Webshell Behavior Detectorの概要

Prev Next

VPC環境で利用できます。

Webshell Behavior Detectorは、ウェブシェルと疑われる行為を行動ベースでリアルタイムで検知し、迅速に対処できるよう通知を提供する NAVERクラウドプラットフォームのサービスです。Webshell Behavior Detectorサービスでは、Webshell、Excepted Webshell、Quarantine、Exception Rule、Deleted Exception Rule、Notification、Detection Setting機能に関する APIを RESTful形式で提供します。

Webshell Behavior Detectorの共通設定

Webshell Behavior Detector APIで共通して使用されるリクエスト形式とレスポンス形式を説明します。

リクエスト

共通リクエスト形式を説明します。

API URL

リクエスト API URLは次の通りです。

https://wbd.apigw.ntruss.com/api/v1/

リクエストヘッダ

ヘッダの説明は次の通りです。

フィールド 必須の有無 説明
x-ncp-apigw-timestamp Required 1970年1月1日00:00:00協定世界時(UTC)からの経過時間(ミリ秒)
  • API Gatewayサーバとの時間差が5分以上の場合は無効なリクエストとみなす
    		•
    x-ncp-iam-access-key Required NAVERクラウドプラットフォームから発行された Access Key
  • Access Keyの発行と確認: 認証キーの作成を参照
  • サブアカウントの Access Key発行と確認: サブアカウントの作成を参照
    		•
    x-ncp-apigw-signature-v2 Required NAVERクラウドプラットフォームから発行された Access Keyとマッピングする Secret Keyと HMAC暗号化アルゴリズム(HmacSHA256)でリクエスト情報を暗号化した後、Base64でエンコードした署名
  • Secret Keyの発行と確認: 認証キーの作成を参照
  • 署名の作成: シグネチャーの作成を参照
    		•
    Content-type Required リクエストデータの形式
  • application/json
    		•
    X-NCP-USE_PLATFORM_TYPE Required 利用中のプラットフォーム環境
    • VPC

    レスポンス

    共通レスポンス形式を説明します。

    レスポンスステータスコード

    レスポンスステータスコードの説明は次の通りです。

    HTTPステータスコード コード メッセージ 説明
    200 400 Platform must be not null. プラットフォームヘッダ漏れ
    200 8008 Invalid file status.The status of file is quarantineFailed 隔離失敗して無効なファイル
    200 8004 Invaliddata.The detection data deleted is false, excepted is false. 削除または例外失敗して無効なデータ
    参考

    NAVERクラウドプラットフォームで共通して使用されるレスポンスステータスコードの詳細は、Ncloud APIのレスポンスステータスコードをご参照ください。

    Webshell Behavior Detector API

    Webshell Behavior Detectorサービスで提供する APIの説明は次の通りです。

    Webshell

    ウェブシェル行為検知履歴関連 APIの説明は次の通りです。

    API 説明
    GetWebshell ウェブシェル行為検知履歴を照会
    UpdateWebshellMemo ウェブシェル行為検知履歴のメモを更新
    DeleteWebshell ウェブシェル行為検知履歴を削除
    SearchWebshell ウェブシェル行為検知履歴を検索
    GetWebshellSuspiciousObject ウェブシェルと疑われるファイルを照会
    QuarantineWebshellSuspiciousObject ウェブシェルと疑われるファイルを隔離
    RecoverWebshellSuspiciousObject 隔離されたウェブシェルと疑われるファイルを復旧
    UpdateWebshellSuspiciousObjectMemo ウェブシェルと疑われるファイルのメモを更新

    ExceptedWebshell

    検知されたウェブシェル行為の例外処理関連 APIの説明は次の通りです。

    API 説明
    GetExceptedWebshell 例外処理されたウェブシェル行為の検知履歴を照会
    RevokeExceptedWebshell 例外処理されたウェブシェル行為の検知履歴に対し例外をキャンセル
    UpdateExceptedWebshellMemo 例外処理されたウェブシェル行為検知履歴のメモを更新
    SearchExceptedWebshell 例外処理されたウェブシェル行為検知履歴を検索
    GetExceptedWebshellSuspiciousObject 例外処理されたウェブシェル行為検知履歴の疑わしいファイルを照会
    QuarantineExceptedWebshellSuspiciousObject 例外処理されたウェブシェル行為検知履歴の疑わしいファイルを隔離
    RecoverExceptedWebshellSuspiciousObject 例外処理されたウェブシェル行為検知履歴の疑わしいファイルを復旧
    UpdateExceptedWebshellSuspiciousObjectMemo 例外処理されたウェブシェル行為検知履歴の疑わしいファイルメモを更新

    Quarantine

    検疫関連 APIの説明は次の通りです。

    API 説明
    GetQuarantine 隔離されたウェブシェルと疑われるファイルを照会
    RecoverQuarantine 隔離されたウェブシェルと疑われるファイルを復旧
    SearchQuarantine 隔離されたウェブシェルと疑われるファイルを検索
    UpdateQuarantineMemo 隔離されたウェブシェルと疑われるファイルメモを更新

    ExceptionRule

    例外ルール関連 APIの説明は次の通りです。

    API 説明
    GetExceptionRule 例外ルールを照会
    SearchExceptionRule 例外ルールを検索
    UpdateExceptionRuleMemo 例外ルールメモを更新
    DeleteExceptionRule 例外ルールを削除

    DeletedExceptionRule

    削除された例外ルール関連 APIの説明は次の通りです。

    API 説明
    GetDeletedExceptionRule 削除された例外ルールを照会
    SearchDeletedExceptionRule 削除された例外ルールを検索
    UpdateDeletedExceptionRuleMemo 削除された例外ルールメモを更新
    RecoverDeletedExceptionRule 削除された例外ルールを復旧

    Notification

    通知設定関連 APIの説明は次の通りです。

    API 説明
    GetNotificationInterval 設定された通知間隔を照会
    UpdateNotificationInterval 通知間隔を設定

    Detection Setting

    検知設定関連 APIの説明は次の通りです。

    API 説明
    GetDetectionTarget 検知対象を照会
    SearchDetectionTarget 検知対象を検索
    ActivateAgent サーバにインストールされたエージェントを有効化
    DeactivateAgent サーバにインストールされたエージェントを無効化
    UpdateDetectionTargetMemo 検知対象メモを更新

    Webshell Behavior Detector関連リソース

    Webshell Behavior Detector APIについてユーザーの理解に役立つよう、さまざまな関連リソースを提供しています。