SearchWebshell
- 인쇄
- PDF
SearchWebshell
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
개요
웹쉘 행위 탐지 내역을 검색합니다.
필요 권한
- View/getWebShellEvents
요청
요청 파라미터
파라미터명 | 필수 여부 | 타입 | 설명 |
---|---|---|---|
actionStatus | No | string | 대응 상태 ("confirmed": 확인완료, "blank": 미확인) |
detectTimeFrom | No | integer | 검색 시작 시간 (timestamp) |
detectTimeTo | No | integer | 검색 종료 시간 (timestamp) |
executor | No | string | 프로세스 실행 계정 |
executorOfParent | No | string | 부모 프로세스 실행 계정 |
hostName | No | string | VM 의 호스트네임 |
memo | No | string | 메모 |
pageIndex | Yes | integer | 페이지 번호 |
pageSize | Yes | integer | 페이지 출력 갯수 |
privateIPofServer | No | string | 서버의 사설 IP 주소 |
processArg | No | string | 프로세스 인자값 |
processArgOfParent | No | string | 부모 프로세스 인자값 |
processName | No | string | 프로세스 이름 |
processNameOfParent | No | string | 부모 프로세스 이름 |
serverName | No | string | VM 의 서버이름 |
suspiciousIP | No | string | 의심 IP |
요청 헤더
헤더명 | 필수 여부 | 타입 | 설명 |
---|---|---|---|
X-NCP-USE_PLATFORM_TYPE | Yes | string | VPC, CLASSIC 환경 중 택일 |
응답
응답 바디
- 응답 메시지 (1)
항목 | 타입 | 설명 |
---|---|---|
success | boolean | 요청 처리 여부 |
code | Integer | 응답코드 |
message | String | 응답 메시지 |
result | Object | 요청 결과 |
- content | Array | 웹쉘 행위 탐지 내역 목록 |
- totalCount | Integer | 총 항목 갯수 |
- pageSize | Integer | 현재 페이지 출력 갯수 |
- pageIndex | Integer | 현재 페이지 번호 |
- totalPages | Integer | 총 페이지 갯수 |
- 응답 메시지 (2) : 웹쉘 행위 탐지 내역(content)
항목 | 타입 | 설명 |
---|---|---|
detectionId | string | 웹쉘 행위 탐지 내역 ID |
instanceNo | string | VM 의 인스턴스 번호 |
hostName | string | VM 의 호스트네임 |
serverName | string | VM 의 서버이름 |
privateIPofServer | string | VM 의 사설 아이피 |
command | string | 명령어 |
processName | string | 프로세스 이름 |
processArg | string | 탐지된 프로세스 인자값 |
processId | string | 프로세스 아이디 |
executor | string | 프로세스 실행 계정 |
processIdOfParent | string | 부모 프로세스 ID |
processNameOfParent | string | 부모 프로세스 이름 |
processArgOfParent | string | 부모 프로세스 인자값 |
executorOfParent | string | 부모 프로세스 실행 계정 |
uid | string | 탐지 프로세스 UID |
euid | string | 프로세스 EUID |
gid | string | 프로세스 GID |
egid | string | 프로세스 EGID |
actionStatus | string | 대응 상태 ("confirmed": 확인완료, "blank": 미확인) |
memo | string | 메모 |
actionTime | integer | 웹쉘 행위 발생 시간 (timestamp) |
detectTime | integer | 웹쉘 행위 탐지 시간 (timestamp) |
collectTime | integer | 웹쉘 행위 수집 시간 (timestamp) |
lastUpdatedTime | integer | 마지막 탐지 내역 변경 시간 (timestamp) |
isChecked | boolean | 탐지 내역에 대한 확인 여부(true: 확인완료, false: 미확인) |
memberNo | integer | VM 사용 멤버 번호 |
detectionRuleId | string | 탐지 정책 ID |
suspicionFiles | array | 의심 파일 목록 |
suspicionIps | array | 의심 아이피 목록 |
- 응답 메시지 (3) : 의심 파일(suspicionFile)
항목 | 타입 | 설명 |
---|---|---|
suspicionFileId | string | 파일 ID |
fileOriginName | string | 파일 이름 |
fileOwner | string | 파일 소유자 |
weight | integer | 스코어 |
accessTime | integer | 파일 접근 시간 |
modifyTime | integer | 파일 변경 시간 |
changeTime | integer | 파일 수정 시간 |
detectionId | string | 웹쉘 행위 탐지 내역 ID |
- 응답 메시지 (4) : 의심 아이피(suspicionIp)
항목 | 타입 | 설명 |
---|---|---|
suspicionIpId | string | 의심 아이피 ID |
detectionId | string | 웹쉘 행위 탐지 내역 ID |
suspicionIp | string | 의심 IP |
country | string | 의심 IP의 국가 |
platform | string | VM 환경 |
예시
요청 예시
POST {WBD_API_URL}/detections
X-NCP-USE_PLATFORM_TYPE: VPC
Content-Type: application/json; charset=utf-8
x-ncp-apigw-timestamp: {Timestamp}
x-ncp-iam-access-key: {Sub Account Access Key or STS Access Key}`
x-ncp-apigw-signature-v2: {API Gateway Signature}
{
"actionStatus": "blank",
"detectTimeFrom": 0,
"detectTimeTo": 0,
"executor": "string",
"executorOfParent": "string",
"hostName": "string",
"memo": "string",
"pageIndex": 0,
"pageSize": 0,
"privateIPofServer": "string",
"processArg": "string",
"processArgOfParent": "string",
"processName": "string",
"processNameOfParent": "string",
"serverName": "string",
"suspiciousIP": "string"
}
응답 예시
{
"code": "integer",
"message": "string",
"result": {
"content": [{
"detectionId": "2020121816374700000002",
"instanceNo": "1234567",
"hostName": "{hostname}",
"serverName": "{servername}",
"privateIPofServer": "xxx.xxx.xxx.xxx",
"command": "{command} ",
"processName": "{command}",
"processArg": "",
"processId": "{command-process-id}",
"executor": "tomcat",
"processIdOfParent": "1234",
"processNameOfParent": "{process}",
"processArgOfParent": "{process-and-arguments}",
"executorOfParent": "tomcat",
"uid": "53",
"euid": "53",
"gid": "53",
"egid": "53",
"actionStatus": "blank",
"memo": "{memo}",
"actionTime": 1611223498240,
"detectTime": 1608277065597,
"collectTime": 1608277067614,
"lastUpdatedTime": 1611223575185,
"isChecked": false,
"memberNo": 1234,
"detectionRuleId": "2020101208482700000034",
"suspicionFiles": [
{
"suspicionFileId": "2020121816374700000002",
"fileOriginName": "{WEB_ROOT_PATH}/{suspicious-object-name}",
"fileOwner": "root",
"weight": 19,
"accessTime": 1608277038836,
"modifyTime": 1608276808467,
"changeTime": 1608276808467,
"detectionId": "2020121816374700000002"
}
],
"suspicionIps": [
{
"suspicionIpId": "2020121816374700000002",
"detectionId": "2020121816374700000002",
"suspicionIp": "xxx.xxx.xxx.xxx",
"country": "KR",
"platform": "VPC"
}
]
}],
"totalCount": 100,
"pageSize": 1,
"pageIndex": 1,
"totalPages": 100
},
"success": "boolean"
}
오류 코드 예시
{
"success": false,
"code": 400,
"message": "Platform must be not null.",
"result": null
}
이 문서가 도움이 되었습니까?