| SAM259212: "Сканирование прервано - запрошенные данные большого двоичного объекта повреждены". | Большой двоичный объект поврежден, и сканирование вредоносных программ не удалось проверить его. | Н/П | Да |
| SAM259213: "Сканирование было регулированием службой". | Запрос сканирования временно превысил ограничение скорости службы. Это мера управления нагрузкой сервера и обеспечение оптимальной производительности для всех пользователей. Дополнительные сведения см. в документации по ограничениям сканирования вредоносных программ. | Чтобы избежать этой проблемы в будущем, убедитесь, что запросы сканирования остаются в пределах ограничения скорости службы. Если ваши потребности превышают текущий предел скорости, рассмотрите возможность распределения запросов сканирования более равномерно с течением времени. | No |
Следующие шаги
- Узнайте о расширенных конфигурациях для сканирования вредоносных программ.