GetWebshellSuspiciousObject

VPC環境で利用できます。

ウェブシェル行為検知履歴のうち、目的のファイルの詳細情報を照会します。

リクエスト

リクエスト形式を説明します。リクエスト形式は次の通りです。

メソッド	URI
GET	/detections/{detection-id}/suspicious-objects

リクエストヘッダ

Webshell Behavior Detector APIで共通して使用されるヘッダの詳細は、Webshell Behavior Detectorの共通ヘッダをご参照ください。

リクエストパスパラメータ

パラメータの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`detection-id`	String	Required	ウェブシェル行為検知履歴 ID GetWebshellを通じて確認

リクエスト例

リクエストのサンプルコードは次の通りです。

curl --location --request GET 'https://wbd.apigw.ntruss.com/api/v1/detections/2024072323595700000436/suspicious-objects' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
--header 'Content-Type: application/json' \
--header 'X-NCP-USE_PLATFORM_TYPE: VPC'

レスポンス

レスポンス形式を説明します。

レスポンスボディ

レスポンスボディの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`success`	Boolean	-	リクエスト処理の有無
`code`	Integer	-	レスポンスコード
`message`	String	-	レスポンスメッセージ
`result`	Array	-	疑わしいファイルリスト

`result`

resultの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`suspicionFileId`	String	-	ファイル ID
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID
`hostName`	String	-	VMのホスト名
`osType`	String	-	VMの OSタイプ
`fileOriginName`	String	-	ファイル名
`quarantineFileName`	String	-	分離措置されたファイル名
`fileSize`	Integer	-	ファイルサイズ
`sha1`	String	-	ファイルの sha1ハッシュ値
`privateIPofServer`	String	-	VMのプライベート IPアドレス
`fileAuthority`	String	-	ファイルの権限
`fileOwner`	String	-	ファイルの所有者
`fileGroup`	String	-	ファイル所有グループ
`accessTime`	Integer	-	ファイルアクセス日時(Timestamp)
`modifyTime`	Integer	-	ファイル変更日時(Timestamp)
`changeTime`	Integer	-	ファイル更新日時(Timestamp)
`instanceNo`	String	-	VMのインスタンス番号
`hashScanResult`	String	-	Hashに基づいたマルウェア判断の結果 `malware` \| `notMalware` `malware`: マルウェア `notMalware`: 正常
`memo`	String	-	メモ
`memberNo`	Integer	-	VM使用会員番号
`restoreTime`	Integer	-	ファイル復旧日時(Timestamp)
`quarantineTime`	Integer	-	ファイル隔離日時(Timestamp)
`weight`	Integer	-	スコアスコアが高いほどウェブシェルである可能性が高い
`commandStatus`	String	-	隔離/復旧コマンドの処理状態 `restoring` \| `restored` \| `restoreFailed` \| `onQurantine` \| `quarantined` \| `quarantineFailed` `restoring`: 復旧中 `restored`: 復旧完了 `restoreFailed`: 復旧失敗 `onQurantine`: 隔離中 `quarantined`: 隔離完了 `quarantineFailed`: 隔離失敗
`commandResult`	String	-	隔離/復旧コマンド結果の詳細メッセージ
`isRestore`	Boolean	-	復旧されたかどうか `true` \| `false` `true`: 復旧済み `false`: 復旧されていない
`isQuarantine`	Boolean	-	隔離されたかどうか `true` \| `false` `true`: 隔離済み `false`: 隔離されていない
`isExcepted`	Boolean	-	例外処理されたかどうか `true` \| `false` `true`: 例外処理済み `false`: 例外処理されていない
`lastUpdatedTime`	Integer	-	最終検知履歴の記録日時(Timestamp)
`resultCode`	Integer	-	隔離/復旧コマンドの結果コード
`platform`	String	-	VM環境 `VPC` \| `CLASSIC`
`serverName`	String	-	VMのサーバ名
`containerName`	String	-	VMのコンテナ名
`k8sName`	String	-	ワークロード名 Kubernetes環境の場合、有効値を表示
`k8sType`	String	-	デプロイされた Podのワークロードタイプ Kubernetes環境の場合、有効値を表示
`podName`	String	-	デプロイされた Pod名 Kubernetes環境の場合、有効値を表示
`isDeleted`	Boolean	-	ファイルは削除されたかどうか `true` \| `false` `true`: 削除済み `false`: 削除されていない

レスポンスステータスコード

Webshell Behavior Detector APIで共通して使用されるレスポンスステータスコードの詳細は、Webshell Behavior Detectorの共通レスポンスステータスコードをご参照ください。

レスポンス例

レスポンスのサンプルコードは次の通りです。

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": [
        {
            "suspicionFileId": "2024072323595800000443",
            "detectionId": "2024072323595700000436",
            "hostName": null,
            "osType": "WINDOWS",
            "fileOriginName": "{web-root-path}/{suspicious-object-name}",
            "quarantineFileName": null,
            "fileSize": 306,
            "sha1": "***************************",
            "privateIPofServer": "***.***.***.***",
            "fileAuthority": "[{\"BUILTIN/Administrators\":\"(I)(F)\"},{\"BUILTIN/IIS_IUSRS\":\"(I)(RX)\"},{\"BUILTIN/Users\":\"(I)(RX)\"},{\"NT AUTHORITY/SYSTEM\":\"(I)(F)\"},{\"NT SERVICE/TrustedInstaller\":\"(I)(F)\"}]",
            "fileOwner": "S-1-5-32-544",
            "fileGroup": "S-1-5-32-544",
            "accessTime": 1721742550000,
            "modifyTime": 1721742550000,
            "changeTime": 1721742542000,
            "instanceNo": "25****97",
            "hashScanResult": "notMalware",
            "memo": null,
            "memberNo": 26***90,
            "restoreTime": null,
            "quarantineTime": null,
            "weight": 29,
            "commandStatus": null,
            "commandResult": null,
            "isRestore": false,
            "isQuarantine": false,
            "isExcepted": false,
            "lastUpdatedTime": 1721746798057,
            "resultCode": null,
            "platform": "VPC",
            "serverName": "{servername}",
            "containerName": null,
            "k8sName": null,
            "k8sType": null,
            "podName": null,
            "isDeleted": false
        }
    ]
}