GetWebshell

VPC環境で利用できます。

検知対象として登録したリソースのうち、ウェブシェルと疑われる行為が検知された履歴を照会します。

リクエスト

リクエスト形式を説明します。リクエスト形式は次の通りです。

メソッド	URI
GET	/detections

リクエストヘッダ

Webshell Behavior Detector APIで共通して使用されるヘッダの詳細は、Webshell Behavior Detectorの共通ヘッダをご参照ください。

リクエストクエリパラメータ

パラメータの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`pageIndex`	Integer	Required	ページ番号
`pageSize`	Integer	Required	ページ表示数

リクエスト例

リクエストのサンプルコードは次の通りです。

curl --location --request GET 'https://wbd.apigw.ntruss.com/api/v1/detections?pageIndex=1&pageSize=3' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
--header 'Content-Type: application/json' \
--header 'X-NCP-USE_PLATFORM_TYPE: VPC'

レスポンス

レスポンス形式を説明します。

レスポンスボディ

レスポンスボディの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`success`	Boolean	-	リクエスト処理の有無
`code`	Integer	-	レスポンスコード
`message`	String	-	レスポンスメッセージ
`result`	Object	-	レスポンス結果
`content`	Array	-	ウェブシェル行為の検知履歴リスト
`totalCount`	Integer	-	レスポンス結果数
`pageSize`	Integer	-	ページ表示数
`pageIndex`	Integer	-	ページ番号
`totalPages`	Integer	-	ページの総数

`content`

contentの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID
`instanceNo`	String	-	VMのインスタンス番号
`hostName`	String	-	VMのホスト名
`serverName`	String	-	VMのサーバ名
`containerName`	String	-	VMのコンテナ名
`privateIPofServer`	String	-	VMのプライベート IPアドレス
`command`	String	-	ファイル実行コマンド
`processName`	String	-	プロセス名
`processArg`	String	-	プロセス引数値
`processId`	String	-	プロセス ID
`executor`	String	-	プロセス実行アカウント
`processIdOfParent`	String	-	親プロセス ID
`processNameOfParent`	String	-	親プロセス名
`processArgOfParent`	String	-	親プロセス引数値
`executorOfParent`	String	-	親プロセス実行アカウント
`uid`	String	-	検知プロセス UID
`euid`	String	-	プロセス EUID
`gid`	String	-	プロセス GID
`egid`	String	-	プロセス EGID
`actionStatus`	String	-	問題対応の状態 `confirmed` \| `blank` `confirmed`: 確認完了 `blank`: 未確認
`memo`	String	-	メモ
`actionTime`	Integer	-	ウェブシェル行為の発生日時(Timestamp)
`detectTime`	Integer	-	ウェブシェル行為の検知日時(Timestamp)
`collectTime`	Integer	-	ウェブシェル行為の収集日時(Timestamp)
`lastUpdatedTime`	Integer	-	最終検知履歴の記録日時(Timestamp)
`isChecked`	Boolean	-	検知履歴を確認したかどうか `true` \| `false` `true`: 確認完了 `false`: 未確認
`memberNo`	Integer	-	VM使用会員番号
`detectionRuleId`	String	-	検知ポリシー ID
`suspicionFiles`	Array	-	疑わしいファイルリスト
`suspicionIps`	Array	-	疑わしい IPアドレスリスト
`osType`	String	-	VMの OSタイプ

`suspicionFiles`

suspicionFilesの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`suspicionFileId`	String	-	ファイル ID
`fileOriginName`	String	-	ファイル名
`fileOwner`	String	-	ファイルの所有者
`weight`	Integer	-	スコアスコアが高いほどウェブシェルである可能性が高い
`accessTime`	Integer	-	ファイルアクセス日時(Timestamp)
`modifyTime`	Integer	-	ファイル変更日時(Timestamp)
`changeTime`	Integer	-	ファイル更新日時(Timestamp)
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID

`suspicionIps`

suspicionIpsの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`suspicionIpId`	String	-	疑わしい IPアドレスの ID
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID
`suspicionIp`	String	-	疑わしい IPアドレス
`country`	String	-	疑わしい IPアドレスの国
`platform`	String	-	VM環境 `VPC` \| `CLASSIC`

レスポンスステータスコード

Webshell Behavior Detector APIで共通して使用されるレスポンスステータスコードの詳細は、Webshell Behavior Detectorの共通レスポンスステータスコードをご参照ください。

レスポンス例

レスポンスのサンプルコードは次の通りです。

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": {
        "content": [
            {
                "detectionId": "2024072323595700000436",
                "instanceNo": "25****97",
                "hostName": "{hostname}",
                "serverName": "{servername}",
                "containerName": "",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "33",
                "euid": "33",
                "gid": "33",
                "egid": "33",
                "actionStatus": "confirmed",
                "actionTime": 1721742708822,
                "detectTime": 1721740066493,
                "collectTime": 1721740067452,
                "lastUpdatedTime": 1721742708822,
                "isChecked": true,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionFiles": [
                    {
                        "suspicionFileId": "2024072323595800000443",
                        "fileOriginName": "{web-root-path}/{suspicious-object-name}",
                        "fileOwner": "S-1-5-32-544",
                        "weight": 29,
                        "accessTime": 1721742550000,
                        "modifyTime": 1721742550000,
                        "changeTime": 1721742542000,
                        "detectionId": "2024072323595700000436"
                    }
                ],
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072323595800000386",
                        "detectionId": "2024072323595700000436",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "LINUX"
            }
        ],
        "totalCount": 51,
        "pageSize": 1,
        "pageIndex": 22,
        "totalPages": 51
    }
}