マルウェア スキャンの結果について
マルウェアがないか BLOB をスキャンするとき、スキャン結果はいくつかの方法で評価できます。
- BLOB インデックス タグ - "マルウェア スキャン スキャンの結果" キーを持つインデックス タグ (インデックス タグは、階層型名前空間が有効になっているストレージ アカウントではサポートされていません)。
- Event Grid メッセージ - スキャン結果に対する応答を自動化できます。 必要な構成が多くなります。 詳細については、「マルウェア スキャンの Event Grid を設定する」を参照してください。
- Log Analytics ワークスペースのログ エントリ - この方法を使用すると、一元化されたログ リポジトリにすべてのスキャン結果を格納できます。 このリポジトリは、クエリを簡単に実行できるように設計されており、スキャン結果を追跡し、分析するための強力なツールとなります。 マルウェア スキャンのログ記録を設定する方法についてはこちらを、Event Grid メッセージ構造の詳細についてはこちらを確認してください。
- Defender for Cloud のセキュリティ アラート (マルウェアが検出された場合) - Microsoft Defender for Cloud のセキュリティ アラートの詳細はこちらにあります。
特定のスキャン結果に対して応答を自動化する場合でも、すべてのスキャンの詳細な記録を保持する場合でも、これらのオプションはニーズに合わせて調整できます。
スキャン結果は、成功した状態とエラー状態の 2 つのカテゴリに分類されます。 これらの状態を理解することは、マルウェア スキャンの結果を解釈し、適切な措置をとるために重要です。
Note
Defender for Storage マルウェア スキャンのスループット容量と BLOB サイズの制限を超えるストレージ アカウントの場合、一部の BLOB はスキャンされず、スキャン結果も得られません。
成功状態
BLOB が正常にスキャンされると、スキャン結果は次のいずれかを示します。
脅威が見つかりません - スキャンの結果、悪意のあるコンテンツは見つかりませんでした。
悪意のある - アップロードされた BLOB に悪意のあるコンテンツが見つかりました。
エラー状態
マルウェアのスキャンで BLOB のスキャンに失敗する場合があります。 この場合、スキャン結果はエラーの内容を示します。
| エラー メッセージ | エラーの原因 | ガイダンス | このスキャン失敗に料金は発生しますか? |
|---|---|---|---|
| SAM259201: "スキャンに失敗しました - 内部サービス エラー" | スキャン中、予期しない内部システム エラーが発生しました。 | これは一時的なエラーであり、このエラーでスキャンに失敗した BLOB の後続のアップロードは成功するはずです。 | いいえ |
| SAM259203: "スキャンに失敗しました - 要求された BLOB にアクセスできませんでした" | アクセス許可の制限により、BLOB にアクセスできませんでした。 これは、マルウェア スキャナーの BLOB 読み取りアクセス許可を誰かが誤って削除した場合に発生する可能性があります。 アクセス許可は Azure Policy によって削除することもできます。 | スキャナーのアクセス許可を削除した人または物を判断するには、ストレージ アカウントのアクティビティ ログを調べてください。 マルウェア スキャンを再度有効にします。 | いいえ |
| SAM259204: "スキャンに失敗しました - 要求された BLOB が見つかりませんでした" | BLOB が見つかりませんでした。 原因としては、アップロード後の削除、再配置、または名前変更がありえます。 | 該当なし | いいえ |
| SAM259205: "ETag の不一致によりスキャンに失敗しました - BLOB が上書きされた可能性があります" | BLOB をスキャンするプロセスの間、マルウェア スキャンにより、最初にアップロードされたときの値と BLOB の ETag 値との一貫性が保たれます。 予想される値と ETag が一致しない場合、アップロード後に別のプロセスまたはユーザーによって BLOB が変更されたことを示している可能性があります。 | 該当なし | いいえ |
| SAM259206: "スキャンが中止されました - 許可されている最大サイズである 2 GB を、要求された BLOB が超えました" | BLOB のサイズが既存のサイズ制限を超えたので、スキャンは実行されません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259207: "スキャンがタイムアウトしました - 要求されたスキャンが時間制限を超えました。" | スキャンは完了前にタイムアウトしました。 スキャンのための BLOB ダウンロードなど、前の手順で時間がかかりすぎた場合、このエラーは発生することがあります。 | これは一時的なエラーであり、このエラーでスキャンに失敗した BLOB の後続のアップロードは成功するはずです。 | いいえ |
| SAM259208: "スキャンに失敗しました - アーカイブ アクセス層はサポートされていません" | Azure のアーカイブ ストレージ層の BLOB はスキャンできません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259209: "スキャンに失敗しました - 顧客が指定したキーで暗号化された BLOB はサポートされていません" | クライアント側の暗号化された BLOB は、スキャンのために復号できません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | いいえ |
| SAM259210: "スキャン中止 - 要求された BLOB はパスワードで保護されています" | BLOB はパスワードで保護されており、スキャンできません。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 該当なし | はい |
| SAM259211: "スキャンが中止されました - アーカイブの入れ子の深さの最大値を超えました" | アーカイブの入れ子の深さの最大値を超えました。 | アーカイブの入れ子は、マルウェア検出を回避するための既知の方法です。 この BLOB は慎重に処理してください。 | はい |
| SAM259212: "スキャンが中止されました - 要求された BLOB データが破損しています" | BLOB が破損しており、マルウェア スキャンでスキャンできませんでした。 | 該当なし | はい |
| SAM259213: "スキャンはサービスによって調整されました。" | スキャン要求が一時的にサービスのレート制限を超えました。 これは、サーバーの負荷を管理し、すべてのユーザーに最適なパフォーマンスを保証するために講じられる措置です。 詳細については、マルウェア スキャンの制限に関するドキュメントを参照してください。 | 今後この問題を回避するには、スキャン要求がサービスのレート制限内に収まるようにしてください。 ニーズが現在のレート制限を超える場合は、スキャン要求を時間の経過と共により均等に分散することを検討してください。 | いいえ |
次のステップ
- マルウェア スキャンの詳細な構成についてはこちらをご覧ください。