Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsqu’un blob est analysé pour rechercher des programmes malveillants, le résultat de l’analyse peut être évalué de plusieurs façons :
- Balise d’index de blob : balise d’index avec la clé Résultat d’analyse du programme malveillant (Les balises d’index sont facultatives. Elles ne sont pas prises en charge dans les comptes de stockage dont les espaces de noms hiérarchiques sont activés).
- Message Event Grid : vous permet d’automatiser les réponses aux résultats de l’analyse. Cela nécessite davantage de configurations. En savoir plus sur la configuration d’Event Grid pour l’analyse des programmes malveillants.
- Entrée du journal de l’espace de travail Log Analytics : en utilisant cette méthode, vous pouvez stocker tous les résultats d’analyse dans un référentiel de journaux centralisé. Ce référentiel est conçu pour faciliter l’interrogation, ce qui en fait un outil puissant pour le suivi et l’analyse des résultats de l’analyse. En savoir plus sur la configuration de la journalisation pour l’analyse des programmes malveillants et la structure des messages Event Grid.
- Alerte de sécurité dans Defender for Cloud (si un programme malveillant est détecté) : vous pouvez en savoir plus sur les alertes de sécurité Microsoft Defender for Cloud.
Que vous souhaitiez automatiser les réponses à des résultats d’analyse spécifiques ou conserver un enregistrement détaillé de toutes les analyses, ces options peuvent être adaptées pour répondre à vos besoins.
Les résultats de l’analyse se répartissent en deux catégories : états de réussite et états d’erreur. Comprendre ces états est important pour interpréter les résultats de l’analyse des programmes malveillants et prendre des mesures appropriées.
Remarque
Pour les comptes de stockage qui dépassent la capacité de débit et les limites de taille de blob de l’analyse des programmes malveillants Defender pour le stockage, certains blobs ne seront pas analysés et n’auront pas de résultat d’analyse.
États de réussite
Lorsqu’un blob est analysé avec succès, le résultat de l’analyse indique :
Aucune menace trouvée : l’analyse n’a trouvé aucun contenu malveillant.
Malveillant : un contenu malveillant a été trouvé dans le blob chargé.
Non analysé : l’objet blob n’a pas pu être analysé en raison d’un type ou d’un chiffrement non pris en charge. Apprenez-en davantage ici.
États d’erreur
L’analyse de programmes malveillants pourrait échouer à analyser un blob. Lorsque cela se produit, le résultat de l’analyse indique l’erreur.
| Message d’erreur | Cause de l’erreur | Assistance | Frais encourus |
|---|---|---|---|
| SAM259201 : Échec de l’analyse - erreur de service interne. | Une erreur système interne inattendue s’est produite pendant l’analyse. | Il s’agit d’une erreur temporaire, le chargement ultérieur des blobs qui n’ont pas pu être analysés à cause de cette erreur devrait aboutir. | Non |
| SAM259203 : Non analysé - impossible d’accéder au blob. | Impossible d’accéder au blob en raison de restrictions d’autorisation. Cela peut se produire si quelqu’un a accidentellement supprimé l’autorisation permettant à l’analyseur de programmes malveillants de lire des blobs. Les autorisations peuvent également être supprimées par Azure Policy. | Examinez le journal d’activité du compte de stockage pour déterminer qui ou ce qui a supprimé les autorisations de l’analyseur. Réactivez l’analyse des programmes malveillants. | Non |
| SAM259206 : non analysé, le blob dépasse la taille maximale autorisée de 50 Go. | La taille de l’objet blob a dépassé la limite de taille, ce qui a empêché l’analyse. Pour plus d’informations, consultez la documentation sur les limites de l’analyse des programmes malveillants. | N/A | Non |
| SAM259207 : Échec de l’analyse : l’analyse a dépassé la limite de temps. | L’analyse a expiré avant la fin. Cette erreur peut se produire si le téléchargement de l’objet blob pour analyse prend trop de temps. La taille, le type, la complexité et la charge du compte de stockage influencent tous le temps d’analyse. Par exemple, un petit blob est susceptible de contenir un fichier compressé avec des millions d’entrées. Defender analyse chaque entrée pour les malwares, ce qui peut prendre beaucoup de temps et provoquer un dépassement de délai. Toutefois, un objet blob volumineux peut être analysé rapidement si Defender analyse uniquement l’en-tête du fichier. | Ce problème est souvent temporaire. Le chargement du même objet blob réussit généralement. | Non |
| SAM259208 : non scanné : le niveau d’accès archive n’est pas pris en charge. | Les blobs du niveau de stockage Archive d’Azure ne peuvent pas être analysés. Pour plus d’informations, consultez la documentation sur les limites de l’analyse des programmes malveillants. | N/A | Non |
| SAM259209 : Non scanné - les objets blob chiffrés avec les clés fournies par le client ne peuvent pas être analysés. | Les blobs chiffrés côté client ne peuvent pas être déchiffrés pour être analysés. Pour plus d’informations, consultez la documentation sur les limites de l’analyse des programmes malveillants. | N/A | Non |
| SAM259210 : Échec de l’analyse : le bloc de données est protégé par un mot de passe. | Le blob est protégé par un mot de passe et ne peut pas être analysé. Pour plus d’informations, consultez la documentation sur les limites de l’analyse des programmes malveillants. Remarque : Tout le contenu protégé par mot de passe ne peut pas être identifié comme tel par l’analyse des programmes malveillants. Par exemple, la protection/chiffrement par mot de passe peut ne pas être détectée dans les fichiers PDF. | N/A | Oui |
| SAM259211 : Échec de l’analyse : profondeur maximale d’imbrication d’archivage dépassée. | La profondeur maximale d’imbrication d’archive a été dépassée. | L’imbrication d’archive est une méthode connue pour échapper à la détection des programmes malveillants. Gérez ce blob avec précaution. | Oui |
| SAM259213 : non analysé, limité par le service. | La requête d’analyse a temporairement dépassé la limite de débit du service. Il s’agit d’une mesure que nous prenons pour gérer la charge du serveur et garantir des performances optimales pour tous les utilisateurs. Pour plus d’informations, consultez la documentation sur les limites de l’analyse des programmes malveillants. | Pour éviter ce problème à l’avenir, assurez-vous que vos demandes d’analyse restent dans la limite de débit du service. Si vos besoins dépassent la limite de débit actuelle, envisagez de distribuer vos demandes d’analyse plus uniformément au fil du temps. | Non |
| SAM259215: non analysé en raison d'un retard du service. | L’analyse a été retardée en raison de la charge système. Il sera analysé lorsque la charge sur le système diminuera. | État temporaire. Finalement, le blob sera scanné. | Non |
| SAM259220 : non analysé, stratégie d’immuabilité en conflit avec une autre stratégie de stockage empêchant l’accès aux blobs. | Impossible de terminer l’analyse, car une stratégie d’immuabilité est activée sur le conteneur et le suivi de l’heure du dernier accès (LAT) au compte de stockage est activé. Ces paramètres entrent en conflit et bloquent l’accès en lecture à l’objet blob. | Passez en revue la configuration de votre compte de stockage. Pour autoriser l’analyse des programmes malveillants, envisagez de désactiver le suivi LAT ou de modifier la stratégie d’immuabilité pour autoriser l’accès nécessaire pendant les analyses. | Non |
| SAM259221 : non analysé : le compte de stockage est occupé ou non réactif. | Impossible de scanner le blob, car le compte de stockage était occupé ou n’a pas répondu. Cela peut se produire lorsque le compte de stockage rencontre une charge élevée et que les demandes de lecture sont limitées ou lorsque l’accès réseau à l’objet blob est bloqué. | Le propriétaire de la charge de travail doit envisager de réduire la charge sur le compte ou de distribuer la charge sur plusieurs comptes ou de la mettre à niveau vers un niveau de performances supérieur. Defender ne peut pas protéger efficacement les comptes qui rencontrent des problèmes de limitation, car il ne peut pas accéder aux blobs qu’ils contiennent. | Non |