SearchWebshell
    • PDF

    SearchWebshell

    • PDF

    기사 요약

    VPC 환경에서 이용 가능합니다.

    저장된 웹쉘 행위 탐지 내역 중 원하는 항목을 검색합니다.

    요청

    요청 형식을 설명합니다. 요청 형식은 다음과 같습니다.

    메서드URI
    POST/detections

    요청 헤더

    Webshell Behavior Detector API에서 공통으로 사용하는 헤더에 대한 정보는 Webshell Behavior Detector 공통 헤더를 참조해 주십시오.

    요청 바디

    요청 바디에 대한 설명은 다음과 같습니다.

    필드타입필수 여부설명
    actionStatusStringOptional문제에 대한 대응 상태
    • confirmed | blank
      • confirmed: 확인 완료
      • blank: 미확인
    detectTimeFromIntegerOptional검색 시작 일시(Timestamp)
    detectTimeToIntegerOptional검색 종료 일시(Timestamp)
    executorStringOptional프로세스 실행 계정
    executorOfParentStringOptional부모 프로세스 실행 계정
    hostNameStringOptionalVM의 호스트 이름
    memoStringOptional메모
    pageIndexIntegerRequired페이지 번호
    pageSizeIntegerRequired페이지 출력 개수
    privateIPofServerStringOptionalVM의 사설 IP
    processArgStringOptional프로세스 인자값
    processArgOfParentStringOptional부모 프로세스 인자값
    processNameStringOptional프로세스 이름
    processNameOfParentStringOptional부모 프로세스 이름
    serverNameStringOptionalVM의 서버 이름
    suspiciousIPStringOptional의심 IP

    요청 예시

    요청 예시는 다음과 같습니다.

    curl --location --request POST 'https://wbd.apigw.ntruss.com/api/v1/detections' \
    --header 'x-ncp-apigw-timestamp: {Timestamp}' \
    --header 'x-ncp-iam-access-key: {Access Key}' \
    --header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
    --header 'Content-Type: application/json' \
    --header 'X-NCP-USE_PLATFORM_TYPE: VPC' \
    --data '{
        "detectTimeFrom": 0,
        "detectTimeTo": 0,
        "executor": "DefaultAppPool",
        "pageIndex": 1,
        "pageSize": 2,
        "suspiciousIP": "***.***.***.***"
    }'
    

    응답

    응답 형식을 설명합니다.

    응답 바디

    응답 바디에 대한 설명은 다음과 같습니다.

    필드타입필수 여부설명
    successBoolean-요청 처리 여부
    codeInteger-응답 코드
    messageString-응답 메시지
    resultObject-응답 결과
    contentArray-웹쉘 행위 탐지 내역 목록
    totalCountInteger-응답 결과 개수
    pageSizeInteger-페이지 출력 개수
    pageIndexInteger-페이지 번호
    totalPagesInteger-총 페이지 개수

    content

    content에 대한 설명은 다음과 같습니다.

    필드타입필수 여부설명
    detectionIdString-웹쉘 행위 탐지 내역 ID
    instanceNoString-VM의 인스턴스 번호
    hostNameString-VM의 호스트 이름
    serverNameString-VM의 서버 이름
    containerNameString-VM의 컨테이너 이름
    privateIPofServerString-VM의 사설 IP
    commandString-파일 실행 명령어
    processNameString-프로세스 이름
    processArgString-프로세스 인자값
    processIdString-프로세스 ID
    executorString-프로세스 실행 계정
    processIdOfParentString-부모 프로세스 ID
    processNameOfParentString-부모 프로세스 이름
    processArgOfParentString-부모 프로세스 인자값
    executorOfParentString-부모 프로세스 실행 계정
    uidString-탐지 프로세스 UID
    euidString-프로세스 EUID
    gidString-프로세스 GID
    egidString-프로세스 EGID
    actionStatusString-문제에 대한 대응 상태
    • confirmed | blank
      • confirmed: 확인 완료
      • blank: 미확인
    memoString-메모
    actionTimeInteger-웹쉘 행위 발생 일시(Timestamp)
    detectTimeInteger-웹쉘 행위 탐지 일시(Timestamp)
    collectTimeInteger-웹쉘 행위 수집 일시(Timestamp)
    lastUpdatedTimeInteger-마지막 탐지 내역의 기록 일시(Timestamp)
    isCheckedBoolean-탐지 내역에 대한 확인 여부
    • true | false
      • true: 확인 완료
      • false: 미확인
    memberNoInteger-VM 사용 회원 번호
    detectionRuleIdString-탐지 정책 ID
    suspicionFilesArray-의심 파일 목록
    suspicionIpsArray-의심 IP 목록
    osTypeString-VM의 OS 유형

    suspicionFiles

    suspicionFiles에 대한 설명은 다음과 같습니다.

    필드타입필수 여부설명
    suspicionFileIdString-파일 ID
    fileOriginNameString-파일 이름
    fileOwnerString-파일 소유자
    weightInteger-스코어
    • 스코어가 높을수록 웹쉘일 가능성이 높음
    accessTimeInteger-파일 접근 일시(Timestamp)
    modifyTimeInteger-파일 변경 일시(Timestamp)
    changeTimeInteger-파일 수정 일시(Timestamp)
    detectionIdString-웹쉘 행위 탐지 내역 ID

    suspicionIps

    suspicionIps에 대한 설명은 다음과 같습니다.

    필드타입필수 여부설명
    suspicionIpIdString-의심 IP의 ID
    detectionIdString-웹쉘 행위 탐지 내역 ID
    suspicionIpString-의심 IP
    countryString-의심 IP의 국가
    platformString-VM 환경
    • VPC | CLASSIC

    응답 상태 코드

    Webshell Behavior Detector API에서 공통으로 사용하는 응답 상태 코드에 대한 정보는 Webshell Behavior Detector 공통 응답 상태 코드를 참조해 주십시오.

    응답 예시

    응답 예시는 다음과 같습니다.

    {
        "success": true,
        "code": 0,
        "message": "success",
        "result": {
            "content": [
                {
                    "detectionId": "2024072323585700000434",
                    "instanceNo": "25****97",
                    "serverName": "{servername}",
                    "privateIPofServer": "***.***.***.***",
                    "command": "{command}",
                    "processName": "{process}",
                    "processArg": "{process-and-arguments}",
                    "processId": "{command-process-id}",
                    "executor": "DefaultAppPool",
                    "processIdOfParent": "{command-process-id}",
                    "processNameOfParent": "{process}",
                    "processArgOfParent": "{process-and-arguments}",
                    "executorOfParent": "DefaultAppPool",
                    "uid": "{uid}",
                    "euid": "0",
                    "gid": "",
                    "egid": "0",
                    "actionStatus": "blank",
                    "detectTime": 1721746705146,
                    "collectTime": 1721746738108,
                    "lastUpdatedTime": 1721746738108,
                    "isChecked": false,
                    "memberNo": 26***90,
                    "detectionRuleId": "2024072318114600000013",
                    "suspicionIps": [
                        {
                            "suspicionIpId": "2024072323585800000384",
                            "detectionId": "2024072323585700000434",
                            "suspicionIp": "***.***.***.***",
                            "country": "KR",
                            "platform": "VPC"
                        }
                    ],
                    "osType": "WINDOWS"
                },
                {
                    "detectionId": "2024072323575700000433",
                    "instanceNo": "25****97",
                    "serverName": "{servername}",
                    "privateIPofServer": "***.***.***.***",
                    "command": "{command}",
                    "processName": "{process}",
                    "processArg": "{process-and-arguments}",
                    "processId": "{command-process-id}",
                    "executor": "DefaultAppPool",
                    "processIdOfParent": "{command-process-id}",
                    "processNameOfParent": "{process}",
                    "processArgOfParent": "{process-and-arguments}",
                    "executorOfParent": "DefaultAppPool",
                    "uid": "{uid}",
                    "euid": "0",
                    "gid": "",
                    "egid": "0",
                    "actionStatus": "blank",
                    "detectTime": 1721746675977,
                    "collectTime": 1721746678163,
                    "lastUpdatedTime": 1721746678163,
                    "isChecked": false,
                    "memberNo": 26***90,
                    "detectionRuleId": "2024072318114600000013",
                    "suspicionIps": [
                        {
                            "suspicionIpId": "2024072323575800000383",
                            "detectionId": "2024072323575700000433",
                            "suspicionIp": "***.***.***.***",
                            "country": "KR",
                            "platform": "VPC"
                        }
                    ],
                    "osType": "WINDOWS"
                }
            ],
            "totalCount": 11,
            "pageSize": 2,
            "pageIndex": 1,
            "totalPages": 6
        }
    }
    

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.