Zum Inhalt

So testen Sie die Erkennungsfunktionen von Sophos Protection for Linux

Sie können die Erkennungsfunktionen von Sophos Protection for Linux testen, um sicherzustellen, dass Ihr Gerät geschützt ist und mit Sophos Central kommuniziert.

On-Demand- und On-Access-Scans

Voraussetzung

Beim Scannen bei Zugriff müssen Sie in Ihrer Richtlinie zum Schutz vor Serverbedrohungen die Option Scannen aktivieren für Server Protection for Linux Agent aktivieren. Diese Einstellung ist standardmäßig deaktiviert. Siehe Echtzeit-Scans – Lokale Dateien und gemeinsam genutzte Dateien im Netzwerk.

Sie können das Scannen mit EICAR testen. EICAR ist eine Erkennungs-Testdatei nach Branchenstandard, kein Virus.

  1. Gehen Sie zu www.eicar.org.
  2. Klicken Sie auf Download anti malware test file.
  3. Laden Sie die EICAR-Testdatei herunter. Sie wird erkannt und bereinigt, wenn sie auf die Festplatte geschrieben wird.

Sie sehen die Erkennung im av.log. Geben Sie folgendes Kommando ein:

cat /opt/sophos-spl/plugins/av/log/av.log
Beispiel
180191342 [2023-01-18T16:03:43.969]    INFO [9358345792] av <> Threat cleaned up at path: eicar.com

Sie sehen die Warnmeldung auch in Sophos Central auf der Übersichtsseite des Servers.

Beispiel:

EICAR-Erkennung.

Laufzeitkontrolle

Einschränkungen

Um die Laufzeiterkennungen von Sophos Protection for Linux zu testen, muss Ihr Sophos Central-Konto über eine der folgenden Produktlizenzen verfügen:

  • Intercept X Advanced for Server with XDR
  • Intercept X Advanced for Server with MDR Complete

Mit dem runtimedetections-Befehl können Sie eine Test-Warnmeldung erstellen. Um eine Test-Warnmeldung zu erstellen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu /opt/sophos-spl/plugins/runtimedetections/bin.
  2. Geben Sie folgendes Kommando ein:
./runtimedetections --test-alert

In /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log sehen Sie, dass die Warnmeldung erstellt und an Sophos Central gesendet wird. Geben Sie folgendes Kommando ein:

cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
Beispiel
14      [2023-01-16T17:26:37.631Z]    INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z]    INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)

Sie sehen die Warnmeldung auch in Sophos Central im Bedrohungsanalyse-Center unter Erkennungen.

Beispiel:

Test-Warnmeldung.