Come testare le funzionalità di rilevamento di Sophos Protection per Linux
È possibile testare le funzionalità di rilevamento di Sophos Protection per Linux, per confermare che il dispositivo sia protetto e che comunichi con Sophos Central.
Scansione su richiesta e in accesso
Requisito
La scansione in accesso richiede l’attivazione dell’opzione Abilita la scansione per l’Agente di Server Protection per Linux nel criterio di Server Threat Protection. Questa impostazione è disattivata per impostazione predefinita. Vedere Scansione in tempo reale - File locali e condivisioni di rete.
È possibile testare la scansione con EICAR. EICAR è un file di test standard di settore che serve a valutare il rilevamento; non è un virus.
- Aprire la pagina www.eicar.org.
- Cliccare su Download anti malware test file (Scarica file di test antimalware).
- Scaricare il file di test EICAR. Verrà rilevato e rimosso non appena viene scritto sul disco.
Il rilevamento verrà visualizzato in av.log
. Eseguire il seguente comando:
cat /opt/sophos-spl/plugins/av/log/av.log
Esempio
180191342 [2023-01-18T16:03:43.969] INFO [9358345792] av <> Threat cleaned up at path: /.../eicar.com
L’avviso verrà visualizzato anche in Sophos Central, nella pagina Riepilogo del server.
Ecco un esempio:
Rilevamenti di runtime
Restrizioni
Per testare le funzionalità di rilevamento di runtime di Sophos Protection per Linux, l’account Sophos Central deve avere una di queste licenze di prodotto:
- Intercept X Advanced for Server with XDR
- Intercept X Advanced for Server with MDR Complete
È possibile utilizzare il comando runtimedetections
per creare un avviso di test. Per creare un avviso di test, procedere come segue:
- Aprire
/opt/sophos-spl/plugins/runtimedetections/bin
. - Eseguire il seguente comando:
./runtimedetections --test-alert
Si noterà che l’avviso è stato creato e inviato a Sophos Central in /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
. Eseguire il seguente comando:
cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
Esempio
14 [2023-01-16T17:26:37.631Z] INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z] INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)
L’avviso verrà visualizzato anche su Sophos Central, in Centro di analisi delle minacce > Rilevamenti.
Ecco un esempio: