SearchQuarantine
    • PDF

    SearchQuarantine

    • PDF

    記事の要約

    VPC環境で利用できます。

    隔離されたウェブシェルと疑われるファイルのうち、目的の項目を検索します。

    リクエスト

    リクエスト形式を説明します。リクエスト形式は次の通りです。

    メソッドURI
    POST/quarantines

    リクエストヘッダ

    Webshell Behavior Detector APIで共通して使用されるヘッダの詳細は、Webshell Behavior Detectorの共通ヘッダをご参照ください。

    リクエストボディ

    リクエストボディの説明は次の通りです。

    フィールドタイプ必須の有無説明
    fileOriginNameStringOptionalファイル名
    fileOwnerStringOptionalファイルの所有者
    hostNameStringOptionalVMのホスト名
    memoStringOptionalメモ
    pageIndexIntegerRequiredページ番号
    pageSizeIntegerRequiredページ表示数
    quarantineFileNameStringOptional分離措置されたファイル名
    quarantineTimeFromIntegerOptional隔離開始日時(Timestamp)
    quarantineTimeToIntegerOptional隔離終了日時(Timestamp)
    serverNameStringOptionalVMのサーバ名

    リクエスト例

    リクエストのサンプルコードは次の通りです。

    curl --location --request POST 'https://wbd.apigw.ntruss.com/api/v1/quarantines' \
    --header 'x-ncp-apigw-timestamp: {Timestamp}' \
    --header 'x-ncp-iam-access-key: {Access Key}' \
    --header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
    --header 'Content-Type: application/json' \
    --header 'X-NCP-USE_PLATFORM_TYPE: VPC' \
    --data '{
        "fileOriginName": "",
        "pageIndex": "0",
        "pageSize": "2",
        "serverName": "s18ee********"
    }'
    

    レスポンス

    レスポンス形式を説明します。

    レスポンスボディ

    レスポンスボディの説明は次の通りです。

    フィールドタイプ必須の有無説明
    successBoolean-リクエスト処理の有無
    codeInteger-レスポンスコード
    messageString-レスポンスメッセージ
    resultArray-疑わしいファイルリスト

    result

    resultの説明は次の通りです。

    フィールドタイプ必須の有無説明
    suspicionFileIdString-ファイル ID
    detectionIdString-ウェブシェル行為の検知履歴 ID
    hostNameString-VMのホスト名
    osTypeString-VMの OSタイプ
    fileOriginNameString-ファイル名
    quarantineFileNameString-分離措置されたファイル名
    fileSizeInteger-ファイルサイズ
    sha1String-ファイルの sha1ハッシュ値
    privateIPofServerString-VMのプライベート IPアドレス
    fileAuthorityString-ファイルの権限
    fileOwnerString-ファイルの所有者
    fileGroupString-ファイル所有グループ
    accessTimeInteger-ファイルアクセス日時(Timestamp)
    modifyTimeInteger-ファイル変更日時(Timestamp)
    changeTimeInteger-ファイル更新日時(Timestamp)
    instanceNoString-VMのインスタンス番号
    hashScanResultString-Hashに基づいたマルウェア判断の結果
    • malware | notMalware
      • malware: マルウェア
      • notMalware: 正常
    memoString-メモ
    memberNoInteger-VM使用会員番号
    restoreTimeInteger-ファイル復旧日時(Timestamp)
    quarantineTimeInteger-ファイル隔離日時(Timestamp)
    weightInteger-スコア
    • スコアが高いほどウェブシェルである可能性が高い
    commandStatusString-隔離/復旧コマンドの処理状態
    • restoring | restored | restoreFailed | onQurantine | quarantined | quarantineFailed
      • restoring: 復旧中
      • restored: 復旧完了
      • restoreFailed: 復旧失敗
      • onQurantine: 隔離中
      • quarantined: 隔離完了
      • quarantineFailed: 隔離失敗
    commandResultString-隔離/復旧コマンド結果の詳細メッセージ
    isRestoreBoolean-復旧されたかどうか
    • true | false
      • true: 復旧済み
      • false: 復旧されていない
    isQuarantineBoolean-隔離されたかどうか
    • true | false
      • true: 隔離済み
      • false: 隔離されていない
    isExceptedBoolean-例外処理されたかどうか
    • true | false
      • true: 例外処理済み
      • false: 例外処理されていない
    lastUpdatedTimeInteger-最終検知履歴の記録日時(Timestamp)
    resultCodeInteger-隔離/復旧コマンドの結果コード
    platformString-VM環境
    • VPC | CLASSIC
    serverNameString-VMのサーバ名
    containerNameString-VMのコンテナ名
    k8sNameString-ワークロード名
    • Kubernetes環境の場合、有効値を表示
    k8sTypeString-デプロイされた Podのワークロードタイプ
    • Kubernetes環境の場合、有効値を表示
    podNameString-デプロイされた Pod名
    • Kubernetes環境の場合、有効値を表示
    isDeletedBoolean-ファイルは削除されたかどうか
    • true | false
      • true: 削除済み
      • false: 削除されていない

    レスポンスステータスコード

    Webshell Behavior Detector APIで共通して使用されるレスポンスステータスコードの詳細は、Webshell Behavior Detectorの共通レスポンスステータスコードをご参照ください。

    レスポンス例

    レスポンスのサンプルコードは次の通りです。

    {
        "success": true,
        "code": 0,
        "message": "success",
        "result": {
            "content": [
                {
                    "suspicionFileId": "2024072409172700000036",
                    "detectionId": "2024072409172700000036",
                    "hostName": null,
                    "osType": "WINDOWS",
                    "fileOriginName": "{web-root-path}/{suspicious-object-name}",
                    "quarantineFileName": "{web-root-path}/{quarantined-object-name}",
                    "fileSize": 98,
                    "sha1": "********************************",
                    "privateIPofServer": "***.***.***.***",
                    "fileAuthority": "[{\"BUILTIN/Administrators\":\"(I)(F)\"},{\"BUILTIN/IIS_IUSRS\":\"(I)(RX)\"},{\"BUILTIN/Users\":\"(I)(RX)\"},{\"NT AUTHORITY/SYSTEM\":\"(I)(F)\"},{\"NT SERVICE/TrustedInstaller\":\"(I)(F)\"}]",
                    "fileOwner": "S-1-5-32-544",
                    "fileGroup": "S-1-5-32-544",
                    "accessTime": 1721742837000,
                    "modifyTime": 1721742837000,
                    "changeTime": 1721742803000,
                    "instanceNo": "23****68",
                    "hashScanResult": "notMalware",
                    "memo": null,
                    "memberNo": 26***90,
                    "restoreTime": 1722999457076,
                    "quarantineTime": 1722999351039,
                    "weight": 29,
                    "commandStatus": "restored",
                    "commandResult": "OK",
                    "isRestore": true,
                    "isQuarantine": true,
                    "isExcepted": false,
                    "lastUpdatedTime": 1722999457125,
                    "resultCode": 0,
                    "platform": "VPC",
                    "serverName": "{servername}",
                    "containerName": null,
                    "k8sName": null,
                    "k8sType": null,
                    "podName": null,
                    "isDeleted": false
                },
                {
                    "suspicionFileId": "2024072323001500000229",
                    "detectionId": "2024072323001500000230",
                    "hostName": null,
                    "osType": "WINDOWS",
                    "fileOriginName": "{web-root-path}/{suspicious-object-name}",
                    "quarantineFileName": "{web-root-path}/{quarantined-object-name}",
                    "fileSize": 98,
                    "sha1": "********************************",
                    "privateIPofServer": "***.***.***.***",
                    "fileAuthority": "[{\"BUILTIN/Administrators\":\"(I)(F)\"},{\"BUILTIN/IIS_IUSRS\":\"(I)(RX)\"},{\"BUILTIN/Users\":\"(I)(RX)\"},{\"NT AUTHORITY/SYSTEM\":\"(I)(F)\"},{\"NT SERVICE/TrustedInstaller\":\"(I)(F)\"}]",
                    "fileOwner": "S-1-5-32-544",
                    "fileGroup": "S-1-5-32-544",
                    "accessTime": 1721742837000,
                    "modifyTime": 1721742837000,
                    "changeTime": 1721742803000,
                    "instanceNo": "23****68",
                    "hashScanResult": "notMalware",
                    "memo": null,
                    "memberNo": 26***90,
                    "restoreTime": 1721743312629,
                    "quarantineTime": 1721743240602,
                    "weight": 29,
                    "commandStatus": "restored",
                    "commandResult": "OK",
                    "isRestore": true,
                    "isQuarantine": true,
                    "isExcepted": false,
                    "lastUpdatedTime": 1721743312629,
                    "resultCode": 0,
                    "platform": "VPC",
                    "serverName": "{servername}",
                    "containerName": null,
                    "k8sName": null,
                    "k8sType": null,
                    "podName": null,
                    "isDeleted": false
                }
            ],
            "totalCount": 2,
            "pageSize": 2,
            "pageIndex": 0,
            "totalPages": 1
        }
    }
    

    この記事は役に立ちましたか?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.