GetExceptedWebshell

VPC 환경에서 이용 가능합니다.

웹쉘 행위 탐지 내역 중 예외 처리된 내역을 조회합니다.

요청

요청 형식을 설명합니다. 요청 형식은 다음과 같습니다.

메서드	URI
GET	/api/v1/exceptions

요청 헤더

Webshell Behavior Detector API에서 공통으로 사용하는 헤더에 대한 정보는 Webshell Behavior Detector 요청 헤더를 참조해 주십시오.

요청 쿼리 파라미터

요청 쿼리 파라미터에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`pageIndex`	Integer	Optional	페이지 번호
`pageSize`	Integer	Optional	페이지 출력 개수

요청 예시

요청 예시는 다음과 같습니다.

curl --location --request GET 'https://wbd.apigw.gov-ntruss.com/api/v1/exceptions?pageIndex=0&pageSize=1' \
--header 'x-ncp-apigw-timestamp: {Timestamp}' \
--header 'x-ncp-iam-access-key: {Access Key}' \
--header 'x-ncp-apigw-signature-v2: {API Gateway Signature}' \
--header 'Content-Type: application/json' \
--header 'X-NCP-USE_PLATFORM_TYPE: VPC'

응답

응답 형식을 설명합니다.

응답 바디

응답 바디에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`success`	Boolean	-	요청 처리 여부 `true` \| `false` `true`: 요청 성공 `false`: 요청 실패
`code`	Integer	-	응답 코드
`message`	String	-	응답 메시지
`result`	Object	-	응답 결과
`content`	Array	-	웹쉘 행위 탐지 내역 목록: #content
`totalCount`	Integer	-	응답 결과 개수
`pageSize`	Integer	-	페이지 출력 개수
`pageIndex`	Integer	-	페이지 번호
`totalPages`	Integer	-	총 페이지 개수

`content`

content에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`detectionId`	String	-	웹쉘 행위 탐지 내역 ID
`instanceNo`	String	-	VM의 인스턴스 번호
`hostName`	String	-	VM의 호스트 이름
`serverName`	String	-	VM의 서버 이름
`containerName`	String	-	VM의 컨테이너 이름
`privateIPofServer`	String	-	VM의 사설 IP
`command`	String	-	파일 실행 명령어
`processName`	String	-	프로세스 이름
`processArg`	String	-	프로세스 인자값
`processId`	String	-	프로세스 ID
`executor`	String	-	프로세스 실행 계정
`processIdOfParent`	String	-	부모 프로세스 ID
`processNameOfParent`	String	-	부모 프로세스 이름
`processArgOfParent`	String	-	부모 프로세스 인자값
`executorOfParent`	String	-	부모 프로세스 실행 계정
`uid`	String	-	탐지 프로세스 UID
`euid`	String	-	프로세스 EUID
`gid`	String	-	프로세스 GID
`egid`	String	-	프로세스 EGID
`actionStatus`	String	-	문제에 대한 대응 상태 `confirmed` \| `blank` `confirmed`: 확인 완료 `blank`: 미확인
`memo`	String	-	메모
`actionTime`	Integer	-	웹쉘 행위 발생 일시 Timestamp 형식
`detectTime`	Integer	-	웹쉘 행위 탐지 일시 Timestamp 형식
`collectTime`	Integer	-	웹쉘 행위 수집 일시 Timestamp 형식
`lastUpdatedTime`	Integer	-	마지막 탐지 내역의 기록 일시 Timestamp 형식
`isChecked`	Boolean	-	탐지 내역에 대한 확인 여부 `true` \| `false` `true`: 확인 완료 `false`: 미확인
`memberNo`	Integer	-	VM 사용 회원 번호
`detectionRuleId`	String	-	탐지 정책 ID
`suspicionFiles`	Array	-	의심 파일 목록: #suspicionFiles
`suspicionIps`	Array	-	의심 IP 목록: #suspicionIps
`osType`	String	-	VM의 OS 유형

`suspicionFiles`

suspicionFiles에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`suspicionFileId`	String	-	파일 ID
`fileOriginName`	String	-	파일 이름
`fileOwner`	String	-	파일 소유자
`weight`	Integer	-	스코어 스코어가 높을수록 웹쉘일 가능성이 높음
`accessTime`	Integer	-	파일 접근 일시 Timestamp 형식
`modifyTime`	Integer	-	파일 변경 일시 Timestamp 형식
`changeTime`	Integer	-	파일 수정 일시 Timestamp 형식
`detectionId`	String	-	웹쉘 행위 탐지 내역 ID

`suspicionIps`

suspicionIps에 대한 설명은 다음과 같습니다.

필드	타입	필수 여부	설명
`suspicionIpId`	String	-	의심 IP의 ID
`detectionId`	String	-	웹쉘 행위 탐지 내역 ID
`suspicionIp`	String	-	의심 IP
`country`	String	-	의심 IP의 국가
`platform`	String	-	VM 환경 `VPC` \| `CLASSIC`

응답 상태 코드

Webshell Behavior Detector API에서 공통으로 사용하는 응답 상태 코드에 대한 정보는 Webshell Behavior Detector 응답 상태 코드를 참조해 주십시오.

응답 예시

응답 예시는 다음과 같습니다.

{
    "success": true,
    "code": 0,
    "message": "success",
    "result": {
        "content": [
            {
                "detectionId": "2024072322515700000222",
                "instanceNo": "25****97",
                "serverName": "{servername}",
                "privateIPofServer": "***.***.***.***",
                "command": "{command}",
                "processName": "{process}",
                "processArg": "{process-and-arguments}",
                "processId": "{command-process-id}",
                "executor": "DefaultAppPool",
                "processIdOfParent": "{command-process-id}",
                "processNameOfParent": "{process}",
                "processArgOfParent": "{process-and-arguments}",
                "executorOfParent": "DefaultAppPool",
                "uid": "{uid}",
                "euid": "0",
                "gid": "",
                "egid": "0",
                "actionStatus": "blank",
                "memo": "windos",
                "actionTime": 1721742748545,
                "detectTime": 1721742689536,
                "collectTime": 1721742718175,
                "lastUpdatedTime": 1721742770368,
                "isChecked": false,
                "memberNo": 26***90,
                "detectionRuleId": "2024072318114600000013",
                "suspicionFiles": [
                    {
                        "suspicionFileId": "2024072322515800000222",
                        "fileOriginName": "{web-root-path}/{suspicious-object-name}",
                        "fileOwner": "S-1-5-32-544",
                        "weight": 29,
                        "accessTime": 1721742550000,
                        "modifyTime": 1721742550000,
                        "changeTime": 1721742542000,
                        "detectionId": "2024072322515700000222"
                    }
                ],
                "suspicionIps": [
                    {
                        "suspicionIpId": "2024072322515800000195",
                        "detectionId": "2024072322515700000222",
                        "suspicionIp": "***.***.***.***",
                        "country": "KR",
                        "platform": "VPC"
                    }
                ],
                "osType": "WINDOWS"
            }
        ],
        "totalCount": 6,
        "pageSize": 1,
        "pageIndex": 0,
        "totalPages": 6
    }
}