瞭解惡意代碼掃描結果

掃描 Blob 是否有惡意程式碼時，可以透過數種方式來評估掃描結果：

• Blob 索引標籤 - 索引標籤，具有金鑰 惡意代碼掃描掃描結果 的索引標籤（已啟用階層命名空間的記憶體帳戶不支援索引卷標）。
• 事件方格訊息 - 可讓您將回應自動化以掃描結果。 其需要更多設定。 深入了解如何設定事件方格以進行惡意程式碼掃描。
• Log Analytics 工作區記錄項目 - 您可以利用此方法，將所有掃描結果儲存在集中式記錄存放庫中。 此存放庫旨在讓您能輕鬆進行查詢，使其成為追蹤和分析掃描結果的強大工具。 深入了解如何設定惡意程式碼掃描的記錄和事件方格訊息結構。
• 適用於雲端的 Defender 中的安全性警示 (如果偵測到惡意程式碼) - 您可以深入了解適用於雲端的 Microsoft Defender 安全性警示。

無論您想要自動回應特定掃描結果，還是保留所有掃描的詳細記錄，都可以量身打造這些選項，以符合您的需求。

掃描結果分為兩個類別：成功狀態和錯誤狀態。 了解這些狀態對於解譯惡意程式碼掃描的結果及採取適當動作至關重要。

注意

對於超過適用於儲存體的 Defender 惡意程式碼掃描的輸送量容量和 Blob 大小限制的儲存體帳戶，將不會掃描某些 Blob，且不會有掃描結果。

成功狀態

成功掃描 Blob 時，掃描結果表示：

• 找不到威脅 - 掃描找不到惡意內容。

• 惡意 - 在上傳的 Blob 中找到惡意內容。

  

錯誤狀態

惡意程式碼掃描可能無法掃描 Blob。 發生這種情況時，掃描結果會指出錯誤。

錯誤訊息	錯誤原因	指引	此掃描嘗試失敗是否會產生費用？
SAM259201：「掃描失敗 - 內部服務錯誤。」	掃描期間發生非預期的內部系統錯誤。	這是暫時性錯誤，後續應該會成功上傳無法掃描且發生此錯誤的 Blob。	No
SAM259203：「掃描失敗 - 無法存取要求的 Blob。」	由於權限限制，無法存取 Blob。 如果有人不小心移除惡意代碼掃描器讀取 Blob 的許可權，就會發生這種情況。 Azure 原則也可以移除權限。	查看儲存體帳戶的活動記錄，以判斷移除掃描器權限的人員或項目。 重新啟用惡意程式碼掃描。	No
SAM259204：「掃描失敗 - 找不到要求的 Blob。」	找不到 Blob。 這可能是因為上傳後刪除、重新配置或重新命名。	N/A	No
SAM259205：「掃描失敗，因為 ETag 不相符 - Blob 可能會遭到覆寫。」	在掃描 Blob 的過程中，惡意代碼掃描可確保 Blob 的 ETag 值與第一次上傳時的 ETag 值保持一致。 如果 ETag 不符合預期的值，表示 Blob 在上傳之後已由另一個進程或用戶改變。	N/A	No
SAM259206：「掃描中止 - 要求的 Blob 超過允許的大小上限 50 GB」。	Blob 大小超過現有的大小限制，造成無法掃描。 如需詳細資訊，請參閱惡意程式碼掃描限制文件。	N/A	No
SAM259207：「掃描逾時 - 要求的掃描超過時間限制。」	掃描在完成前已逾時。 如果前一個步驟 (例如下載 Blob 以進行掃描) 花費太長的時間，也可能會發生此錯誤。	這是暫時性錯誤，後續應該會成功上傳無法掃描且發生此錯誤的 Blob。	No
SAM259208：「掃描失敗 - 不支援封存存取層。」	無法掃描 Azure 封存儲存層中的 Blob。 如需詳細資訊，請參閱惡意程式碼掃描限制文件。	N/A	No
SAM259209：「掃描失敗 - 不支援以客戶提供金鑰加密的 Blob。」	無法解密用戶端加密的 Blob 以進行掃描。 如需詳細資訊，請參閱惡意程式碼掃描限制文件。	N/A	No
SAM259210：「掃描中止 - 要求的 Blob 受到密碼保護。」	Blob 受到密碼保護，因此無法掃描。 如需詳細資訊，請參閱惡意程式碼掃描限制文件。	N/A	Yes
SAM259211：「掃描中止 - 超過封存巢狀深度上限。」	已超過封存巢狀深度上限。	封存巢狀是規避惡意程式碼偵測的已知方法。 小心處理此 Blob。	Yes
SAM259212：「掃描中止 - 要求的 Blob 資料已損毀。」	Blob 已損毀，惡意代碼掃描無法掃描它。	N/A	Yes
SAM259213：「掃描已由服務進行節流。」	掃描要求已暫時超過服務的速率限制。 這是我們管理伺服器負載，並確保所有使用者獲得最佳效能的方法。 如需詳細資訊，請參閱惡意程式碼掃描限制文件。	若要避免未來發生此問題，請確定您的掃描要求會保持在服務的速率限制內。 如果您的需求超過目前的費率限制，請考慮隨著時間更平均地散發掃描要求。	No

下一步

• 了解惡意程式碼掃描的進階設定。