マルウェアがないか BLOB をスキャンするとき、スキャン結果はいくつかの方法で評価できます。
- BLOB インデックス タグ - マルウェア スキャンスキャン の主要なスキャン結果を含むインデックス タグ (インデックス タグはオプションで使用できます)。階層型名前空間が有効なストレージ アカウントではサポートされていません)。
- Event Grid メッセージ - スキャン結果に対する応答を自動化できます。 より多くの構成が必要です。 詳細については、「マルウェア スキャンの Event Grid を設定する」を参照してください。
- Log Analytics ワークスペースのログ エントリ - この方法を使用すると、一元化されたログ リポジトリにすべてのスキャン結果を格納できます。 このリポジトリは、クエリを簡単に実行できるように設計されており、スキャン結果を追跡し、分析するための強力なツールとなります。 マルウェア スキャンのログ記録を設定する方法についてはこちらを、Event Grid メッセージ構造の詳細についてはこちらを確認してください。
- Defender for Cloud のセキュリティ アラート (マルウェアが検出された場合) - Microsoft Defender for Cloud のセキュリティ アラートの詳細はこちらにあります。
特定のスキャン結果に対して応答を自動化する場合でも、すべてのスキャンの詳細な記録を保持する場合でも、これらのオプションはニーズに合わせて調整できます。
スキャン結果は、成功した状態とエラー状態の 2 つのカテゴリに分類されます。 これらの状態を理解することは、マルウェア スキャンの結果を解釈し、適切な措置をとるために重要です。
注
Defender for Storage マルウェア スキャンの スループット容量と BLOB サイズの制限 を超えるストレージ アカウントの場合、一部の BLOB はスキャンされないため、スキャン結果はありません。
成功状態
BLOB が正常にスキャンされると、スキャン結果は次のいずれかを示します。
脅威が見つかりません - スキャンの結果、悪意のあるコンテンツは見つかりませんでした。
悪意のある - アップロードされた BLOB に悪意のあるコンテンツが見つかりました。
スキャンされない – サポートされていない種類または暗号化のため、BLOB をスキャンできませんでした。 詳細 については、こちらをご覧ください)
エラー状態
マルウェアのスキャンで BLOB のスキャンに失敗する場合があります。 この場合、スキャン結果はエラーの内容を示します。
| エラー メッセージ | エラーの原因 | ガイダンス | 発生した料金 |
|---|---|---|---|
| SAM259201: スキャンに失敗しました - 内部サービス エラー。 | スキャン中、予期しない内部システム エラーが発生しました。 | これは一時的なエラーであり、このエラーでスキャンに失敗した BLOB の後続のアップロードは成功するはずです。 | いいえ |
| SAM259203: スキャンされていません - BLOB にアクセスできませんでした。 | アクセス許可の制限により、BLOB にアクセスできませんでした。 これは、マルウェア検索プログラムの BLOB 読み取りアクセス許可を誰かが誤って削除した場合に発生する可能性があります。 アクセス許可は Azure Policy によって削除することもできます。 | スキャナーのアクセス許可を削除した人または物を判断するには、ストレージ アカウントのアクティビティ ログを調べてください。 マルウェア スキャンを再度有効にします。 | いいえ |
| SAM259206: スキャンされていません - BLOB が最大許容サイズの 50 GB を超えました。 | BLOB のサイズがサイズ制限を超えたので、スキャンは実行されません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259207: スキャンに失敗しました - スキャンが制限時間を超えました。 | スキャンは完了前にタイムアウトしました。 このエラーは、スキャン用の BLOB のダウンロードに時間がかかりすぎる場合に発生する可能性があります。 BLOB のサイズ、種類、複雑さ、ストレージ アカウントの読み込みはすべてスキャン時間に影響します。 たとえば、小さな BLOB には、何百万ものエントリを含む圧縮ファイルが含まれている場合があります。 Defender は各エントリをスキャンしてマルウェアを検出します。この場合、時間がかかり、タイムアウトが発生する可能性があります。 ただし、Defender がファイル ヘッダーのみを分析する場合は、大きな BLOB が迅速にスキャンされる可能性があります。 | 多くの場合、この問題は一時的なものです。 通常、同じ BLOB をもう一度アップロードすると成功します。 | いいえ |
| SAM259208: スキャンされない - アーカイブ アクセス層はサポートされていません。 | Azure のアーカイブ ストレージ層の BLOB はスキャンできません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259209: スキャンされない - 顧客が指定したキーで暗号化された BLOB は分析できません。 | クライアント側の暗号化された BLOB は、スキャンのために復号できません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259210: スキャンに失敗しました- 要求された BLOB はパスワードで保護されます。 | BLOB はパスワードで保護されており、スキャンできません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | はい |
| SAM259211: スキャンに失敗しました - アーカイブの入れ子の深さの最大値を超えました。 | アーカイブの入れ子の深さの最大値を超えました。 | アーカイブの入れ子は、マルウェア検出を回避するための既知の方法です。 このブロブは慎重に処理してください。 | はい |
| SAM259212: スキャンに失敗しました - BLOB データが破損しています。 | BLOB が破損しており、マルウェア スキャンでスキャンできませんでした。 | 該当なし | はい |
| SAM259213: スキャンされない - サービスによって制限されています。 | スキャン要求が一時的にサービスのレート制限を超えました。 これは、サーバーの負荷を管理し、すべてのユーザーに最適なパフォーマンスを保証するために講じられる措置です。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 今後この問題を回避するには、スキャン要求がサービスのレート制限内に収まるようにしてください。 ニーズが現在のレート制限を超える場合は、スキャン要求を時間の経過と共により均等に分散することを検討してください。 | いいえ |
| SAM259215: スキャンされない - サービスによって遅延されます。 | システムの負荷により、スキャンが遅延しました。 システムの負荷が下がるとスキャンされます。 | これは一時的な状態です。 最終的に BLOB がスキャンされます。 | いいえ |
| SAM259220: スキャンされない - 不変ポリシーが、BLOB アクセスを妨げている別のストレージ ポリシーと競合しています。 | コンテナーで不変ポリシーが有効になっており、ストレージ アカウントで最終アクセス時刻 (LAT) 追跡が有効になっているため、スキャンを完了できませんでした。 これらの設定は競合し、BLOB への読み取りアクセスがブロックされます。 | ストレージ アカウントの構成を確認します。 マルウェア スキャンを許可するには、LAT 追跡を無効にするか、スキャン中に必要なアクセスを許可するように不変ポリシーを変更することを検討してください。 | いいえ |
| SAM259221: スキャンされない - ストレージ アカウントがビジー状態であるか、応答していません。 | ストレージ アカウントがビジー状態であったか、応答していないため、BLOB をスキャンできませんでした。 これは、ストレージ アカウントの負荷が高く、読み取り要求が調整された場合、または BLOB へのネットワーク アクセスがブロックされている場合に発生する可能性があります。 | ワークロード所有者は、アカウントの負荷を軽減するか、複数のアカウントに負荷を分散するか、より高いパフォーマンスレベルにアップグレードすることを検討する必要があります。 Defender は、スロットリングの問題が発生するアカウントを効果的に保護できません。これは、その中の BLOB にアクセスできないためです。 | いいえ |
次のステップ
- マルウェア スキャンの詳細な構成についてはこちらをご覧ください。