コンテンツにスキップ

デフォルト検出のテスト

前提条件

Sophos Linux Sensor (SLS) の検出をテストする前に、SLS をインストールし、デフォルトの検出を適用する必要があります。詳細は、Sophos Linux Sensor のインストールを参照してください。

Sophos Linux Sensor (SLS) 検出のテスト

センサーとコンテンツをインストールしたら、コンテンツが適切に導入され、生成された警告が適切な場所に送信されることをテストします。任意の警告をテストとしてトリガできます。次の検出は、テスト警告をトリガする簡単な方法です。

  • デフォルトのコンテンツパッケージのテスト警告ポリシー
  • 暗号通貨マイナーの検出
  1. テストするホストで SLS が起動していることを確認します。以下のコマンドを実行します。

    systemctl status sophoslinuxsensor
    

    出力のサンプル:

    vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor
    ? sophoslinuxsensor.service - Sophos Linux Sensor
        Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled)
        Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago
      Main PID: 26137 (sophoslinuxsens)
        Tasks: 20 (limit: 2245)
        Memory: 42.0M
        CGroup: /system.slice/sophoslinuxsensor.service
                ??26137 /usr/local/bin/sophoslinuxsensor
                ??26149 runtimedetections-trigger
                ??26151 /usr/local/bin/perf-sensor
    
    ...
    May 17 15:19:05 vagrant sophoslinuxsensor[26137]: 2022-05-17T15:19:05.908Z        INFO        32 policies configured
    ...
    
  2. 次のコマンドを実行して、警告のテストポリシーを開始します。

    sophoslinuxsensor -test-alert
    

    出力のサンプル:

    2022-05-17T15:28:31.470Z        INFO    config "/etc/sophos/runtimedetections-rules.yaml" has been read
    Sophos Linux Runtime Detections Agent version 5.0.0.28 (Build: 1917)
    2022-05-17T15:28:31.472Z        INFO    using sensor configuration file "/etc/sophos/runtimedetections-rules.yaml"
    2022-05-17T15:28:31.474Z        INFO    Alert testing command executed, exiting
    

    次の警告が表示されるはずです。

    May 17 15:28:31 vagrant sophoslinuxsensor[26137]: Alert triggered: Alert Tester
    

    警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、stdout に警告を出力します。

  1. テストするホストで SLS が起動していることを確認します。以下のコマンドを実行します。

    systemctl status sophoslinuxsensor
    

    出力のサンプル:

    vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor
    ? sophoslinuxsensor.service - Sophos Linux Sensor
        Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled)
        Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago
      Main PID: 26137 (sophoslinuxsens)
        Tasks: 20 (limit: 2245)
        Memory: 42.0M
        CGroup: /system.slice/sophoslinuxsensor.service
                ??26137 /usr/local/bin/sophoslinuxsensor
                ??26149 runtimedetections-trigger
                ??26151 /usr/local/bin/perf-sensor
    
    ...
    May 17 15:19:05 vagrant sophoslinuxsensor[26137]: 2022-05-17T15:19:05.908Z        INFO        32 policies configured
    ...
    
  2. 次のコマンドを実行して、Cryptocurrency Miner Detected ポリシーをトリガするファイルを作成します。

    cp `which ls` xmrig
    
  3. 次のコマンドを実行してファイルを実行し、検出をトリガします。

    ./xmrig
    

    次の警告が表示されるはずです。

    May 17 15:30:17 vagrant sophoslinuxsensor[26137]: Alert triggered: 暗号通貨マイナーの検出
    

    警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、stdout に警告を出力します。

SLS 検出を最新の状態に保つ方法

標準のパッケージマネージャを使用して SLS コンテンツをインストールした場合、アップデートはセンサーと同様に SLS パッケージのリポジトリで利用可能になります。また、アップデートは、設定済みのシステムアップデート管理ポリシー (例: apt アップデートを毎週実行) に従います。