GetWebshellSuspiciousObject

웹쉘 행위 탐지 내역 중 원하는 파일에 대한 상세 정보를 조회합니다.

요청

요청 형식을 설명합니다. 요청 형식은 다음과 같습니다.

메서드	URI
GET	/detections/{detection-id}/suspicious-objects

요청 헤더

Webshell Behavior Detector API에서 공통으로 사용하는 헤더에 대한 정보는 Webshell Behavior Detector 공통 헤더를 참조해 주십시오.

요청 경로 파라미터

파라미터에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`detection-id`	String	Required	웹쉘 행위 탐지 내역 ID GetWebshell을 통해 확인

요청 예시

요청 예시는 다음과 같습니다.

curl --location --request GET 'https://wbd.apigw.fin-ntruss.com/api/v1/detections/2024072323595700000436/suspicious-objects' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}'

응답

응답 형식을 설명합니다.

응답 바디

응답 바디에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`success`	Boolean	-	요청 처리 여부
`code`	Integer	-	응답 코드
`message`	String	-	응답 메시지
`result`	Array	-	의심 파일 목록

`result`

result에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`suspicionFileId`	String	-	파일 ID
`detectionId`	String	-	웹쉘 행위 탐지 내역 ID
`hostName`	String	-	VM의 호스트 이름
`osType`	String	-	VM의 OS 유형
`fileOriginName`	String	-	파일 이름
`quarantineFileName`	String	-	격리 조치된 파일 이름
`fileSize`	Integer	-	파일 크기
`sha1`	String	-	파일의 sha1 해시 값
`privateIPofServer`	String	-	VM의 사설 IP
`fileAuthority`	String	-	파일의 권한
`fileOwner`	String	-	파일 소유자
`fileGroup`	String	-	파일 소유 그룹
`accessTime`	Integer	-	파일 접근 일시(Timestamp)
`modifyTime`	Integer	-	파일 변경 일시(Timestamp)
`changeTime`	Integer	-	파일 수정 일시(Timestamp)
`instanceNo`	String	-	VM의 인스턴스 번호
`hashScanResult`	String	-	Hash 기반의 악성 판단 결과 `malware` \| `notMalware` `malware`: 악성 `notMalware`: 정상
`memo`	String	-	메모
`memberNo`	Integer	-	VM 사용 회원 번호
`restoreTime`	Integer	-	파일 복구 일시(Timestamp)
`quarantineTime`	Integer	-	파일 격리 일시(Timestamp)
`weight`	Integer	-	스코어 스코어가 높을수록 웹쉘일 가능성이 높음
`commandStatus`	String	-	격리/복구 명령의 처리 상태 `restoring` \| `restored` \| `restoreFailed` \| `onQurantine` \| `quarantined` \| `quarantineFailed` `restoring`: 복구중 `restored`: 복구 완료 `restoreFailed`: 복구 실패 `onQurantine`: 격리중 `quarantined`: 격리 완료 `quarantineFailed`: 격리 실패
`commandResult`	String	-	격리/복구 명령의 결과에 대한 상세 메시지
`isRestore`	Boolean	-	복구 상태의 여부 `true` \| `false` `true`: 복구됨 `false`: 복구되지 않음
`isQuarantine`	Boolean	-	격리 여부 `true` \| `false` `true`: 격리됨 `false`: 격리되지 않음
`isExcepted`	Boolean	-	예외 처리 여부 `true` \| `false` `true`: 예외 처리됨 `false`: 예외 처리되지 않음
`lastUpdatedTime`	Integer	-	마지막 탐지 내역의 기록 일시(Timestamp)
`resultCode`	Integer	-	격리/복구 명령의 결과 코드
`platform`	String	-	VM 환경 `VPC` \| `CLASSIC`
`serverName`	String	-	VM의 서버 이름
`containerName`	String	-	VM의 컨테이너 이름
`k8sName`	String	-	워크로드 이름 Kubernetes 환경일 경우 유효 값 표시
`k8sType`	String	-	배포된 Pod의 워크로드 유형 Kubernetes 환경일 경우 유효 값 표시
`podName`	String	-	배포된 Pod 이름 Kubernetes 환경일 경우 유효 값 표시
`isDeleted`	Boolean	-	파일의 삭제 여부 `true` \| `false` `true`: 삭제됨 `false`: 삭제되지 않음

응답 상태 코드

Webshell Behavior Detector API에서 공통으로 사용하는 응답 상태 코드에 대한 정보는 Webshell Behavior Detector 공통 응답 상태 코드를 참조해 주십시오.

응답 예시

응답 예시는 다음과 같습니다.

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": [
        {
            "suspicionFileId": "2024072323595800000443",
            "detectionId": "2024072323595700000436",
            "hostName": null,
            "osType": "WINDOWS",
            "fileOriginName": "{web-root-path}/{suspicious-object-name}",
            "quarantineFileName": null,
            "fileSize": 306,
            "sha1": "***************************",
            "privateIPofServer": "***.***.***.***",
            "fileAuthority": "[{\"BUILTIN/Administrators\":\"(I)(F)\"},{\"BUILTIN/IIS_IUSRS\":\"(I)(RX)\"},{\"BUILTIN/Users\":\"(I)(RX)\"},{\"NT AUTHORITY/SYSTEM\":\"(I)(F)\"},{\"NT SERVICE/TrustedInstaller\":\"(I)(F)\"}]",
            "fileOwner": "S-1-5-32-544",
            "fileGroup": "S-1-5-32-544",
            "accessTime": 1721742550000,
            "modifyTime": 1721742550000,
            "changeTime": 1721742542000,
            "instanceNo": "25****97",
            "hashScanResult": "notMalware",
            "memo": null,
            "memberNo": 26***90,
            "restoreTime": null,
            "quarantineTime": null,
            "weight": 29,
            "commandStatus": null,
            "commandResult": null,
            "isRestore": false,
            "isQuarantine": false,
            "isExcepted": false,
            "lastUpdatedTime": 1721746798057,
            "resultCode": null,
            "platform": "VPC",
            "serverName": "{servername}",
            "containerName": null,
            "k8sName": null,
            "k8sType": null,
            "podName": null,
            "isDeleted": false
        }
    ]
}