デフォルト検出のテスト
前提条件
Sophos Linux Sensor (SLS) の検出をテストする前に、SLS をインストールし、デフォルトの検出を適用する必要があります。詳細は、Sophos Linux Sensor のインストールを参照してください。
Sophos Linux Sensor (SLS) 検出のテスト
センサーとコンテンツをインストールしたら、コンテンツが適切に導入され、生成された警告が適切な場所に送信されることをテストします。任意の警告をテストとしてトリガできます。次の検出は、テスト警告をトリガする簡単な方法です。
- デフォルトのコンテンツパッケージのテスト警告ポリシー
- 暗号通貨マイナーの検出
-
テストするホストで SLS が起動していることを確認します。以下のコマンドを実行します。
systemctl status sophoslinuxsensor
出力のサンプル:
vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor ? sophoslinuxsensor.service - Sophos Linux Sensor Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago Main PID: 26137 (sophoslinuxsens) Tasks: 20 (limit: 2245) Memory: 42.0M CGroup: /system.slice/sophoslinuxsensor.service ??26137 /usr/local/bin/sophoslinuxsensor ??26149 runtimedetections-trigger ??26151 /usr/local/bin/perf-sensor ... May 17 15:19:05 vagrant sophoslinuxsensor[26137]: 2022-05-17T15:19:05.908Z INFO 32 policies configured ...
-
次のコマンドを実行して、警告のテストポリシーを開始します。
sophoslinuxsensor -test-alert
出力のサンプル:
2022-05-17T15:28:31.470Z INFO config "/etc/sophos/runtimedetections-rules.yaml" has been read Sophos Linux Runtime Detections Agent version 5.0.0.28 (Build: 1917) 2022-05-17T15:28:31.472Z INFO using sensor configuration file "/etc/sophos/runtimedetections-rules.yaml" 2022-05-17T15:28:31.474Z INFO Alert testing command executed, exiting
次の警告が表示されるはずです。
May 17 15:28:31 vagrant sophoslinuxsensor[26137]: Alert triggered: Alert Tester
警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、
stdout
に警告を出力します。
-
テストするホストで SLS が起動していることを確認します。以下のコマンドを実行します。
systemctl status sophoslinuxsensor
出力のサンプル:
vagrant@vagrant:~$ sudo systemctl status sophoslinuxsensor ? sophoslinuxsensor.service - Sophos Linux Sensor Loaded: loaded (/lib/systemd/system/sophoslinuxsensor.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2022-05-17 15:19:04 UTC; 14min ago Main PID: 26137 (sophoslinuxsens) Tasks: 20 (limit: 2245) Memory: 42.0M CGroup: /system.slice/sophoslinuxsensor.service ??26137 /usr/local/bin/sophoslinuxsensor ??26149 runtimedetections-trigger ??26151 /usr/local/bin/perf-sensor ... May 17 15:19:05 vagrant sophoslinuxsensor[26137]: 2022-05-17T15:19:05.908Z INFO 32 policies configured ...
-
次のコマンドを実行して、Cryptocurrency Miner Detected ポリシーをトリガするファイルを作成します。
cp `which ls` xmrig
-
次のコマンドを実行してファイルを実行し、検出をトリガします。
./xmrig
次の警告が表示されるはずです。
May 17 15:30:17 vagrant sophoslinuxsensor[26137]: Alert triggered: 暗号通貨マイナーの検出
警告は、設定した警告の出力先にも表示されます。SLS はデフォルトで、
stdout
に警告を出力します。
SLS 検出を最新の状態に保つ方法
標準のパッケージマネージャを使用して SLS コンテンツをインストールした場合、アップデートはセンサーと同様に SLS パッケージのリポジトリで利用可能になります。また、アップデートは、設定済みのシステムアップデート管理ポリシー (例: apt
アップデートを毎週実行) に従います。