SearchWebshell

印刷する
共有
PDF

記事の要約

この要約は役に立ちましたか?

ご意見ありがとうございます

VPC環境で利用できます。

保存されたウェブシェル行為検知履歴のうち、目的の項目を検索します。

リクエスト

リクエスト形式を説明します。リクエスト形式は次の通りです。

メソッド	URI
POST	/detections

リクエストヘッダ

Webshell Behavior Detector APIで共通して使用されるヘッダの詳細は、Webshell Behavior Detectorの共通ヘッダをご参照ください。

リクエストボディ

リクエストボディの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`actionStatus`	String	Optional	問題対応の状態 `confirmed` \| `blank` `confirmed`: 確認完了 `blank`: 未確認
`detectTimeFrom`	Integer	Optional	検索開始日時(Timestamp)
`detectTimeTo`	Integer	Optional	検索終了日時(Timestamp)
`executor`	String	Optional	プロセス実行アカウント
`executorOfParent`	String	Optional	親プロセス実行アカウント
`hostName`	String	Optional	VMのホスト名
`memo`	String	Optional	メモ
`pageIndex`	Integer	Required	ページ番号
`pageSize`	Integer	Required	ページ表示数
`privateIPofServer`	String	Optional	VMのプライベート IPアドレス
`processArg`	String	Optional	プロセス引数値
`processArgOfParent`	String	Optional	親プロセス引数値
`processName`	String	Optional	プロセス名
`processNameOfParent`	String	Optional	親プロセス名
`serverName`	String	Optional	VMのサーバ名
`suspiciousIP`	String	Optional	疑わしい IPアドレス

リクエスト例

リクエストのサンプルコードは次の通りです。

curl --location --request POST 'https://wbd.apigw.ntruss.com/api/v1/detections' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
--header 'Content-Type: application/json' \
--header 'X-NCP-USE_PLATFORM_TYPE: VPC' \
--data '{
    "detectTimeFrom": 0,
    "detectTimeTo": 0,
    "executor": "DefaultAppPool",
    "pageIndex": 1,
    "pageSize": 2,
    "suspiciousIP": "***.***.***.***"
}'

レスポンス

レスポンス形式を説明します。

レスポンスボディ

レスポンスボディの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`success`	Boolean	-	リクエスト処理の有無
`code`	Integer	-	レスポンスコード
`message`	String	-	レスポンスメッセージ
`result`	Object	-	レスポンス結果
`content`	Array	-	ウェブシェル行為の検知履歴リスト
`totalCount`	Integer	-	レスポンス結果数
`pageSize`	Integer	-	ページ表示数
`pageIndex`	Integer	-	ページ番号
`totalPages`	Integer	-	ページの総数

`content`

contentの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID
`instanceNo`	String	-	VMのインスタンス番号
`hostName`	String	-	VMのホスト名
`serverName`	String	-	VMのサーバ名
`containerName`	String	-	VMのコンテナ名
`privateIPofServer`	String	-	VMのプライベート IPアドレス
`command`	String	-	ファイル実行コマンド
`processName`	String	-	プロセス名
`processArg`	String	-	プロセス引数値
`processId`	String	-	プロセス ID
`executor`	String	-	プロセス実行アカウント
`processIdOfParent`	String	-	親プロセス ID
`processNameOfParent`	String	-	親プロセス名
`processArgOfParent`	String	-	親プロセス引数値
`executorOfParent`	String	-	親プロセス実行アカウント
`uid`	String	-	検知プロセス UID
`euid`	String	-	プロセス EUID
`gid`	String	-	プロセス GID
`egid`	String	-	プロセス EGID
`actionStatus`	String	-	問題対応の状態 `confirmed` \| `blank` `confirmed`: 確認完了 `blank`: 未確認
`memo`	String	-	メモ
`actionTime`	Integer	-	ウェブシェル行為の発生日時(Timestamp)
`detectTime`	Integer	-	ウェブシェル行為の検知日時(Timestamp)
`collectTime`	Integer	-	ウェブシェル行為の収集日時(Timestamp)
`lastUpdatedTime`	Integer	-	最終検知履歴の記録日時(Timestamp)
`isChecked`	Boolean	-	検知履歴を確認したかどうか `true` \| `false` `true`: 確認完了 `false`: 未確認
`memberNo`	Integer	-	VM使用会員番号
`detectionRuleId`	String	-	検知ポリシー ID
`suspicionFiles`	Array	-	疑わしいファイルリスト
`suspicionIps`	Array	-	疑わしい IPアドレスリスト
`osType`	String	-	VMの OSタイプ

`suspicionFiles`

suspicionFilesの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`suspicionFileId`	String	-	ファイル ID
`fileOriginName`	String	-	ファイル名
`fileOwner`	String	-	ファイルの所有者
`weight`	Integer	-	スコアスコアが高いほどウェブシェルである可能性が高い
`accessTime`	Integer	-	ファイルアクセス日時(Timestamp)
`modifyTime`	Integer	-	ファイル変更日時(Timestamp)
`changeTime`	Integer	-	ファイル更新日時(Timestamp)
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID

`suspicionIps`

suspicionIpsの説明は次の通りです。

フィールド	タイプ	必須の有無	説明
`suspicionIpId`	String	-	疑わしい IPアドレスの ID
`detectionId`	String	-	ウェブシェル行為の検知履歴 ID
`suspicionIp`	String	-	疑わしい IPアドレス
`country`	String	-	疑わしい IPアドレスの国
`platform`	String	-	VM環境 `VPC` \| `CLASSIC`

レスポンスステータスコード

Webshell Behavior Detector APIで共通して使用されるレスポンスステータスコードの詳細は、Webshell Behavior Detectorの共通レスポンスステータスコードをご参照ください。

レスポンス例

レスポンスのサンプルコードは次の通りです。

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": {
        "content": [
            {
                "detectionId": "2024072323585700000434",
                "instanceNo": "25****97",
                "serverName": "{servername}",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "{uid}",
                "euid": "0",
                "gid": "",
                "egid": "0",
                "actionStatus": "blank",
                "detectTime": 1721746705146,
                "collectTime": 1721746738108,
                "lastUpdatedTime": 1721746738108,
                "isChecked": false,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072323585800000384",
                        "detectionId": "2024072323585700000434",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "WINDOWS"
            },
            {
                "detectionId": "2024072323575700000433",
                "instanceNo": "25****97",
                "serverName": "{servername}",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "{uid}",
                "euid": "0",
                "gid": "",
                "egid": "0",
                "actionStatus": "blank",
                "detectTime": 1721746675977,
                "collectTime": 1721746678163,
                "lastUpdatedTime": 1721746678163,
                "isChecked": false,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072323575800000383",
                        "detectionId": "2024072323575700000433",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "WINDOWS"
            }
        ],
        "totalCount": 11,
        "pageSize": 2,
        "pageIndex": 1,
        "totalPages": 6
    }
}

この記事は役に立ちましたか?

What's Next

GetWebshellSuspiciousObject

リクエスト
レスポンス

タグ

Webshell Behavior Detector