ThreatExchange

Registro de cambios

Cambios a partir del 21 de agosto de 2023

Eliminación del extremo de análisis de malware

El extremo /malware_analyses se ha eliminado y ya no está disponible en ninguna versión.

Cambios a partir del 23 de mayo de 2023

Retirada del extremo de análisis de malware

  • El extremo /malware_analyses se ha retirado. No está disponible en la versión 17 ni posteriores y se eliminará de todas las versiones el 21 de agosto de 2023.

Cambios a partir del 9 de enero de 2023

Eliminación del extremo de malware

  • Los extremos de malware de ThreatExchange, como /malware_analyses y /malware_families, así como los objetos de malware asociados, se van a eliminar y pronto dejarán de estar disponibles en todas las versiones.
  • Estos extremos y objetos no se han utilizado durante un tiempo considerable y, al eliminarlos, podemos simplificar la API.
  • Si aún deseas intercambiar información sobre malware, se pueden utilizar objetos ThreatDescriptor para subir hashes de malware y otros indicadores.

Cambios en la versión 10.0 de la API (23 de febrero de 2021)

Eliminación permanente de datos caducos

  • 90 días después del lanzamiento de la versión 10.0 de la API Graph, todos los datos caducados se eliminarán.
  • Los datos que se hayan subido a ThreatExchange con un valor de expire_time distinto de cero se eliminarán de forma permanente en la fecha de caducidad indicada y ya no serán visibles.
  • Si quieres eliminar datos que ya no son válidos, establece el campo expired_on en la hora actual para que se eliminen inmediatamente.
  • Anteriormente, utilizábamos un enfoque de eliminación “temporal”, con el que se etiquetaba el contenido caducado como “caducado”. No obstante, ya no admitimos las eliminaciones temporales. Ahora, el contenido caducado se eliminará de forma permanente.
  • Asimismo, todos los objetos ThreatDescriptor que no sean de Facebook se eliminarán de forma permanente cuando lleguen a la fecha de caducidad que el creador haya establecido.
  • Si en este momento tu aplicación tiene objetos ThreatDescriptor caducados que no quieres eliminar, debes ampliar la fecha de caducidad o establecerla en “0” para asegurarte de que esos datos nunca caduquen.

Cambios a partir del 2 de junio de 2020

Nuevas herramientas para una nueva generación

  • El diseño de referencia de te-tag-query ahora cuenta con implementaciones de referencia para Python y Ruby, además de la versión de Java existente. (En respuesta a los comentarios, también desglosamos la documentación de curl-only para el modelo de tag-query).
  • Todo esto se debe a que, durante los últimos años, ThreatExchange se ha extendido más allá del malware y el phishing y se ha adentrado en el uso compartido de señales de integridad entre empresas. Estas nuevas herramientas coinciden en gran parte con las anteriores (por ejemplo, pytx), pero ponen especial énfasis en lo siguiente:
    • Ser más interactivas para una base de usuarios más amplia y diversa.
    • Centrarse en los descriptores de amenazas (frente a los análisis de malware).
    • Ofrecer compatibilidad mejorada con los mecanismos de comentarios entre empresas.
  • Aunque ahora la versión de Java estará un tanto rezagada, los diseños de referencia para Python y Ruby condensan los mismos tipos de relaciones masivas, reacciones masivas, copia y modificación y otros procesos, tal como se describió anteriormente para la IU en la actualización del 28 de mayo.
  • Hemos notado que para los usuarios con algunos roles de gestión de proyectos, desarrollo del desempeño y políticas, la IU es la interfaz principal. En cambio, para los ingenieros se trata de una herramienta útil, pero las implementaciones de procesamiento realmente escalables requieren de la API, así como de compatibilidad con lenguajes de alto nivel. Las nuevas versiones de Python y Ruby son hitos para el segundo grupo.
  • Estos procesos se crearon debido a las solicitudes de una base de usuarios de varias empresas que interactúa y se centra en los comentarios como nunca antes. Sigue enviándonos tus comentarios a threatexchange@fb.com o los canales de Slack que tengas con nosotros.

Cambios a partir del 28 de mayo de 2020

En esta ronda de actualizaciones, las operaciones masivas son las protagonistas.

  • La nueva función de creación con plantillas ahorra tiempo y te permite enviar un lote de descriptores, idénticos en todos los aspectos excepto en los valores de hash o indicador, sin necesidad de importarlos desde un CSV.
  • Ahora puedes crear relaciones masivas y reacciones masivas.
  • El cargador masivo era lento y difícil de ejecutar cuando se subían más de unos cientos de descriptores. Ahora, es eficaz e interactivo para los archivos con un tamaño de hasta 8000 descriptores.
  • De manera similar, los resultados de la búsqueda ahora utilizan una representación más ligera (con un menor número de clics para copiar, menos colores, etc.) para los resultados con un tamaño superior a mil descriptores. (Puedes configurar el umbral de representación simplificada en la pestaña “Personalización”). De este modo, puedes navegar por conjuntos de datos de mayor tamaño más cómodamente.
  • Ahora puedes realizar búsquedas avanzadas de los descriptores con un operador “and” de varias etiquetas y no solo con un operador “or” como antes.
  • Aunque la compatibilidad real con una función de página anterior y página siguiente sigue en desarrollo, ahora contamos con un botón para buscar resultados anteriores, que te permite desplazarte por conjuntos de resultados de búsqueda más grandes.

Cambios a partir del 9 de abril de 2020

En respuesta a más comentarios magníficos sobre la IU de ThreatExchange, nos complace anunciar las siguientes actualizaciones:

  • Ahora puedes enviar conexiones en la IU, así como en la API. De este modo, podrás realizar un seguimiento de las conexiones entre dominios, direcciones URL, etc.
  • Ahora puedes ampliar las búsquedas al desplegar más descriptores de los mismos datos objetivos o más descriptores conectados a dichos datos.
  • Ahora admitimos las búsquedas guardadas; puedes añadir un marcador a tus búsquedas o compartirlas con tus colaboradores.

Cambios a partir del 8 de enero de 2020

En respuesta a varios comentarios magníficos sobre la IU de ThreatExchange, nos complace anunciar las siguientes actualizaciones:

  • Búsqueda avanzada: ahora puedes realizar consultas complejas que incluyen el estado, el tipo de indicador, las aplicaciones propietarias, las etiquetas, el texto y mucho más. (La compatibilidad con la función de página siguiente aún está en proceso de desarrollo).
  • Subida masiva desde archivos CSV o JSON.
  • Edición masiva: subidas masivas de distintos metadatos, incluido el estado, la gravedad, las etiquetas y muchos más.
  • Duplicados: añade tus opiniones a los indicadores de riesgo que se han enviado a otras empresas y ahorra pulsaciones de teclas cuando crees otros.
  • Función de clic para ordenar en los encabezados de las columnas de tabla para los descriptores, etiquetas, grupos de privacidad y miembros de ThreatExchange.
  • Compatibilidad de la IU con el campo de descriptor de amenazas source_uri.
  • Corrección de un error que provocaba que el campo review_status no se guardase en el archivo CSV o JSON descargado.
  • Las etiquetas, grupos de privacidad y aplicaciones de una lista de autorizados ahora pueden separarse con comas o puntos y coma en los archivos CSV.
  • Documentación más detallada sobre los atributos de descriptor de amenazas.

Agradecemos los magníficos comentarios y te animamos a seguir utilizando el icono de errores de la esquina superior derecha de la IU para contarnos cómo podemos mejorar ThreatExchange.

Cambios a partir del 9 de octubre de 2019

  • Nos enorgullece publicar una versión beta de la interfaz de usuario en developers.facebook.com/apps; consulta la documentación de la IU para obtener más información. Ponte en contacto con nosotros mediante threatexchange@fb.com si tienes algún comentario.
  • Agradecemos tu paciencia mientras renovamos el proceso de aprobación de aplicaciones. Presta atención a las próximas actualizaciones.

Cambios a partir del 13 de febrero de 2017

Nuevas funciones

  • Ahora puedes reaccionar a los datos que consumes en ThreatExchange. Cualquier usuario que pueda ver los descriptores puede marcarlos como “HELPFUL”, “NOT_HELPFUL”, “OUTDATED”, “SAW_THIS_TOO” y “WANT MORE INFO”.
  • Ahora se puede utilizar el nuevo perímetro /similar_malware para identificar muestras de malware que consideramos relacionadas.
  • También implementamos compatibilidad adicional de Webhooks con los objetos ThreatIndicator y ThreatTag, de modo que tus servidores podrán recibir notificaciones en tiempo real cuando haya disponible información nueva sobre amenazas.

Cambios

  • El parámetro de búsqueda strict_text ahora limita el resultado de la búsqueda al término de búsqueda exacto que enviaste. Por ejemplo, antes de este cambio, si realizabas una búsqueda de indicadores de amenazas con la opción de texto estricto activada para “google.com”, recibías muchos resultados, incluidos algunos como “http://google[.]com/fusiontables” y “http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890”. La nueva búsqueda devolverá resultados solo para google.com, como “ID 826838047363868”. Al buscar descriptores de amenazas, aún puedes utilizar otros parámetros para limitar los resultados de la búsqueda (por ejemplo, el propietario o el estado). Si quieres encontrar www.google.com, tendrás que buscarlo por separado. Una búsqueda de texto estricto para el término google.com no devolverá www.google.com.

Cambios en la versión 2.8 de la API (5 de octubre de 2016)

Nuevas funciones

  • Ahora puedes añadir objetos ThreatTag a los objetos MalwareAnalysis, ThreatDescriptor y MalwareFamily. También puedes filtrar los resultados de la búsqueda por etiqueta y consultar una lista de las etiquetas que los usuarios utilizan en ThreatExchange mediante el extremo /threat_tags.

  • Ahora ThreatExchange admite Webhooks. Gracias a la compatibilidad de Webhooks con los objetos MalwareAnalysis, ThreatDescriptor y MalwareFamily, tu servidor podrá recibir notificaciones en tiempo real cuando se añada nueva información sobre amenazas a ThreatExchange. Consulta nuestra guía de Webhooks para ThreatExchange para ver código listo para probarse.

  • El nuevo parámetro sort_by de ThreatExchange te permite elegir cómo ordenar los resultados de la búsqueda, ya sea por RELEVANCE o CREATE_TIME. Cuando se ordenan por RELEVANCE, la consulta devuelve los resultados ordenados según su similitud con tu consulta de texto.

Retiradas

  • AttackType y ThreatType se retirarán en favor de los objetos ThreatTag. Si publicas o lees datos de amenazas con estos campos, tendrás que modificar tu código para utilizar objetos ThreatTag en su lugar. A partir del 5 de diciembre de 2016, estos campos ya no estarán disponibles en ninguna versión de la API Graph. Para facilitar el proceso de transición, podrás seguir utilizando temporalmente estos tipos en versiones anteriores de la API Graph, junto con las etiquetas. Además, los valores de datos threat_type o attack_type existentes estarán disponibles mediante etiquetas. En concreto, si hay datos de amenazas nuevos o existentes con un valor de este tipo, automáticamente se añadirá una etiqueta al objeto con el valor de cadena equivalente. Al finalizar este periodo, tendrás que realizar una transición completa al uso de etiquetas en lugar de threat_type o attack_type.

Cambios en la versión 2.4 de la API

Se realizó un gran número de cambios en la versión 2.4 de la plataforma. Podrás seguir utilizando la versión 2.3 de la plataforma sin estos cambios hasta el 8 de diciembre de 2015. En esa fecha, se deshabilitará la compatibilidad con la versión 2.3.

El cambio más importante de la versión 2.4 fue la introducción del modelo de descriptor. En la versión 2.3 y anteriores, todos los datos se almacenaban en el indicador. A partir de la versión 2.4, dividimos la información en categorías de datos objetivos y subjetivos. La información objetiva son los datos que todo el mundo puede ver y consensuar. Pueden cambiar con el tiempo, pero todo el mundo ve los mismos datos. Por ejemplo, el registro WHOIS de un nombre de dominio es un dato objetivo. La información subjetiva representa la opinión de alguien en relación con los datos. Cada persona tiene una opinión distinta. Por ejemplo, el estado de un dominio puede ser MALICIOUS o NON_MALICIOUS.

La información objetiva seguirá almacenándose en los indicadores. La mayoría de las veces, solo Facebook actualizará la información objetiva. Ahora, la información subjetiva se almacena en una nueva estructura denominada “descriptor”. Añadimos llamadas a la API para crear, editar y buscar descriptores. Cada AppID puede tener un descriptor para cada indicador. Cada descriptor cuenta con un perímetro que lo conecta a un indicador de amenazas. Cada indicador tiene perímetros que lo conectan a uno o varios descriptores.

Actualmente, no admitimos las conexiones entre descriptores. De momento, las conexiones entre indicadores seguirán siendo el único método para asociar información de amenazas.