Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=protect-devices-server-Linux-agent-test-features

Come testare le funzionalità di rilevamento di Sophos Protection per Linux

È possibile testare le funzionalità di rilevamento di Sophos Protection per Linux, per confermare che il dispositivo sia protetto e che comunichi con Sophos Central.

Scansione su richiesta e in accesso

Requisito

La scansione in accesso richiede l’attivazione dell’opzione Abilita la scansione per l’Agente di Server Protection per Linux nel criterio di Server Threat Protection. Questa impostazione è disattivata per impostazione predefinita. Vedere Scansione in tempo reale - File locali e condivisioni di rete.

È possibile testare la scansione con EICAR. EICAR è un file di test standard di settore che serve a valutare il rilevamento; non è un virus.

  1. Aprire la pagina www.eicar.org.
  2. Cliccare su Download anti malware test file (Scarica file di test antimalware).
  3. Scaricare il file di test EICAR. Verrà rilevato e rimosso non appena viene scritto sul disco.

Il rilevamento verrà visualizzato in av.log. Eseguire il seguente comando:

cat /opt/sophos-spl/plugins/av/log/av.log
Esempio 
180191342 [2023-01-18T16:03:43.969]    INFO [9358345792] av <> Threat cleaned up at path: /.../eicar.com

L’avviso verrà visualizzato anche in Sophos Central, nella pagina Riepilogo del server.

Ecco un esempio:

Rilevamento EICAR.

Rilevamenti di runtime

Restrizioni

Per testare le funzionalità di rilevamento di runtime di Sophos Protection per Linux, l’account Sophos Central deve avere una di queste licenze di prodotto:

  • Intercept X Advanced for Server with XDR
  • Intercept X Advanced for Server with MDR Complete

È possibile utilizzare il comando runtimedetections per creare un avviso di test. Per creare un avviso di test, procedere come segue:

  1. Aprire /opt/sophos-spl/plugins/runtimedetections/bin.
  2. Eseguire il seguente comando:
./runtimedetections --test-alert

Si noterà che l’avviso è stato creato e inviato a Sophos Central in /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log. Eseguire il seguente comando:

cat /opt/sophos-spl/plugins/runtimedetections/log/runtimedetections.log
Esempio 
14      [2023-01-16T17:26:37.631Z]    INFO [0000000000] runtimedetections <> Alert testing command executed, exiting
12363670 [2023-01-16T17:26:37.641Z]    INFO [0000000000] runtimedetections <> Sent alert to event journal Alert Tester as 1673889997640013873 (31b7076e-5723-46e3-b5ec-90dc9267d6a2)

L’avviso verrà visualizzato anche su Sophos Central, in Centro di analisi delle minacce > Rilevamenti.

Ecco un esempio:

Avviso di test.