Förstå resultat från genomsökning av skadlig kod
När en blob genomsöks efter skadlig kod kan genomsökningsresultatet utvärderas på flera sätt:
- En blobindextagg – en indextagg med nyckeln "Malware Scanning scan result" (indextaggar stöds inte i lagringskonton med hierarkiska namnområden aktiverade).
- Ett Event Grid-meddelande – gör att du kan automatisera svar för att skanna resultat. Det kräver mer konfiguration. Läs mer om hur du konfigurerar Event Grid för skanning av skadlig kod.
- En loggpost för Log Analytics-arbetsytan – genom att använda den här metoden kan du lagra alla genomsökningsresultat i en centraliserad logglagringsplats. Den här lagringsplatsen är utformad för enkel frågekörning, vilket gör den till ett kraftfullt verktyg för att spåra och analysera genomsökningsresultat. Läs mer om hur du konfigurerar loggning för skanning av skadlig kod och Event Grid-meddelandestrukturen .
- En säkerhetsavisering i Defender för molnet (om skadlig kod har identifierats) – du kan läsa mer om Microsoft Defender för molnet säkerhetsaviseringar.
Oavsett om du vill automatisera svar på specifika genomsökningsresultat eller för att föra en detaljerad översikt över alla genomsökningar kan dessa alternativ skräddarsys för att uppfylla dina behov.
Genomsökningsresultaten delas in i två kategorier: lyckade tillstånd och feltillstånd. Att förstå dessa tillstånd är viktigt för att tolka resultatet av skanning av skadlig kod och vidta lämpliga åtgärder.
Kommentar
För lagringskonton som överskrider dataflödeskapaciteten och blobstorleksgränserna för genomsökning av skadlig kod i Defender for Storage genomsöks inte vissa blobar och får inget genomsökningsresultat.
Lyckade tillstånd
När en blob genomsöks indikerar genomsökningsresultatet antingen:
Inga hot hittades – genomsökningen hittade inget skadligt innehåll.
Skadligt – skadligt innehåll hittades i den uppladdade bloben.
Feltillstånd
Genomsökning av skadlig kod kan misslyckas med att skanna en blob. När detta händer anger genomsökningsresultatet vad felet var.
| Felmeddelande | Orsak till fel | Vägledning | Medför det här misslyckade genomsökningsförsöket en avgift? |
|---|---|---|---|
| SAM259201: "Genomsökningen misslyckades – internt tjänstfel." | Ett oväntat internt systemfel inträffade under genomsökningen. | Det här är ett tillfälligt fel och efterföljande uppladdning av blobar som inte kunde genomsökas med det här felet bör lyckas. | Nej |
| SAM259203: "Genomsökningen misslyckades – det gick inte att komma åt den begärda bloben." | Det gick inte att komma åt bloben på grund av behörighetsbegränsningar. Detta kan inträffa om någon av misstag har tagit bort den skadliga skannerns behörighet att läsa blobar. Behörigheter kan också tas bort av en Azure-princip. | Titta på lagringskontots aktivitetslogg för att avgöra vem eller vad som tog bort skannerns behörigheter. Återaktivera skanning av skadlig kod. | Nej |
| SAM259204: "Genomsökningen misslyckades – den begärda bloben hittades inte." | Bloben hittades inte. Detta kan bero på borttagning, flytt eller namnbyte efter uppladdningen. | Ej tillämpligt | Nej |
| SAM259205: "Genomsökningen misslyckades på grund av ETag-matchningsfel – bloben skrevs eventuellt över." | Under genomsökningen av en blob säkerställer genomsökning av skadlig kod att ETag-värdet för blobben förblir konsekvent med vad det var när den först laddades upp. Om ETag inte matchar det förväntade värdet kan det tyda på att bloben har ändrats av en annan process eller användare efter uppladdningen. | Ej tillämpligt | Nej |
| SAM259206: "Genomsökningen avbröts – den begärda bloben överskred den maximala tillåtna storleken på 2 GB." | Blobstorleken överskred den befintliga storleksgränsen, vilket förhindrar genomsökningen. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259207: "Tidsgränsen för genomsökningen överskred tidsgränsen för den begärda genomsökningen." | Tidsgränsen för genomsökningen överskrids innan den har slutförts. Det här felet kan också inträffa om ett föregående steg, till exempel att ladda ned bloben för genomsökning, tar för lång tid. | Det här är ett tillfälligt fel och efterföljande uppladdning av blobar som inte kunde genomsökas med det här felet bör lyckas. | Nej |
| SAM259208: "Genomsökningen misslyckades – arkivåtkomstnivån stöds inte." | Blobar på Azures arkivlagringsnivå kan inte genomsökas. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259209: "Genomsökningen misslyckades – blobar som krypterats med kundspecifika nycklar stöds inte." | Krypterade blobar på klientsidan kan inte dekrypteras för genomsökning. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259210: "Genomsökningen avbröts – den begärda bloben skyddas av lösenord." | Blobben är lösenordsskyddad och kan inte genomsökas. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Ja |
| SAM259211: "Genomsökningen avbröts – det maximala arkivkapslingsdjupet överskreds." | Det maximala arkivkapslingsdjupet överskreds. | Arkivkapsling är en känd metod för att undvika identifiering av skadlig kod. Hantera den här bloben med försiktighet. | Ja |
| SAM259212: "Genomsökningen avbröts – begärda blobdata är skadade." | Blobben är skadad och det gick inte att genomsöka den. | Ej tillämpligt | Ja |
| SAM259213: "Genomsökningen begränsades av tjänsten." | Genomsökningsbegäran har tillfälligt överskridit tjänstens hastighetsgräns. Det här är ett mått som vi vidtar för att hantera serverbelastningen och säkerställa optimala prestanda för alla användare. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Undvik det här problemet i framtiden genom att se till att dina genomsökningsbegäranden ligger inom tjänstens hastighetsgräns. Om dina behov överskrider den aktuella hastighetsgränsen bör du överväga att distribuera dina genomsökningsbegäranden jämnare över tid. | Nej |
Nästa steg
- Lär dig mer om avancerade konfigurationer för skanning av skadlig kod.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för