你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
扫描 blob 以查找恶意软件时,可通过多种方式评估扫描结果:
- blob 索引标记 - 带有“恶意软件扫描的扫描结果”键的索引标记(索引标记是选用的。启用了分层命名空间的存储帐户不支持它们)。
- 事件网格消息 - 允许自动响应以扫描结果。 它需要更多的配置。 详细了解如何为恶意软件扫描设置事件网格。
- Log Analytics 工作区日志条目 - 利用此方法,可将所有扫描结果存储在集中式日志存储库中。 此存储库可实现轻松查询,是跟踪和分析扫描结果的一款强大工具。 详细了解如何设置恶意软件扫描的日志记录和事件网格消息结构。
- Defender for Cloud 中的安全警报(如果检测到恶意软件)- 你可以阅读有关 Microsoft Defender for Cloud 安全警报的详细信息。
无论是希望自动响应特定扫描结果,还是要保留所有扫描的详细记录,都可以根据需求定制这些选项。
扫描结果分为两类:成功状态和错误状态。 了解这些状态对于解释恶意软件扫描的结果和采取适当操作非常重要。
注意
对于超出 Defender for Storage 恶意软件扫描的吞吐量容量和 blob 大小限制的存储帐户,某些 blob 不会被扫描,也不会有扫描结果。
成功状态
成功扫描 blob 后,扫描结果会指示:
未找到威胁 - 扫描未发现恶意内容。
恶意 - 在上传的 blob 中发现了恶意内容。
未扫描 – 由于类型或加密不受支持,无法扫描 blob。 在此处了解详细信息
错误状态
恶意软件扫描可能无法扫描 blob。 发生这种情况时,扫描结果指示存在哪些错误。
| 错误消息 | 错误原因 | 指南 | 产生费用 |
|---|---|---|---|
| SAM259201:扫描失败 - 内部服务错误。 | 扫描期间发生意外的内部系统错误。 | 这是暂时性错误,接下来上传扫描失败并出现此错误的 blob 应会成功。 | 否 |
| SAM259203:未扫描 - 无法访问 Blob。 | 由于权限限制,无法访问 blob。 如果有人意外删除了恶意软件扫描程序读取 blob 的权限,则可能会发生这种情况。 Azure Policy 也可以删除权限。 | 查看存储帐户的活动日志,确定谁或什么删除了扫描程序权限。 重新启用恶意软件扫描。 | 否 |
| SAM259206:未扫描 - Blob(数据块)超出了允许的最大大小 50GB。 | Blob 大小超出了大小限制,阻止扫描。 有关详细信息,请参阅恶意软件扫描限制文档。 | 空值 | 否 |
| SAM259207:扫描失败 - 扫描超出时间限制。 | 扫描在完成之前超时。 如果下载 Blob 进行扫描花费的时间过长,则可能会出现此错误。 Blob 大小、类型、复杂性和存储帐户负载都会影响扫描时间。 例如,一个小 Blob 可能包含包含数百万个条目的压缩文件。 Defender 会扫描每个条目以查找恶意软件,这可能需要很长时间,并可能导致超时。 但是,如果 Defender 仅分析文件头,大型数据块能够被快速扫描。 | 此问题通常是暂时性的。 再次上传同一 Blob 通常会成功。 | 否 |
| SAM259208:未扫描 - 不支持存档访问层。 | 无法扫描 Azure 存档存储层中的 blob。 有关详细信息,请参阅恶意软件扫描限制文档。 | 空值 | 否 |
| SAM259209:未扫描 - 无法分析使用客户提供的密钥加密的 blob。 | 无法解密客户端加密的 blob 以进行扫描。 有关详细信息,请参阅恶意软件扫描限制文档。 | 空值 | 否 |
| SAM259210:扫描失败 - 请求的 Blob 受密码保护。 | blob 受密码保护,无法扫描。 有关详细信息,请参阅恶意软件扫描限制文档。 注意:并非所有受密码保护的内容都可以通过恶意软件扫描来识别。 例如,可能无法在 PDF 文件中检测到密码保护/加密。 | 空值 | 是 |
| SAM259211:扫描失败 - 超出最大存档嵌套深度。 | 超出了最大存档嵌套深度。 | 存档嵌套是一种逃避恶意软件检测的已知方法。 请谨慎处理此 blob。 | 是 |
| SAM259213:未扫描 - 受到服务限制。 | 扫描请求暂时超过了服务的速率限制。 这是我们用来管理服务器负载并确保所有用户拥有最佳性能的一项措施。 有关详细信息,请参阅恶意软件扫描限制文档。 | 为了避免将来出现此问题,请确保扫描请求保持在服务速率限制范围内。 如果需要超过当前速率限制,请考虑随着时间的推移更均匀地分发扫描请求。 | 否 |
| SAM259215:未扫描 - 服务延迟。 | 由于系统负载,扫描已延迟。 当系统上的负载消退时,将扫描它。 | 这是一个暂时性状态。 最终会扫描 blob。 | 否 |
| SAM259220:未扫描 - 不可变性策略与阻止 Blob 访问的另一个存储策略冲突。 | 无法完成扫描,因为容器已启用不可变策略,并且存储帐户启用了上次访问时间(LAT)跟踪。 这些设置冲突并阻止对 Blob 的读取访问。 | 查看存储帐户配置。 若要允许恶意软件扫描,请考虑禁用 LAT 跟踪或修改不可变性策略,以允许在扫描期间进行必要的访问。 | 否 |
| SAM259221:未扫描 - 存储帐户繁忙或不响应。 | 无法扫描 Blob,因为存储帐户繁忙或未响应。 当存储帐户遇到高负载导致读取请求被限制,或者访问 Blob 的网络被阻止时,可能会发生这种情况。 | 工作负荷所有者应考虑减少帐户上的负载,或在多个帐户之间分配负载,或将其升级到更高的性能层。 Defender 无法有效地保护遇到限流问题的帐户,因为它无法访问其中的数据块。 | 否 |
后续步骤
- 了解恶意软件扫描的高级配置。