주요 콘텐츠로 건너뛰기

Sophos Protection for Linux 감지 기능을 테스트하는 방법

Sophos Protection for Linux 감지 기능을 테스트하여 장치가 보호되고 Sophos Central과 통신하는지 확인할 수 있습니다.

주문형 및 실시간 스캐닝

요구 사항

실시간 스캐닝을 사용하려면 서버 위협 보호 정책에서 Server Protection for Linux Agent에 스캔 활성화를 켜야 합니다. 이 설정은 기본적으로 꺼져 있습니다. 실시간 검사 - 로컬 파일 및 네트워크 공유을 참조하십시오.

EICAR로 스캐닝을 테스트할 수 있습니다. EICAR은 바이러스가 아닌 업계 표준 감지 테스트 파일입니다.

  1. www.eicar.org로 이동합니다.
  2. 멀웨어 방지 테스트 파일 다운로드를 클릭합니다.
  3. EICAR 테스트 파일을 다운로드합니다. 디스크에 기록되면 감지되어 정리됩니다.

av.log에서 검색을 확인할 수 있습니다. 다음 명령을 실행합니다.

cat /opt/sophos-spl/plugins/av/log/av.log
180191342 [2023-01-18T16:03:43.969]    정보 [9358345792] av <> 다음 경로에서 위협 정리됨: /.../eicar.com

서버 요약 페이지의 Sophos Central에서도 알림이 표시됩니다.

예를 들면 다음과 같습니다.

EICAR 감지.

런타임 감지

제한 사항

Sophos Protection for Linux 런타임 감지 기능을 테스트하려면 Sophos Central 계정에 다음 제품 라이선스 중 하나가 있어야 합니다.

  • Intercept X Advanced for Server with XDR
  • Intercept X Advanced for Server with MDR Complete

runtimedetections 명령을 사용하여 테스트 알림을 생성할 수 있습니다. 테스트 알림을 생성하려면 다음과 같이 하십시오.

  1. /opt/sophos-spl/plugins/runtimedetections/bin으로 이동합니다.
  2. 다음 명령을 실행합니다.
./runtimedetections --test-alert

알림이 생성되어 /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log에서 Sophos Central로 전송되는 것을 확인할 수 있습니다 다음 명령을 실행합니다.

cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
14      [2023-01-16T17:26:37.631Z]    INFO [0000000000] runtimedetections <> 알림 테스트 명령 실행됨, 종료
12363670 [2023-01-16T17:26:37.641Z]    INFO [0000000000] runtimedetections <> 경고를 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)로서 이벤트 저널 알림 테스터로 전송

위협 분석 센터> 감지에서 Sophos Central의 경고를 볼 수도 있습니다.

예를 들면 다음과 같습니다.

테스트 알림.