你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解恶意软件扫描结果
扫描 blob 以查找恶意软件时,可以通过多种方式评估扫描结果:
- Blob 索引标记 - 带有“恶意软件扫描的扫描结果”键的索引标记(启用了分层命名空间的存储帐户不支持索引标记)。
- 事件网格消息 - 允许自动响应以扫描结果。 它需要更多配置。 详细了解如何为恶意软件扫描设置事件网格。
- Log Analytics 工作区日志条目 - 利用此方法,可以将所有扫描结果存储在集中式日志存储库中。 此存储库可实现轻松查询,是跟踪和分析扫描结果的一款强大工具。 详细了解如何设置恶意软件扫描的日志记录和事件网格消息结构。
- Defender for Cloud 中的安全警报(如果检测到恶意软件)- 你可以阅读有关 Microsoft Defender for Cloud 安全警报的详细信息。
无论是希望自动响应特定扫描结果,还是要保留所有扫描的详细记录,都可以根据需求定制这些选项。
扫描结果分为两类:成功状态和错误状态。 了解这些状态对于解释恶意软件扫描的结果和采取适当操作非常重要。
注意
对于超出 Defender for Storage 恶意软件扫描的吞吐量容量和 blob 大小限制的存储帐户,某些 blob 不会被扫描,也不会有扫描结果。
成功状态
成功扫描 blob 后,扫描结果会指示:
未找到威胁 - 扫描未发现恶意内容。
恶意 - 在上传的 blob 中发现了恶意内容。
错误状态
恶意软件扫描可能无法扫描 blob。 发生这种情况时,扫描结果指示存在哪些错误。
| 错误消息 | 错误消息的原因 | 指南 | 此扫描尝试失败是否会产生费用? |
|---|---|---|---|
| SAM259201:“扫描失败 - 内部服务错误。” | 扫描期间发生意外的内部系统错误。 | 这是暂时性错误,接下来上传扫描失败并出现此错误的 blob 应会成功。 | 否 |
| SAM259203:“扫描失败 - 无法访问请求的 blob。” | 由于权限限制,无法访问 blob。 如果有人意外删除了恶意软件扫描程序读取 blob 的权限,则可能会发生这种情况。 Azure Policy 也可以删除权限。 | 查看存储帐户的活动日志,确定谁或什么删除了扫描程序权限。 重新启用恶意软件扫描。 | 否 |
| SAM259204:“扫描失败 - 找不到请求的 blob。” | 找不到 blob。 这可能是由上传后的删除、重定位或重命名操作造成的。 | 不可用 | 否 |
| SAM259205:“由于 ETag 不匹配,扫描失败 - blob 可能被覆盖。” | 在扫描 blob 的过程中,恶意软件扫描可确保 blob 的 ETag 值与首次上传时的值保持一致。 如果 ETag 与预期值不匹配,则可能指示该 blob 在上传后已被另一个进程或用户更改。 | 空值 | 否 |
| SAM259206:“已中止扫描 - 请求的 blob 超出了允许的最大大小 50 GB。” | blob 大小超出了现有大小限制,导致扫描受阻。 有关详细信息,请参阅恶意软件扫描限制文档。 | 不可用 | 否 |
| SAM259207:“扫描超时 - 请求的扫描超出了时间限制。” | 扫描在完成之前超时。 如果前面的步骤(例如下载要扫描的 blob)花费的时间过长,也可能发生此错误。 | 这是暂时性错误,接下来上传扫描失败并出现此错误的 blob 应会成功。 | 否 |
| SAM259208:“扫描失败 - 不支持存档访问层。” | 无法扫描 Azure 存档存储层中的 blob。 有关详细信息,请参阅恶意软件扫描限制文档。 | 不可用 | 否 |
| SAM259209:“扫描失败 - 不支持使用客户提供的密钥加密的 blob。” | 无法解密客户端加密的 blob 以进行扫描。 有关详细信息,请参阅恶意软件扫描限制文档。 | 不可用 | 否 |
| SAM259210:“扫描已中止 - 请求的 blob 受密码保护。” | blob 受密码保护,无法扫描。 有关详细信息,请参阅恶意软件扫描限制文档。 | 不可用 | 是 |
| SAM259211:“扫描已中止 - 超过最大存档嵌套深度。” | 超出了最大存档嵌套深度。 | 存档嵌套是一种逃避恶意软件检测的已知方法。 请谨慎处理此 blob。 | 是 |
| SAM259212:“扫描已中止 - 请求的 blob 数据已损坏。” | Blob 已损坏,恶意软件扫描无法扫描它。 | 不可用 | 是 |
| SAM259213:“服务限制了扫描。” | 扫描请求暂时超过了服务的速率限制。 这是我们用来管理服务器负载并确保所有用户拥有最佳性能的一项措施。 有关详细信息,请参阅恶意软件扫描限制文档。 | 为了避免将来出现此问题,请确保扫描请求保持在服务速率限制范围内。 如果需要超过当前速率限制,请考虑随着时间的推移更均匀地分发扫描请求。 | 否 |
后续步骤
- 了解恶意软件扫描的高级配置。