Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När en blob genomsöks efter skadlig kod kan genomsökningsresultatet utvärderas på flera sätt:
- En blobindextagg – en indextagg med nyckelresultatet för genomsökning av skadlig kod (indextaggar är valfria för användning. De stöds inte i lagringskonton med hierarkiska namnområden aktiverade).
- Ett Event Grid-meddelande – gör att du kan automatisera svar för att skanna resultat. Det kräver fler konfigurationer. Läs mer om hur du konfigurerar Event Grid för skanning av skadlig kod.
- En loggpost för Log Analytics-arbetsytan – genom att använda den här metoden kan du lagra alla genomsökningsresultat i en centraliserad logglagringsplats. Den här lagringsplatsen är utformad för enkel frågekörning, vilket gör den till ett kraftfullt verktyg för att spåra och analysera genomsökningsresultat. Läs mer om hur du konfigurerar loggning för skanning av skadlig kod och Event Grid-meddelandestrukturen .
- En säkerhetsavisering i Defender för molnet (om skadlig kod har identifierats) – du kan läsa mer om Microsoft Defender för molnet säkerhetsaviseringar.
Oavsett om du vill automatisera svar på specifika genomsökningsresultat eller för att föra en detaljerad översikt över alla genomsökningar kan dessa alternativ skräddarsys för att uppfylla dina behov.
Genomsökningsresultaten delas in i två kategorier: lyckade tillstånd och feltillstånd. Att förstå dessa tillstånd är viktigt för att tolka resultatet av skanning av skadlig kod och vidta lämpliga åtgärder.
Kommentar
För lagringskonton som överskrider dataflödeskapaciteten och blobstorleksgränserna för genomsökning av skadlig kod i Defender for Storage genomsöks inte vissa blobar och får inget genomsökningsresultat.
Lyckade tillstånd
När en blob genomsöks indikerar genomsökningsresultatet antingen:
Inga hot hittades – genomsökningen hittade inget skadligt innehåll.
Skadligt – skadligt innehåll hittades i den uppladdade bloben.
Inte genomsökt – bloben kunde inte genomsökas på grund av typ eller kryptering som inte stöds. Läs mer här
Feltillstånd
Genomsökning av skadlig kod kan misslyckas med att skanna en blob. När detta händer anger genomsökningsresultatet vad felet var.
| Felmeddelande | Orsak till fel | Vägledning | Avgift som uppkommer |
|---|---|---|---|
| SAM259201: Genomsökningen misslyckades – internt tjänstfel. | Ett oväntat internt systemfel inträffade under genomsökningen. | Det här är ett tillfälligt fel och efterföljande uppladdning av blobar som inte kunde genomsökas med det här felet bör lyckas. | Nej |
| SAM259203: Inte genomsökt – kunde inte komma åt bloben. | Det gick inte att komma åt bloben på grund av behörighetsbegränsningar. Detta kan inträffa om någon av misstag har tagit bort den skadliga kodens skanners behörighet att läsa blobar. Behörigheter kan också tas bort av en Azure-princip. | Titta på lagringskontots aktivitetslogg för att avgöra vem eller vad som tog bort skannerns behörigheter. Återaktivera skanning av skadlig kod. | Nej |
| SAM259206: Inte genomsökt – bloben överskred den maximala tillåtna storleken på 50 GB. | Blobstorleken överskred storleksgränsen, vilket förhindrar genomsökningen. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259207: Genomsökningen misslyckades – genomsökningen överskred tidsbegränsningen. | Tidsgränsen för genomsökningen överskrids innan den har slutförts. Det här felet kan inträffa om det tar för lång tid att ladda ned bloben för genomsökning. Blobstorlek, typ, komplexitet och lagringskontobelastning påverkar genomsökningstiden. En liten blob kan till exempel innehålla en komprimerad fil med miljontals poster. Defender söker igenom varje post efter skadlig kod, vilket kan ta lång tid och orsaka en timeout. En stor blob kan dock genomsökas snabbt om Defender bara analyserar filhuvudet. | Det här problemet är ofta tillfälligt. Det går vanligtvis att ladda upp samma blob igen. | Nej |
| SAM259208: Inte genomsökt – arkivåtkomstnivån stöds inte. | Blobar på Azures arkivlagringsnivå kan inte genomsökas. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259209: Inte genomsökt – blobar som krypterats med kundspecifika nycklar kan inte analyseras. | Krypterade blobar på klientsidan kan inte dekrypteras för genomsökning. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Ej tillämpligt | Nej |
| SAM259210: Genomsökningen misslyckades – bloben skyddas med lösenord. | Blobben är lösenordsskyddad och kan inte genomsökas. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. Obs! Allt lösenordsskyddat innehåll kan inte identifieras som sådant genom genomsökning av skadlig kod. Till exempel kanske inte lösenordsskydd/kryptering identifieras i PDF-filer. | Ej tillämpligt | Ja |
| SAM259211: Genomsökningen misslyckades – det maximala arkivkapslingsdjupet överskreds. | Det maximala arkivkapslingsdjupet överskreds. | Arkivkapsling är en känd metod för att undvika identifiering av skadlig kod. Hantera den här bloben med försiktighet. | Ja |
| SAM259213: Genomsöks inte – begränsas av tjänsten. | Genomsökningsbegäran överskred tillfälligt tjänstens hastighetsgräns. Det här är ett mått som vi vidtar för att hantera serverbelastningen och säkerställa optimala prestanda för alla användare. Mer information finns i dokumentationen om begränsningar för genomsökning av skadlig kod. | Undvik det här problemet i framtiden genom att se till att dina genomsökningsbegäranden ligger inom tjänstens hastighetsgräns. Om dina behov överskrider den aktuella hastighetsgränsen bör du överväga att distribuera dina genomsökningsbegäranden jämnare över tid. | Nej |
| SAM259215: Inte genomsökt – fördröjd av tjänsten. | Genomsökningen har försenats på grund av systembelastning. Den genomsöks när belastningen på systemet avtar. | Det här är ett tillfälligt tillstånd. Så småningom skannas bloben. | Nej |
| SAM259220: Inte genomsökt – oföränderlighetsprincipen stred mot en annan lagringsprincip som förhindrar blobåtkomst. | Det gick inte att slutföra genomsökningen eftersom containern har en princip för oföränderlighet aktiverad och lagringskontot har spårning av senaste åtkomsttid (LAT) aktiverat. De här inställningarna står i konflikt med och blockerar läsåtkomst till bloben. | Granska konfigurationen av lagringskontot. Om du vill tillåta skanning av skadlig kod kan du inaktivera LAT-spårning eller ändra principen för oföränderlighet för att tillåta nödvändig åtkomst under genomsökningar. | Nej |
| SAM259221: Inte genomsökt – lagringskontot är upptaget eller svarar inte. | Det gick inte att skanna bloben eftersom lagringskontot var upptaget eller inte svarade. Detta kan inträffa när lagringskontot upplever hög belastning och läsbegäranden begränsas eller när nätverksåtkomsten till bloben blockeras. | Arbetsbelastningsägaren bör överväga att minska belastningen på kontot eller distribuera belastningen över flera konton eller uppgradera den till en högre prestandanivå. Defender kan inte effektivt skydda konton som har problem med strypning eftersom den inte kan komma åt blobbarna i dem. | Nej |
Nästa steg
- Lär dig mer om avancerade konfigurationer för skanning av skadlig kod.