SearchWebshell
- 인쇄
- PDF
SearchWebshell
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
개요
웹쉘 행위 탐지 내역을 검색합니다.
필요 권한
- View/getWebShellEvents
요청
요청 파라미터
| 파라미터명 | 필수 여부 | 타입 | 설명 |
|---|---|---|---|
| actionStatus | No | string | 대응 상태 ("confirmed": 확인완료, "blank": 미확인) |
| detectTimeFrom | No | integer | 검색 시작 시간 (timestamp) |
| detectTimeTo | No | integer | 검색 종료 시간 (timestamp) |
| executor | No | string | 프로세스 실행 계정 |
| executorOfParent | No | string | 부모 프로세스 실행 계정 |
| hostName | No | string | VM 의 호스트네임 |
| memo | No | string | 메모 |
| pageIndex | Yes | integer | 페이지 번호 |
| pageSize | Yes | integer | 페이지 출력 갯수 |
| privateIPofServer | No | string | 서버의 사설 IP 주소 |
| processArg | No | string | 프로세스 인자값 |
| processArgOfParent | No | string | 부모 프로세스 인자값 |
| processName | No | string | 프로세스 이름 |
| processNameOfParent | No | string | 부모 프로세스 이름 |
| serverName | No | string | VM 의 서버이름 |
| suspiciousIP | No | string | 의심 IP |
요청 헤더
| 헤더명 | 필수 여부 | 타입 | 설명 |
|---|---|---|---|
| X-NCP-USE_PLATFORM_TYPE | Yes | string | VPC, CLASSIC 환경 중 택일 |
응답
응답 바디
- 응답 메시지 (1)
| 항목 | 타입 | 설명 |
|---|---|---|
| success | boolean | 요청 처리 여부 |
| code | Integer | 응답코드 |
| message | String | 응답 메시지 |
| result | Object | 요청 결과 |
| - content | Array | 웹쉘 행위 탐지 내역 목록 |
| - totalCount | Integer | 총 항목 갯수 |
| - pageSize | Integer | 현재 페이지 출력 갯수 |
| - pageIndex | Integer | 현재 페이지 번호 |
| - totalPages | Integer | 총 페이지 갯수 |
- 응답 메시지 (2) : 웹쉘 행위 탐지 내역(content)
| 항목 | 타입 | 설명 |
|---|---|---|
| detectionId | string | 웹쉘 행위 탐지 내역 ID |
| instanceNo | string | VM 의 인스턴스 번호 |
| hostName | string | VM 의 호스트네임 |
| serverName | string | VM 의 서버이름 |
| privateIPofServer | string | VM 의 사설 아이피 |
| command | string | 명령어 |
| processName | string | 프로세스 이름 |
| processArg | string | 탐지된 프로세스 인자값 |
| processId | string | 프로세스 아이디 |
| executor | string | 프로세스 실행 계정 |
| processIdOfParent | string | 부모 프로세스 ID |
| processNameOfParent | string | 부모 프로세스 이름 |
| processArgOfParent | string | 부모 프로세스 인자값 |
| executorOfParent | string | 부모 프로세스 실행 계정 |
| uid | string | 탐지 프로세스 UID |
| euid | string | 프로세스 EUID |
| gid | string | 프로세스 GID |
| egid | string | 프로세스 EGID |
| actionStatus | string | 대응 상태 ("confirmed": 확인완료, "blank": 미확인) |
| memo | string | 메모 |
| actionTime | integer | 웹쉘 행위 발생 시간 (timestamp) |
| detectTime | integer | 웹쉘 행위 탐지 시간 (timestamp) |
| collectTime | integer | 웹쉘 행위 수집 시간 (timestamp) |
| lastUpdatedTime | integer | 마지막 탐지 내역 변경 시간 (timestamp) |
| isChecked | boolean | 탐지 내역에 대한 확인 여부(true: 확인완료, false: 미확인) |
| memberNo | integer | VM 사용 멤버 번호 |
| detectionRuleId | string | 탐지 정책 ID |
| suspicionFiles | array | 의심 파일 목록 |
| suspicionIps | array | 의심 아이피 목록 |
- 응답 메시지 (3) : 의심 파일(suspicionFile)
| 항목 | 타입 | 설명 |
|---|---|---|
| suspicionFileId | string | 파일 ID |
| fileOriginName | string | 파일 이름 |
| fileOwner | string | 파일 소유자 |
| weight | integer | 스코어 |
| accessTime | integer | 파일 접근 시간 |
| modifyTime | integer | 파일 변경 시간 |
| changeTime | integer | 파일 수정 시간 |
| detectionId | string | 웹쉘 행위 탐지 내역 ID |
- 응답 메시지 (4) : 의심 아이피(suspicionIp)
| 항목 | 타입 | 설명 |
|---|---|---|
| suspicionIpId | string | 의심 아이피 ID |
| detectionId | string | 웹쉘 행위 탐지 내역 ID |
| suspicionIp | string | 의심 IP |
| country | string | 의심 IP의 국가 |
| platform | string | VM 환경 |
예시
요청 예시
POST {WBD_API_URL}/detections
X-NCP-USE_PLATFORM_TYPE: VPC
Content-Type: application/json; charset=utf-8
x-ncp-apigw-timestamp: {Timestamp}
x-ncp-iam-access-key: {Sub Account Access Key or STS Access Key}`
x-ncp-apigw-signature-v2: {API Gateway Signature}
{
"actionStatus": "blank",
"detectTimeFrom": 0,
"detectTimeTo": 0,
"executor": "string",
"executorOfParent": "string",
"hostName": "string",
"memo": "string",
"pageIndex": 0,
"pageSize": 0,
"privateIPofServer": "string",
"processArg": "string",
"processArgOfParent": "string",
"processName": "string",
"processNameOfParent": "string",
"serverName": "string",
"suspiciousIP": "string"
}
응답 예시
{
"code": "integer",
"message": "string",
"result": {
"content": [{
"detectionId": "2020121816374700000002",
"instanceNo": "1234567",
"hostName": "{hostname}",
"serverName": "{servername}",
"privateIPofServer": "xxx.xxx.xxx.xxx",
"command": "{command} ",
"processName": "{command}",
"processArg": "",
"processId": "{command-process-id}",
"executor": "tomcat",
"processIdOfParent": "1234",
"processNameOfParent": "{process}",
"processArgOfParent": "{process-and-arguments}",
"executorOfParent": "tomcat",
"uid": "53",
"euid": "53",
"gid": "53",
"egid": "53",
"actionStatus": "blank",
"memo": "{memo}",
"actionTime": 1611223498240,
"detectTime": 1608277065597,
"collectTime": 1608277067614,
"lastUpdatedTime": 1611223575185,
"isChecked": false,
"memberNo": 1234,
"detectionRuleId": "2020101208482700000034",
"suspicionFiles": [
{
"suspicionFileId": "2020121816374700000002",
"fileOriginName": "{WEB_ROOT_PATH}/{suspicious-object-name}",
"fileOwner": "root",
"weight": 19,
"accessTime": 1608277038836,
"modifyTime": 1608276808467,
"changeTime": 1608276808467,
"detectionId": "2020121816374700000002"
}
],
"suspicionIps": [
{
"suspicionIpId": "2020121816374700000002",
"detectionId": "2020121816374700000002",
"suspicionIp": "xxx.xxx.xxx.xxx",
"country": "KR",
"platform": "VPC"
}
]
}],
"totalCount": 100,
"pageSize": 1,
"pageIndex": 1,
"totalPages": 100
},
"success": "boolean"
}
오류 코드 예시
{
"success": false,
"code": 400,
"message": "Platform must be not null.",
"result": null
}
이 문서가 도움이 되었습니까?