コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/sls/help/ja-jp/index.html?contextId=ecd1d042-0b6a-4da0-861f-f879c4f4b09d

デフォルト検出のテスト

前提条件

Sophos Linux Sensor (SLS) の検出をテストする前に、SLS をインストールし、デフォルトの検出を適用する必要があります。詳細は、ISophos Linux Sensor のインストールを参照してください。

Sophos Linux Sensor (SLS) 検出のテスト

センサーとコンテンツをインストールしたら、コンテンツが適切に導入され、生成された警告が適切な場所に送信されることをテストします。任意の警告をテストとしてトリガできます。次の検出は、テスト警告をトリガする簡単な方法です。

  • デフォルトのコンテンツパッケージのテスト警告ポリシー
  • 暗号通貨マイナーの検出

  1. テストするホストで SLS が起動していることを確認します。次のコマンドを実行します。

    systemctl status sophoslinuxsensor

    出力のサンプル:

    vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor
● sophoslinuxsensor.service - Sophos Linux Sensor
    Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled)
    Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago
  Main PID:26137 (sophoslinuxsens)
    Tasks:20 (limit:2245)
    メモリ:42.0M
    CGroup: /system.slice/sophoslinuxsensor.service
            ├─26137 /usr/local/bin/sophoslinuxsensor
            ├─26149 runtimedetections-trigger
            └─26151 /usr/local/bin/perf-sensor

...
May 17 15:19:05 vagrant sophoslinuxsensor[26137]:2022-05-17T15:19:05.908Z        INFO        32 policies configured
...

  2. 次のコマンドを実行して、警告のテストポリシーを開始します。

    sophoslinuxsensor --test-alert

    出力のサンプル:

    2022-05-17T15:28:31.470Z        INFO    config "/etc/sophos/runtimedetections-rules.yaml" has been read
Sophos Linux Runtime Detections Agent version 5.0.0.28 (Build:1917)
2022-05-17T15:28:31.472Z        INFO    using sensor configuration file "/etc/sophos/runtimedetections-rules.yaml"
2022-05-17T15:28:31.474Z        INFO    Alert testing command executed, exiting

    次の警告が表示されるはずです。

    May 17 15:28:31 vagrant sophoslinuxsensor[26137]:Alert triggered:Alert Tester

    警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、stdout に警告を出力します。

  1. テストするホストで SLS が起動していることを確認します。次のコマンドを実行します。

    systemctl status sophoslinuxsensor

    出力のサンプル:

    vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor
● sophoslinuxsensor.service - Sophos Linux Sensor
    Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled)
    Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago
  Main PID:26137 (sophoslinuxsens)
    Tasks:20 (limit:2245)
    メモリ:42.0M
    CGroup: /system.slice/sophoslinuxsensor.service
            ├─26137 /usr/local/bin/sophoslinuxsensor
            ├─26149 runtimedetections-trigger
            └─26151 /usr/local/bin/perf-sensor

...
May 17 15:19:05 vagrant sophoslinuxsensor[26137]:2022-05-17T15:19:05.908Z        INFO        32 policies configured
...

  2. 次のコマンドを実行して、Cryptocurrency Miner Detected ポリシーをトリガするファイルを作成します。

    cp `which ls` xmrig

  3. 次のコマンドを実行してファイルを実行し、検出をトリガします。

    ./xmrig

    次の警告が表示されるはずです。

    May 17 15:30:17 vagrant sophoslinuxsensor[26137]:Alert triggered:暗号通貨マイナーの検出

    警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、stdout に警告を出力します。

SLS 検出を最新の状態に保つ方法

標準のパッケージマネージャを使用して SLS コンテンツをインストールした場合、アップデートはセンサーと同様に SLS パッケージのレジストリで利用可能になります。また、アップデートは、設定済みのシステムアップデート管理ポリシー (例: apt アップデートを毎週実行) に従います。