SearchWebshell

Prev Next

VPC環境で利用できます。

保存されたウェブシェル行為検知履歴のうち、目的の項目を検索します。

リクエスト

リクエスト形式を説明します。リクエスト形式は次の通りです。

メソッド URI
POST /detections

リクエストヘッダ

Webshell Behavior Detector APIで共通して使用されるヘッダの詳細は、Webshell Behavior Detectorの共通ヘッダをご参照ください。

リクエストボディ

リクエストボディの説明は次の通りです。

フィールド タイプ 必須の有無 説明
actionStatus String Optional 問題対応の状態
  • confirmed | blank
    • confirmed: 確認完了
    • blank: 未確認
detectTimeFrom Integer Optional 検索開始日時(Timestamp)
detectTimeTo Integer Optional 検索終了日時(Timestamp)
executor String Optional プロセス実行アカウント
executorOfParent String Optional 親プロセス実行アカウント
hostName String Optional VMのホスト名
memo String Optional メモ
pageIndex Integer Required ページ番号
pageSize Integer Required ページ表示数
privateIPofServer String Optional VMのプライベート IPアドレス
processArg String Optional プロセス引数値
processArgOfParent String Optional 親プロセス引数値
processName String Optional プロセス名
processNameOfParent String Optional 親プロセス名
serverName String Optional VMのサーバ名
suspiciousIP String Optional 疑わしい IPアドレス

リクエスト例

リクエストのサンプルコードは次の通りです。

curl --location --request POST 'https://wbd.apigw.ntruss.com/api/v1/detections' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
--header 'Content-Type: application/json' \
--header 'X-NCP-USE_PLATFORM_TYPE: VPC' \
--data '{
    "detectTimeFrom": 0,
    "detectTimeTo": 0,
    "executor": "DefaultAppPool",
    "pageIndex": 1,
    "pageSize": 2,
    "suspiciousIP": "***.***.***.***"
}'

レスポンス

レスポンス形式を説明します。

レスポンスボディ

レスポンスボディの説明は次の通りです。

フィールド タイプ 必須の有無 説明
success Boolean - リクエスト処理の有無
code Integer - レスポンスコード
message String - レスポンスメッセージ
result Object - レスポンス結果
content Array - ウェブシェル行為の検知履歴リスト
totalCount Integer - レスポンス結果数
pageSize Integer - ページ表示数
pageIndex Integer - ページ番号
totalPages Integer - ページの総数

content

contentの説明は次の通りです。

フィールド タイプ 必須の有無 説明
detectionId String - ウェブシェル行為の検知履歴 ID
instanceNo String - VMのインスタンス番号
hostName String - VMのホスト名
serverName String - VMのサーバ名
containerName String - VMのコンテナ名
privateIPofServer String - VMのプライベート IPアドレス
command String - ファイル実行コマンド
processName String - プロセス名
processArg String - プロセス引数値
processId String - プロセス ID
executor String - プロセス実行アカウント
processIdOfParent String - 親プロセス ID
processNameOfParent String - 親プロセス名
processArgOfParent String - 親プロセス引数値
executorOfParent String - 親プロセス実行アカウント
uid String - 検知プロセス UID
euid String - プロセス EUID
gid String - プロセス GID
egid String - プロセス EGID
actionStatus String - 問題対応の状態
  • confirmed | blank
    • confirmed: 確認完了
    • blank: 未確認
memo String - メモ
actionTime Integer - ウェブシェル行為の発生日時(Timestamp)
detectTime Integer - ウェブシェル行為の検知日時(Timestamp)
collectTime Integer - ウェブシェル行為の収集日時(Timestamp)
lastUpdatedTime Integer - 最終検知履歴の記録日時(Timestamp)
isChecked Boolean - 検知履歴を確認したかどうか
  • true | false
    • true: 確認完了
    • false: 未確認
memberNo Integer - VM使用会員番号
detectionRuleId String - 検知ポリシー ID
suspicionFiles Array - 疑わしいファイルリスト
suspicionIps Array - 疑わしい IPアドレスリスト
osType String - VMの OSタイプ

suspicionFiles

suspicionFilesの説明は次の通りです。

フィールド タイプ 必須の有無 説明
suspicionFileId String - ファイル ID
fileOriginName String - ファイル名
fileOwner String - ファイルの所有者
weight Integer - スコア
  • スコアが高いほどウェブシェルである可能性が高い
accessTime Integer - ファイルアクセス日時(Timestamp)
modifyTime Integer - ファイル変更日時(Timestamp)
changeTime Integer - ファイル更新日時(Timestamp)
detectionId String - ウェブシェル行為の検知履歴 ID

suspicionIps

suspicionIpsの説明は次の通りです。

フィールド タイプ 必須の有無 説明
suspicionIpId String - 疑わしい IPアドレスの ID
detectionId String - ウェブシェル行為の検知履歴 ID
suspicionIp String - 疑わしい IPアドレス
country String - 疑わしい IPアドレスの国
platform String - VM環境
  • VPC | CLASSIC

レスポンスステータスコード

Webshell Behavior Detector APIで共通して使用されるレスポンスステータスコードの詳細は、Webshell Behavior Detectorの共通レスポンスステータスコードをご参照ください。

レスポンス例

レスポンスのサンプルコードは次の通りです。

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": {
        "content": [
            {
                "detectionId": "2024072323585700000434",
                "instanceNo": "25****97",
                "serverName": "{servername}",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "{uid}",
                "euid": "0",
                "gid": "",
                "egid": "0",
                "actionStatus": "blank",
                "detectTime": 1721746705146,
                "collectTime": 1721746738108,
                "lastUpdatedTime": 1721746738108,
                "isChecked": false,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072323585800000384",
                        "detectionId": "2024072323585700000434",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "WINDOWS"
            },
            {
                "detectionId": "2024072323575700000433",
                "instanceNo": "25****97",
                "serverName": "{servername}",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "{uid}",
                "euid": "0",
                "gid": "",
                "egid": "0",
                "actionStatus": "blank",
                "detectTime": 1721746675977,
                "collectTime": 1721746678163,
                "lastUpdatedTime": 1721746678163,
                "isChecked": false,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072323575800000383",
                        "detectionId": "2024072323575700000433",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "WINDOWS"
            }
        ],
        "totalCount": 11,
        "pageSize": 2,
        "pageIndex": 1,
        "totalPages": 6
    }
}