Comprender los resultados del examen de malware
Cuando se examina un blob para comprobar si tiene malware, el resultado del examen se puede valorar de varias maneras:
- Una etiqueta de índice de blob: una etiqueta de índice con la clave "Resultado del examen de malware" (las etiquetas de índice no se admiten en las cuentas de almacenamiento con espacios de nombres jerárquicos habilitados).
- Un mensaje de Event Grid: permite automatizar las respuestas a los resultados del examen. Requiere más configuración. Más información sobre cómo Event Grid para el examen de malware.
- Una entrada de registro del área de trabajo de Log Analytics: mediante este método, puede almacenar todos los resultados del examen en un repositorio de registros centralizado. Este repositorio está diseñado para facilitar las consultas, lo que hace que sea una herramienta eficaz para el seguimiento y el análisis de los resultados del examen. Más información sobre cómo configurar el registro para el examen de malware y la estructura de mensajes de Event Grid.
- Una alerta de seguridad en Defender for Cloud (si se detectó malware): puede obtener más información sobre las alertas de seguridad de Microsoft Defender for Cloud.
Tanto si busca automatizar las respuestas a resultados específicos del examen como mantener un registro detallado de todos los exámenes, estas opciones se pueden adaptar para satisfacer sus necesidades.
Los resultados del examen se dividen en dos categorías: estados correctos y estados de error. Comprender estos estados es importante para interpretar los resultados del examen de malware y tomar las medidas adecuadas.
Nota:
En el caso de las cuentas de almacenamiento que superen la capacidad de rendimiento y los límites de tamaño de blob para el examen de malware de Defender para Storage, algunos blobs no se examinarán y no tendrán un resultado de examen.
Estados correctos
Cuando un blob se examina correctamente, el resultado del examen indica:
No se encontraron amenazas: el examen no encontró contenido malintencionado.
Malintencionado: se encontró contenido malintencionado en el blob cargado.
Estados de error
Es posible que el examen de malware no analice un blob. Cuando esto sucede, el resultado del examen indica cuál fue el error.
| Mensaje de error | Causa del error | Guía | ¿Genera algún cargo este intento de análisis con errores? |
|---|---|---|---|
| SAM259201: "Error en el examen: error interno del servicio". | Se produjo un error interno inesperado en el sistema durante el examen. | Se trata de un error transitorio, por lo que no debería haber problemas con la carga posterior de blobs que no se pudieron examinar. | No |
| SAM259203: "Error en el examen: no se pudo acceder al blob solicitado". | No se pudo acceder al blob debido a restricciones de permisos. Esta situación puede ocurrir si alguien ha quitado accidentalmente el permiso del detector de malware para leer blobs. Los permisos también se pueden quitar mediante Azure Policy. | Examine el registro de actividad de la cuenta de almacenamiento para determinar quién o qué ha quitado los permisos del detector. Vuelva a habilitar el examen de malware. | No |
| SAM259204: "Error en el examen: no se encontró el blob solicitado". | No se encontró el blob. Esto puede deberse a la eliminación, reubicación o cambio de nombre después de la carga. | N/D | No |
| SAM259205: "Error en el examen debido a un error de coincidencia de ETag: es posible que se sobrescriba el blob". | Durante el proceso de examen de un blob, el examen de malware garantiza que el valor de ETag del blob siga siendo coherente con el que tenía cuando se cargó por primera vez. Si el valor de ETag no coincide con el valor esperado, podría indicar que otro proceso o usuario ha modificado el blob después de la carga. | N/D | No |
| SAM259206: "Examen anulado: el blob solicitado superó el tamaño máximo permitido de 2 GB". | El tamaño del blob superó el límite de tamaño existente, lo que impide el examen. Para más información, consulte la documentación sobre las limitaciones del examen de malware. | N/D | No |
| SAM259207: "Tiempo de espera agotado del examen: el examen solicitado superó la limitación de tiempo". | Se agotó el tiempo de espera del examen antes de que se completara. Este error también puede producirse si un paso anterior, como descargar el blob para el examen, tarda demasiado tiempo. | Se trata de un error transitorio, por lo que no debería haber problemas con la carga posterior de blobs que no se pudieron examinar. | No |
| SAM259208: "Error en el examen: no se admite el nivel de acceso de archivo". | Los blobs del nivel de almacenamiento de archivo de Azure no se pueden examinar. Para más información, consulte la documentación sobre las limitaciones del examen de malware. | N/D | No |
| SAM259209: "Error en el examen: no se admiten blobs cifrados con claves proporcionadas por el cliente". | Los blobs cifrados por el cliente no se pueden descifrar para el examen. Para más información, consulte la documentación sobre las limitaciones del examen de malware. | N/D | No |
| SAM259210: "Examen anulado: el blob solicitado está protegido con contraseña". | El blob está protegido con contraseña y no se puede examinar. Para más información, consulte la documentación sobre las limitaciones del examen de malware. | N/D | Sí |
| SAM259211: "Examen anulado: se ha superado la profundidad máxima de anidamiento de archivo". | Se superó la profundidad máxima de anidamiento de archivo. | El anidamiento de archivo es un método conocido para evadir la detección de malware. Gestione este blob con cuidado. | Sí |
| SAM259212: "Examen anulado: los datos de blob solicitados están dañados". | El blob está dañado y el examen de malware no pudo examinarlo. | N/D | Sí |
| SAM259213: "El servicio limitó el examen". | La solicitud de examen ha superado temporalmente el límite de frecuencia del servicio. Se trata de una medida que se toma para administrar la carga del servidor y garantizar un rendimiento óptimo para todos los usuarios. Para más información, consulte la documentación sobre las limitaciones del examen de malware. | Para evitar este problema en el futuro, asegúrese de que las solicitudes de examen permanecen dentro del límite de velocidad del servicio. Si sus necesidades superan el límite de velocidad actual, considere la posibilidad de distribuir las solicitudes de examen de forma más uniforme a lo largo del tiempo. | No |
Pasos siguientes
- Más información sobre configuraciones avanzadas para el examen de malware.