Sophos Protection for Linux の検出機能をテストする方法
Sophos Protection for Linux の検出機能をテストして、デバイスが保護されており、Sophos Central と通信していることを確認できます。
オンデマンド検索とオンアクセス検索
要件
オンアクセス検索では、サーバー脅威対策ポリシーで「Server Protection for Linux Agent のスキャンを有効化する」をオンにする必要があります。この設定はデフォルトではオフになっています。詳細は、リアルタイム検索 - ローカルファイルとネットワーク共有を参照してください。
EICAR を使用して検索をテストできます。EICAR は業界標準の検出テストファイルであり、ウイルスではありません。
- www.eicar.org に移動します。
- 「Download anti malware test file」をクリックします。
- EICAR テストファイルをダウンロードします。これは、ディスクに書き込まれたときに検出され、クリーンアップされます。
検出は、av.log
に表示されます。次のコマンドを実行します。
cat /opt/sophos-spl/plugins/av/log/av.log
例
180191342 [2023-01-18T16:03:43.969] INFO [9358345792] av <> Threat cleaned up at path: /.../eicar.com
また、Sophos Central のサーバーの「サマリー」ページにも警告が表示されます。
次に例を示します。
ランタイム検知
制限
Sophos Protection for Linux のランタイム検知をテストするには、Sophos Central アカウントに次のいずれかの製品ライセンスが必要です。
- Intercept X Advanced for Server with XDR
- Intercept X Advanced for Server with MDR Complete
runtimedetections
コマンドを使用して、テスト警告を作成できます。テスト警告を作成するには、次の手順を実行します。
/opt/sophos-spl/plugins/runtimedetections/bin
を参照します。- 次のコマンドを実行します。
./runtimedetections --test-alert
警告が作成され、 Sophos Central に送信されたことを /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
で確認できます。次のコマンドを実行します。
cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
例
14 [2023-01-16T17:26:37.631Z] INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z] INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)
また、Sophos Central の「脅威解析センタ- > 検出」にも警告が表示されます。
次に例を示します。