악성 코드 검사 결과 이해
Blob에서 맬웨어를 검사하면 검사 결과는 여러 가지 방법으로 평가될 수 있습니다.
- Blob 인덱스 태그 - "맬웨어 검사 결과" 키가 있는 인덱스 태그입니다(인덱스 태그는 계층 구조 네임스페이스가 사용하도록 설정된 스토리지 계정에서 지원되지 않음).
- Event Grid 메시지 - 검사 결과에 대한 응답을 자동화할 수 있습니다. 더 많은 구성이 필요합니다. 맬웨어 검사를 위한 Event Grid 설정에 대해 자세히 알아봅니다.
- Log Analytics 작업 영역 로그 항목 - 이 방법을 활용하면 모든 검사 결과를 중앙 로그 리포지토리에 저장할 수 있습니다. 이 리포지토리는 쉽게 쿼리할 수 있도록 설계되어 검사 결과를 추적하고 분석하는 강력한 도구입니다. 맬웨어 검사를 위한 로깅 설정 및 Event Grid 메시지 구조에 대해 자세히 알아봅니다.
- 클라우드용 Defender의 보안 경고(맬웨어가 검색된 경우) - 클라우드용 Microsoft Defender 보안 경고에 대해 자세히 알아볼 수 있습니다.
특정 검사 결과에 대한 응답을 자동화하거나 모든 검사에 대한 자세한 기록을 유지하려는 경우 이러한 옵션을 필요에 맞게 맞춤화할 수 있습니다.
검사 결과는 성공 상태와 오류 상태라는 두 가지 범주로 분류됩니다. 이러한 상태를 이해하는 것은 맬웨어 검사 결과를 해석하고 적절한 조치를 취하는 데 중요합니다.
참고 항목
스토리지용 Defender 맬웨어 검사에 대한 처리량 용량 및 Blob 크기 제한을 초과하는 스토리지 계정의 경우 일부 Blob은 검사되지 않으며 검사 결과가 없습니다.
성공 상태
Blob이 성공적으로 검사되면 검사 결과는 다음 중 하나를 나타냅니다.
위협을 찾을 수 없음 - 검사 결과 악성 콘텐츠가 발견되지 않았습니다.
악성 - 업로드된 blob에서 악성 콘텐츠가 발견되었습니다.
오류 상태
맬웨어 검사가 Blob 검사에 실패할 수 있습니다. 이런 일이 발생하면 검사 결과에 오류가 무엇인지 표시됩니다.
| 오류 메시지 | 오류 원인 | 지침 | 검사 시도가 실패하면 요금이 부과되나요? |
|---|---|---|---|
| SAM259201: "검사 실패 - 내부 서비스 오류." | 검사 중에 예기치 못한 내부 시스템 오류가 발생했습니다. | 이는 일시적인 오류이며 이 오류로 인해 검사에 실패한 Blob의 후속 업로드는 성공해야 합니다. | 아니요 |
| SAM259203: "검사 실패 - 요청한 Blob에 액세스할 수 없습니다." | 권한 제한으로 인해 Blob에 액세스할 수 없습니다. 누군가 Blob을 읽을 수 있는 맬웨어 스캐너의 권한을 실수로 제거한 경우 이런 일이 발생할 수 있습니다. Azure Policy를 통해 권한을 제거할 수도 있습니다. | 스캐너의 권한을 제거한 사용자이나 대상을 확인하려면 스토리지 계정의 활동 로그를 살펴봅니다. 맬웨어 검사를 다시 사용하도록 설정합니다. | 아니요 |
| SAM259204: "검사 실패 - 요청한 Blob을 찾을 수 없습니다." | Blob이 발견되지 않았습니다. 이는 업로드 후 삭제, 재배치 또는 이름 변경으로 인해 발생할 수 있습니다. | 해당 없음 | 아니요 |
| SAM259205: "ETag 불일치로 인해 검사에 실패했습니다. Blob을 덮어썼을 가능성이 있습니다." | Blob을 검사하는 동안 맬웨어 검사는 Blob의 ETag 값이 처음 업로드되었을 때의 값과 일관되게 유지되도록 합니다. ETag가 예상 값과 일치하지 않으면 업로드 후 다른 프로세스나 사용자에 의해 Blob이 변경되었음을 나타낼 수 있습니다. | 해당 없음 | 아니요 |
| SAM259206: "검사가 중단되었습니다. 요청된 blob이 최대 허용 크기인 2GB를 초과했습니다." | Blob 크기가 기존 크기 제한을 초과하여 검사할 수 없습니다. 자세한 내용은 맬웨어 검사 제한 사항 설명서를 참조하세요. | 해당 없음 | 아니요 |
| SAM259207: "검사 시간 초과 - 요청된 검사가 시간 제한 사항을 초과했습니다." | 검사가 완료되기 전에 시간이 초과되었습니다. 이 오류는 검사를 위해 Blob을 다운로드하는 등의 이전 단계가 너무 오래 걸리는 경우에도 발생할 수 있습니다. | 이는 일시적인 오류이며 이 오류로 인해 검사에 실패한 Blob의 후속 업로드는 성공해야 합니다. | 아니요 |
| SAM259208: "검사 실패 - 보관 액세스 계층이 지원되지 않습니다." | Azure 보관 스토리지 계층의 Blob은 검사할 수 없습니다. 자세한 내용은 맬웨어 검사 제한 사항 설명서를 참조하세요. | 해당 없음 | 아니요 |
| SAM259209: "검사 실패 - 고객이 제공한 키로 암호화된 Blob은 지원되지 않습니다." | 클라이언트 쪽 암호화된 Blob은 검사를 위해 해독될 수 없습니다. 자세한 내용은 맬웨어 검사 제한 사항 설명서를 참조하세요. | 해당 없음 | 아니요 |
| SAM259210: "검사가 중단되었습니다. 요청된 Blob은 암호로 보호됩니다." | Blob은 암호로 보호되어 있으므로 검사할 수 없습니다. 자세한 내용은 맬웨어 검사 제한 사항 설명서를 참조하세요. | 해당 없음 | 예 |
| SAM259211: "검사가 중단되었습니다. 최대 보관 중첩 깊이가 초과되었습니다." | 최대 보관 중첩 깊이를 초과했습니다. | 보관 중첩은 맬웨어 검색을 회피하는 알려진 방법입니다. 이 Blob을 주의해서 다루세요. | 예 |
| SAM259212: "검사가 중단되었습니다. 요청된 Blob 데이터가 손상되었습니다." | Blob이 손상되었으며 맬웨어 검사에서 이를 검사할 수 없습니다. | 해당 없음 | 예 |
| SAM259213: "서비스에 의해 검사가 제한되었습니다." | 검사 요청이 서비스의 속도 제한을 일시적으로 초과했습니다. 이는 서버 부하를 관리하고 모든 사용자에게 최적의 성능을 보장하기 위해 취하는 측정값입니다. 자세한 내용은 맬웨어 검사 제한 사항 설명서를 참조하세요. | 앞으로 이 문제를 방지하려면 검사 요청이 서비스 속도 제한 내에 있는지 확인하세요. 요구 사항이 현재 속도 제한을 초과하는 경우 시간이 지남에 따라 검사 요청을 보다 균등하게 배포하는 것이 좋습니다. | 아니요 |
다음 단계
- 맬웨어 검사를 위한 고급 구성에 대해 알아봅니다.