VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、WebShell Behavior Detectorのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
マネージドポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは WebShell Behavior Detectorを利用できるようになります。WebShell Behavior Detectorのマネージドポリシーについての簡単な説明は、次の通りです。
Sub Accountサービスのご利用の申し込み方法は、Sub Account ご利用ガイドをご参照ください。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_WEBSHELL_BEHAVIOR_DETECTOR_MANAGER | WebShell Behavior Detectorサービス内のすべての機能を利用できる権限 |
| NCP_WEBSHELL_BEHAVIOR_DETECTOR_VIEWER | WebShell Behavior Detectorサービス内の照会機能のみ利用できる権限 |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。WebShell Behavior Detectorのユーザー定義ポリシーについての簡単な説明は、次の通りです。
WebShell List関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getWebShellEvents | - | - | WebShell List | 検知されたウェブシェル行為リストを照会 |
| Change | Change/manageWebShellEvent | View/getServerGroupDetail
View/getWebShellEvents
View/getDetectionTargetDetail
View/getServerGroupList
View/getDetectionTargetList
Change/createUserExceptionRule | - | WebShell List | 検知されたウェブシェル行為リスト管理 |
Excepted List関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getExceptedWebShellEvents | - | - | Excepted List | 例外処理されたウェブシェル行為リストを照会 |
| Change | Change/manageExceptedWebShellEvent | View/getExceptedWebShellEvents | - | Excepted List | 例外処理されたウェブシェル行為リスト管理 |
Quarantine関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getQuarantinedFileList | - | - | Quarantine | 隔離されたウェブシェルと疑われるファイルリストを照会 |
| Change | Change/manageQuarantinedFile | View/getQuarantinedFileList | - | Quarantine | 隔離されたウェブシェルと疑われるファイルリスト管理 |
Exception Rule関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getUserExceptionRuleList | - | - | Exception Rule | 例外ルールのリストを照会 |
| View | View/getUserExceptionRuleDetail | View/getUserExceptionRuleList | ExceptionRule | ExceptionRule | 例外ルールに関する詳細情報を照会 |
| View | View/getDeletedUserExceptionRuleList | - | - | Exception Rule Log | 削除された例外ルールリストを照会 |
| Change | Change/createUserExceptionRule | View/getUserExceptionRuleList
View/getServerGroupDetail
View/getDetectionTargetDetail
View/getServerGroupList
View/getDetectionTargetList | - | Exception Rule | 例外ルールを作成 |
| Change | Change/copyUserExceptionRule | View/getUserExceptionRuleList
View/getUserExceptionRuleDetail
View/getServerGroupDetail
View/getDetectionTargetDetail
View/getServerGroupList
View/getDetectionTargetList | ExceptionRule | Exception Rule | 例外ルールをレプリケーション |
| Change | Change/deleteUserExceptionRule | View/getUserExceptionRuleList | ExceptionRule | ExceptionRule | 例外ルールの削除 |
| Change | Change/updateUserExceptionRuleMemo | View/getUserExceptionRuleList
View/getUserExceptionRuleDetail | ExceptionRule | ExceptionRule | 例外ルールのメモを変更 |
Deleted Exception Rule(Log)関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getDeletedUserExceptionRuleList | - | - | Exception Rule Log | 削除された例外ルールリストを照会 |
| View | View/getDeletedUserExceptionRuleDetail | View/getDeletedUserExceptionRuleList | - | Exception Rule Log | 削除された例外ルールに関する詳細情報を照会 |
| Change | Change/updateDeletedUserExceptionRuleMemo | View/getDeletedUserExceptionRuleDetail
View/getDeletedUserExceptionRuleList | - | Exception Rule Log | 削除された例外ルールのメモを変更 |
| Change | Change/recoveryDeletedUserExceptionRule | View/getDeletedUserExceptionRuleDetail
View/getDeletedUserExceptionRuleList | - | Exception Rule Log | 削除された例外ルールを復旧 |
Notification Interval関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getNotificationInterval | - | - | Interval | ウェブシェル行為検知の通知周期設定を照会 |
| Change | Change/updateNotificationInterval | View/getNotificationInterval | - | Interval | ウェブシェル行為検知の通知周期を変更 |
Configuration関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getDetectionTargetList | - | - | Configuration | 検知対象リストを照会 |
| View | View/getDetectionTargetDetail | View/getDetectionTargetList | DetectionTarget | Configuration | 検知対象に関する詳細情報を照会 |
| View | View/getVPCServerList | - | - | Configuration | VPCサーバリストの照会 |
| View | View/getVPCServerDetail | View/getVPCServerList | VPCServer:Server | Configuration | 検知する VPCサーバの選択 |
| View | View/getNotificationSetting | - | - | Configuration | 通知対象設定を照会 |
| Change | Change/updateDetectionTargetMemo | View/getDetectionTargetDetail
View/getDetectionTargetList | DetectionTarget | Configuration | 検知対象のメモを変更 |
| Change | Change/updateDetectionTarget | View/getNotificationSetting
Change/manageNotificationSetting
View/getDetectionTargetDetail
View/getDetectionTargetList
Change/activateDetectionTarget
Change/deactivateDetectionTarget | DetectionTarget | Configuration | 検知対象設定を変更 |
| Change | Change/activateDetectionTarget | View/getDetectionTargetDetail
View/getDetectionTargetList | DetectionTarget | Configuration | エージェント有効化 |
| Change | Change/deactivateDetectionTarget | View/getDetectionTargetDetail
View/getDetectionTargetList | DetectionTarget | Configuration | エージェント無効化 |
| Change | Change/releaseDetectionTarget | View/getDetectionTargetDetail
View/getDetectionTargetList | DetectionTarget | Configuration | 検知対象設定を解除 |
| Change | Change/createVPCDetectionTarget | View/getNotificationSetting
Change/manageNotificationSetting
View/getVPCServerList
View/getVPCServerDetail
View/getDetectionTargetList | - | Configuration | VPCプラットフォームサーバで検知対象を作成 |
| Change | Change/manageNotificationSetting | View/getNotificationSetting | - | Configuration | 通知対象を設定 |
Server Group関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getServerGroupList | View/getDetectionTargetList | - | Server Group | サーバグループリストを照会 |
| View | View/getServerGroupDetail | View/getServerGroupList | ServerGroup | Server Group | サーバグループを照会するか、サーバグループを例外ルールの対象として指定 |
| Change | Change/createServerGroup | View/getServerGroupList | - | Server Group | サーバグループを作成 |
| Change | Change/updateServerGroup | View/getServerGroupDetail
View/getServerGroupList
View/getDetectionTargetDetail
View/getDetectionTargetList | ServerGroup | ServerGroup | サーバグループを変更 |
| Change | Change/deleteServerGroup | View/getServerGroupDetail
View/getServerGroupList | ServerGroup | Server Group | サーバグループを削除 |
| Change | Change/setDetectionTargetServerGroup | View/getServerGroupDetail
View/getServerGroupList
View/getDetectionTargetDetail
View/getDetectionTargetList | DetectionTarget | Server Group | 検知対象をサーバグループに設定と解除 |
Subscription関連のアクション
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| Change | Change/subscribeProduct | - | - | Subscription | Webshell Behavior Detectorサービスのご利用の申し込み |
詳細は、NAVERクラウドプラットフォームポータルの Sub Account > Policiesでご確認ください。