ThreatExchange

Änderungsprotokoll

Änderungen vom 21. August 2023

Endpunkt „Malware Analyses“ entfernt

Der Endpunkt /malware_analyses wurde entfernt und ist in keiner Version mehr verfügbar.

Änderungen vom 23. Mai 2023

Endpunkt „Malware Analyses“ eingestellt

  • Der Endpunkt /malware_analyses wurde eingestellt. Er wird ab v17 nicht mehr verfügbar sein und ab dem 21. August 2023 für alle Versionen entfernt.

Änderungen vom 9. Januar 2023

Entfernung von Schadprogramm-Endpunkten

  • Schadprogramm-Endpunkte auf ThreatExchange wie /malware_analyses und /malware_families sowie verbundene Schadprogramm-Objekte werden entfernt und sind bald nicht mehr in allen Versionen verfügbar.
  • Diese Endpunkte und Objekte werden schon seit einiger Zeit nicht mehr verwendet und durch ihre Entfernung können wir die API vereinfachen.
  • Wenn du weiterhin Informationen über Schadprogramme austauschen möchtest, kannst du mithilfe von ThreatDescriptor-Objekten Schadprogramm-Hashes und andere Indikatoren hochladen.

Änderungen in API Version 10.0 (23. Feb. 2021)

Dauerhafte Löschung abgelaufener Daten

  • Beginnend ab 90 Tagen nach der Veröffentlichung von Graph API Version 10.0 werden alle abgelaufenen Daten gelöscht.
  • Daten, die mit einem anderen Wert als null für expire_time in ThreatExchange hochgeladen werden, werden zum angegebenen Ablauftermin dauerhaft gelöscht.
  • Wenn du Daten löschen möchtest, die nicht mehr gültig sind, lege für das Feld expired_on die aktuelle Uhrzeit fest, damit die Daten sofort gelöscht werden.
  • In der Vergangenheit haben wir einen eher „sanften“ Ansatz für das Löschen gewählt, bei dem abgelaufene Inhalte entsprechend markiert wurden. Dieses „sanfte“ Löschen wird nicht mehr unterstützt. Abgelaufene Inhalte werden jetzt dauerhaft gelöscht.
  • Darüber hinaus werden alle ThreatDescriptors, die nicht von Facebook stammen, dauerhaft gelöscht, wenn sie das vom*von der Creator*in festgelegte Ablaufdatum erreichen.
  • Wenn deine Anwendung derzeit über abgelaufene ThreatDescriptors verfügt, die du nicht löschen möchtest, musst du das Ablaufdatum verlängern oder auf „0“ (null) festlegen, um so sicherzustellen, dass die Daten nie ablaufen.

Änderungen vom 2. Juni 2020

Neue Tools für eine neue Generation

  • Unser Te-Tag-Abfrage-Referenzdesign hat jetzt Python- und Ruby-Referenzimplementierungen zusätzlich zur vorhandenen Java-Version. (Als Antwort auf entsprechendes Feedback haben wir außerdem die curl-only-Dokumentation für die Tag-Abfrage-Vorlage herausgenommen.
  • Der allgemeine Hintergrund für all dies ist, dass ThreatExchange in den letzten Jahren über Schadprogramme/Phishing hinausgewachsen und zur unternehmensübergreifenden Integritäts-Signalteilung übergegangen ist. Dies neueren Tools stimmen zum Großteil mit den älteren überein (wie z. B. pytx), konzentrieren sich jedoch vermehrt auf
    • interaktivere Tools für eine breitere, diversere Basis von Nutzer*innen
    • starke Threat-Descriptors (im Gegensatz zu Schadprogramm-Analysen)
    • verbesserten Support unternehmensübergreifender Feedbackmechanismen
  • Die Java-Version hinkt derzeit noch etwas hinterher, aber die Python- und Ruby-Referenzdesigns kapseln die gleichen Arten von bulk-relate-, bulk-react-, copy-and-modify- und anderen Workflows, wie bereits im Update vom 28. Mai für die UI beschrieben.
  • Wir haben festgestellt, dass für diejenigen mit PM-/DS-/Richtlinienrollen die UI die wichtigste Schnittstelle ist. Für Techniker*innen ist die UI zwar ein nützliches Tool, wirklich skalierbare Verarbeitungsimplementierungen erfordern jedoch die API, ebenso wie die Unterstützung zahlreicher Sprachen. Hierbei sind die Python- und Ruby-Releases wahre Meilensteine.
  • Diese Abläufe wurden aufgrund der Nachfrage durch eine unternehmensübergreifende Nutzerbasis entwickelt, die engagierter und mehr auf Feedback fokussiert ist als je zuvor. Sende uns auch weiterhin dein Feedback an threatexchange@fb.com und/oder unsere Slack-Kanäle, die du abonniert hast.

Änderungen vom 28. Mai 2020

Bei diesen Updates dreht sich alles um Bulk!

  • Mit dem neuen, zeitsparenden create-with-templates-Feature kannst du einen Batch von Deskriptoren senden, die bis auf die Hash-/Indikatorwerte identisch sind, ohne dass du aus CSV importieren musst.
  • Du kannst jetzt Bulk-Beziehungen und Bulk-Reaktionen nutzen.
  • Der Bulk-Uploader war beim Hochladen von mehr als ein paar hundert Deskriptoren eher störrisch und langsam – jetzt ist er selbst bei Dateigrößen von bis zu 8.000 Deskriptoren leistungsfähig und interaktiv.
  • Suchergebnisse verwenden nun außerdem ein leichteres Rendering (weniger Klicks zum Kopieren, weniger Farben usw.) für Ergebnisse mit mehr als tausend Deskriptoren. (Du kannst den Schwellenwert für das vereinfachte Rendering auf dem Anpassungs-Tab konfigurieren.) So kannst du auch in großen Datasets komfortabel navigieren.
  • Du kannst jetzt auch eine Power-Suche nach Deskriptoren durchführen, indem du ein „and“ mit mehreren Tags nutzt, und nicht nur ein „or“ wie zuvor.
  • Auch wenn die Unterstützung einer echten Funktion für „vorherige Seite“ und „nächste Seite“ noch in der Entwicklung ist, gibt es jetzt einen search-older-Button, mit dem du größere Suchergebnissätze durchgehen kannst.

Änderungen vom 9. April 2020

Als Antwort auf euer nützliches Feedback zur ThreatExchange-UI können wir jetzt mit Stolz die folgenden Updates ankündigen:

  • Du kannst jetzt auch in der UI Verbindungen senden, genau wie in der API. So kannst du Verbindungen zwischen Dingen wie Domains, URLs usw. verfolgen.
  • Du kannst deine Suchen jetzt ausweiten, indem du sie auf mehrere Deskriptoren für dieselben Zieldaten ausweitest bzw. auf mehr Deskriptoren, die mit ihnen verbunden sind.
  • Es werden jetzt auch gespeicherte Suchen unterstützt: Du kannst deine Suchen als Favoriten markieren oder sie mit anderen teilen.

Änderungen vom 8. Januar 2020

Als Antwort auf euer nützliches Feedback zur ThreatExchange-UI können wir jetzt mit Stolz die folgenden Updates ankündigen:

  • Power-Suche: Du kannst jetzt komplexe Abfragen ausführen, die den Status, Indikatortyp, Owner-Apps, Tags, Text und vieles mehr einbeziehen. (Unterstützung für „nächste Seite“ ist noch in der Entwicklung.)
  • Bulk-Upload aus CSV- oder JSON-Dateien.
  • Bulk-Bearbeitung: Bulk-Updates für verschiedene Metadaten, einschließlich Status, Schweregrad, Tags und mehr.
  • Duplizieren: Füge deine eigene Meinung zu IOCs anderer Unternehmen hinzu; weniger Aufwand zum Erstellen deiner eigenen.
  • Sortieren mit einem Klick von Tabellenspalten-Überschriften für Deskriptoren, Tags, Privatsphärengruppen und TE-Mitglieder.
  • UI-Unterstützung für das Threat-Descriptor-Feld source_uri.
  • Ein Fehler wurde behoben, bei dem das Feld „review_status“ nicht in der heruntergeladenen CSV-/JSON-Datei gespeichert wurde.
  • Tags, Privatsphärengruppen und Apps auf einer Positivliste können nun in CSV-Dateien sowohl durch Kommas als auch Semikolons getrennt werden.
  • Detaillierte Dokumentation zu threat-descriptor-Attributen.

Danke für euer tolles Feedback und nutzt auch weiterhin fleißig das Bugnub in der oberen rechten Ecke in der UI, um uns wissen zu lassen, wie wir ThreatExchange noch weiter verbessern können!

Änderungen vom 9. Oktober 2019

  • Wir freuen uns, eine Beta-UI unter developers.facebook.com/apps bereitstellen zu können. Weitere Informationen findest du in den UI-Dokumenten. Bitte sende dein Feedback an threatexchange@fb.com.
  • Danke für deine Unterstützung während der Umgestaltung des App-Genehmigungsprozesses. Schau ab und zu vorbei, damit du keine Updates verpasst!

Änderungen vom 13. Februar 2017

Neue Funktionen

  • Du kannst nun auf Daten, die du in ThreatExchange verbrauchst, reagieren. Deskriptoren können als „HELPFUL“, „NOT_HELPFUL“, „OUTDATED“, „SAW_THIS_TOO“ und „WANT MORE INFO“ von jedem markiert werden, der sie sieht.
  • Das neue Edge /similar_malware kann jetzt verwendet werden, um Malware-Sample zu identifizieren, von denen wir annehmen, dass sie zusammenhängen.
  • Wir haben außerdem zusätzliche Webhooks-Unterstützung für ThreatIndicators und ThreatTags eingeführt, damit deine Server in Echtzeit informiert werden, wenn neue Erkenntnisse zu Bedrohungen vorhanden sind.

Änderungen

  • Der strict_text-Suchparameter schränkt das Suchergebnis nun exakt auf den von dir eingegebenen Suchbegriff ein. Beispiel: Wenn du vor dieser Änderung nach Bedrohungsindikatoren mit aktiviertem strikten Text „google.com“ gesucht hast, hast du sehr viele Ergebnisse erhalten, z. B. auch Ergebnisse wie „http://google[.]com/fusiontables“ und „http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890“. Die neue Suche gibt nur Ergebnisse für „google.com“ zurück, d. h. ID 826838047363868. Bei der Suche nach Bedrohungsdeskriptoren kannst du weiterhin andere Parameter zum Einschränken der Suchergebnisse verwenden (z. B. Eigentümer oder Status). Wenn du www.google.com finden möchtest, muss du separat danach suchen. Eine strikte Textsuche nach google.com gibt nicht www.google.com zurück.

Änderungen in der API Version 2.8 (5. Oktober 2016)

Neue Funktionen

  • Du kannst nun ThreatTags zu MalwareAnalyses, ThreatDescriptors und MalwareFamilies hinzufügen. Du kannst außerdem Suchergebnisse nach Tags filtern und Listen von Tags suchen, die andere in ThreatExchange verwenden, indem du den /threat_tags-Endpunkt nutzt.

  • ThreatExchange unterstützt nun Webhooks. Mit Webhooks-Unterstützung für MalwareAnalyses, ThreatDescriptors und MalwareFamilies kann dein Server in Echtzeit benachrichtigt werden, wenn in ThreatExchange neue Erkenntnisse zu Bedrohungen hinzugefügt werden. Plug-and-Play-Code findest du im Webhooks For ThreatExchange Guide.

  • Mit dem neuen sort_by-Parameter in ThreatExchange kannst du die Suchergebnisse nach RELEVANCE oder CREATE_TIME sortieren. Beim Sortieren nach RELEVANCE gibt deine Abfrage die Ergebnisse sortiert nach Ähnlichkeit mit der Textabfrage zurück.

Veraltete Elemente

  • AttackType und ThreatType werden zugunsten von ThreatTags eingestellt. Wenn du Bedrohungsdaten mit diesen Feldern veröffentlichst oder liest, musst du den Code so ändern, dass stattdessen ThreatTags verwendet werden. Ab dem 5. Dezember 2016 kann nicht mehr in allen Versionen der Graph API auf diese Felder zugegriffen werden. Um den Übergang zu erleichtern, kannst du in der Zwischenzeit diese Typen weiterhin mit den älteren Versionen der Graph API zusammen mit den Tags verwenden. Wir stellen außerdem die vorhandenen threat_type- oder attack_type-Datenwerte über Tags bereit. Genauer gesagt: Wenn vorhandene oder neue Bedrohungsdaten Werte für diese Typen haben, wird das Objekt automatisch mit dem entsprechenden String-Wert getaggt. Am Ende dieses Zeitraums musst du dazu übergehen, nur noch Tags anstelle von threat_type oder attack_type zu verwenden.

Änderungen in der API Version 2.4

In der Plattformversion 2.4 wurden zahlreiche Änderungen vorgenommen. Du kannst weiterhin die Plattformversion 2.3 ohne diese Änderungen bis zum 8. Dezember 2015 verwenden. An diesem Tag endet die Unterstützung für die Version 2.3.

Die wichtigste Änderung in Version 2.4 war die Einführung des Deskriptormodells. In Version 2.3 und älter wurden alle Daten im Indikator gespeichert. Ab Version 2.4 wurden die Informationen in objektive und subjektive Kategorien unterteilt. Objektive Informationen sind Daten, die jeder sehen und denen jeder zustimmen kann. Das kann sich mit der Zeit ändern, aber jeder sieht dieselben Daten. So ist z. B. die WHOIS-Registrierung für einen Domainnamen objektiv. Subjektive Informationen stellen die Meinung einer Person zu den Daten dar. Verschiedene Personen haben unterschiedliche Meinungen. Beispielsweise, ob der Status einer Domain MALICIOUS oder NON_MALICIOUS ist.

Objektive Informationen bleiben weiterhin in Indikatoren gespeichert. Meistens ist Facebook der einzige Beteiligte beim Aktualisieren objektiver Informationen. Subjektive Informationen werden nun in einer neuen Struktur, einem „Deskriptor“, gespeichert. Wir haben API-Aufrufen zum Erstellen, Bearbeiten und Suchen von Deskriptoren hinzugefügt. Jede AppID kann einen Deskriptor pro Indikator haben. Jeder Deskriptor verfügt über ein Edge, das ihn mit einem Bedrohungsindikator verbindet. Jeder Indikator hat Edges für einen oder mehrere Deskriptoren.

Verbindungen zwischen Deskriptoren werden derzeit nicht unterstützt. Verbindungen zwischen Indikatoren sind die einzige Möglichkeit, Bedrohungsinformationen derzeit zu verknüpfen.