Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=protect-devices-server-Linux-agent-test-features

Comment tester les fonctions de détection de Sophos Protection for Linux

Vous pouvez tester les fonctions de détection de Sophos Protection for Linux pour vérifier que votre appareil est protégé et communique avec Sophos Central.

Contrôle à la demande et sur accès

Conditions

Le contrôle sur accès nécessite l’activation de l’option Activer le contrôle pour Server Protection for Linux Agent dans votre stratégie de protection contre les menaces de serveur. Ce paramètre est désactivé par défaut. Voir Contrôle en temps réel - Fichiers locaux et partages réseau.

Vous pouvez tester le contrôle avec EICAR. EICAR est un fichier de test de l’efficacité des détections, pas un virus.

  1. Retrouvez plus de renseignements sur www.eicar.org.
  2. Cliquez sur Télécharger le fichier de test de la protection antimalware.
  3. Téléchargez le fichier de test EICAR. Il est détecté et nettoyé lorsqu’il est écrit sur le disque.

Vous verrez la détection dans av.log. Exécutez la commande suivante :

cat /opt/sophos-spl/plugins/av/log/av.log
Exemple 
180191342 [2023-01-18T16:03:43.969]    INFO [9358345792] av <> Threat cleaned up at path: /.../eicar.com

Vous verrez également l’alerte dans Sophos Central sur la page Résumé du serveur.

Voici un exemple :

Détection EICAR.

Détections runtime

Restrictions

Pour tester les fonctions de détection runtime de Sophos Protection for Linux, votre compte Sophos Central doit disposer de l’une des licences produit suivantes :

  • Intercept X Advanced for Server with XDR
  • Intercept X Advanced for Server with MDR Complete

Vous pouvez utiliser la commande runtimedetections pour créer une alerte de test. Pour créer une alerte de test, procédez comme suit :

  1. Rendez-vous sur /opt/sophos-spl/plugins/runtimedetections/bin.
  2. Exécutez la commande suivante :
./runtimedetections --test-alert

Vous verrez que l’alerte est créée et envoyée à Sophos Central dans /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log. Exécutez la commande suivante :

cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
Exemple 
14      [2023-01-16T17:26:37.631Z]    INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z]    INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)

Vous verrez également l’alerte dans Sophos Central sur Centre d’analyse des menaces > Détections.

Voici un exemple :

Alerte de test.