コンテンツにスキップ

Sophos Protection for Linux の検出機能をテストする方法

Sophos Protection for Linux の検出機能をテストして、デバイスが保護されており、Sophos Central と通信していることを確認できます。

オンデマンド検索とオンアクセス検索

要件

オンアクセス検索では、サーバー脅威対策ポリシーで「Server Protection for Linux Agent のスキャンを有効化する」をオンにする必要があります。この設定はデフォルトではオフになっています。詳細は、リアルタイム検索 - ローカルファイルとネットワーク共有を参照してください。

EICAR を使用して検索をテストできます。EICAR は業界標準の検出テストファイルであり、ウイルスではありません。

  1. www.eicar.org に移動します。
  2. Download anti malware test file」をクリックします。
  3. EICAR テストファイルをダウンロードします。これは、ディスクに書き込まれたときに検出され、クリーンアップされます。

検出は、av.log に表示されます。次のコマンドを実行します。

cat /opt/sophos-spl/plugins/av/log/av.log
180191342 [2023-01-18T16:03:43.969]    INFO [9358345792] av <> Threat cleaned up at path: /.../eicar.com

また、Sophos Central のサーバーの「サマリー」ページにも警告が表示されます。

次に例を示します。

EICAR 検出。

ランタイム検知

制限

Sophos Protection for Linux のランタイム検知をテストするには、Sophos Central アカウントに次のいずれかの製品ライセンスが必要です。

  • Intercept X Advanced for Server with XDR
  • Intercept X Advanced for Server with MDR Complete

runtimedetections コマンドを使用して、テスト警告を作成できます。テスト警告を作成するには、次の手順を実行します。

  1. /opt/sophos-spl/plugins/runtimedetections/bin を参照します。
  2. 次のコマンドを実行します。
./runtimedetections --test-alert

警告が作成され、 Sophos Central に送信されたことを /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log で確認できます。次のコマンドを実行します。

cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
14      [2023-01-16T17:26:37.631Z]    INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z]    INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)

また、Sophos Central の「脅威解析センタ- > 検出」にも警告が表示されます。

次に例を示します。

テスト警告。