ThreatExchange

Registro de cambios

Cambios al 21 de agosto de 2023

Se eliminó el punto de conexión de análisis de malware

Se eliminó el punto de conexión /malware_analyses y ya no está disponible en ninguna versión.

Cambios al 23 de mayo de 2023

El punto de conexión de análisis de malware quedó obsoleto

  • El punto de conexión /malware_analyses quedó obsoleto. No está disponible en la versión 17 ni en versiones posteriores, y se quitará de todas las versiones el 21 de agosto de 2023.

Cambios al 9 de enero de 2023

Eliminación de puntos de conexión de malware

  • Estamos eliminando los puntos de conexión de malware en ThreatExchange, como /malware_analyses y /malware_families, junto con los objetos de malware asociados, y pronto dejarán de estar disponibles en todas las versiones.
  • Estos puntos de conexión y objetos hace tiempo que no se utilizan y, al eliminarlos, podemos simplificar la API.
  • Si deseas continuar intercambiando información acerca del malware, puedes usar los objetos ThreatDescriptor para cargar hashes y otros indicadores de malware.

Cambios en la versión 10.0 de la API (23 de febrero de 2021)

Eliminación permanente de datos que caducaron

  • Una vez transcurridos 90 días del lanzamiento de la versión 10.0 de la API Graph, se eliminarán todos los datos que hayan caducado.
  • Los datos subidos a ThreatExchange con un valor de expire_time diferente de cero se eliminarán de forma permanente a la hora de caducidad indicada y ya no serán visibles.
  • Si deseas eliminar datos que ya no sean válidos, fija el campo expired_on en la hora actual para que se eliminen de inmediato.
  • Antes usábamos un enfoque de eliminación "temporal" en la que etiquetábamos el contenido caducado como caducado. Ya no admitimos la eliminación temporal. El contenido que haya caducado ahora se eliminará de forma permanente.
  • A su vez, todos los ThreatDescriptors que no sean de Facebook se eliminarán de forma permanente una vez que se alcance la fecha de caducidad que estableció el creador.
  • Si en tu aplicación actualmente hay ThreatDescriptors que no deseas eliminar, debes extender la fecha de caducidad o fijarla en “0” para asegurarte de que los datos nunca caduquen.

Cambios al 2 de junio de 2020

Nuevas herramientas para una nueva generación

  • Nuestro diseño de referencia te-tag-query ahora tiene implementaciones de referencia de Python y Ruby, además de la versión de Java actual (en respuesta a los comentarios, también dividimos la documentación curl-only para la fórmula tag-query).
  • El contexto común a todo esto es que, durante los últimos años, ThreatExchange pasó de ser una herramienta de malware/phishing a una herramienta de uso compartido de integridad de señal entre empresas. Estas herramientas más nuevas se superponen a las anteriores (como pytx), pero con un enfoque adicional en
    • las herramientas más interactivas, con el fin de lograr una base de usuarios más amplia y diversa;
    • un enfoque sólido en amenazas-descriptores (frente al análisis de malware);
    • compatibilidad mejorada para mecanismos de feedback entre empresas.
  • Si bien la versión de Java deberá ponerse al día, los diseños de referencia Python y Ruby encapsulan los mismos tipos de flujos de trabajo bulk-relate, bulk-react, copy-and-modify, y otros flujos de trabajo como ya se describió para la UI en nuestra actualización del 28 de mayo.
  • Sabemos que para aquellos que ocupan roles de políticas de gestión de desempeño y sistemas de desarrollo, la UI es la interfaz principal; para los ingenieros, la UI es una herramienta útil, pero las implementaciones de procesamiento escalables requieren de la API, como también de compatibilidad con características de lenguaje de alto nivel. Las versiones actuales de Python/Ruby son hitos para estas últimas.
  • Estos flujos se crearon debido a la demanda de una base de usuarios compartida entre empresas que es más interactiva y centrada en opiniones que nunca antes. Sigue enviando tus comentarios a threatexchange@fb.com, y/o en los canales de Slack que tengas con nosotros.

Cambios al 28 de mayo de 2020

Esta ronda de actualizaciones solo aborda acciones masivas.

  • La nueva función create-with-templates permite ahorrar tiempo y enviar un conjunto de descriptores idénticos en todo excepto en los valores de hash/indicator, sin la necesidad de importarlos desde un archivo CSV.
  • Ahora puedes establecer relaciones masivas y reacciones masivas.
  • La herramienta de subida masiva solía ser reacia/lenta para las actualizaciones de más de algunos cientos de descriptores. Ahora es efectiva e interactiva para tamaños de archivo de hasta 8.000 descriptores.
  • De igual manera, los resultados de búsqueda ahora usan una representación más liviana (menos clics para copiar, menos colores, etc.) para los tamaños de los resultados en miles de descriptores. (Puedes configurar el límite de representación simplificada en la pestaña de personalización). Esto te ayuda a navegar de forma más cómoda por conjuntos de datos más grandes.
  • Ahora puedes realizar búsquedas avanzadas de descriptores con un "y" para varias etiquetas, no solo un "o" como antes.
  • Si bien todavía se está desarrollando la compatibilidad con página anterior/página siguiente, ahora existe un botón de búsqueda de resultados anteriores que te permite recorrer conjuntos de resultados de búsqueda más grandes.

Cambios al 9 de abril de 2020

En respuesta a más comentarios útiles sobre la UI ThreatExchange, nos enorgullece anunciar las siguientes actualizaciones:

  • Ahora puedes enviar conexiones en la UI y también en la API. De este modo podrás rastrear conexiones entre dominios, URL, etc.
  • Ahora puedes ampliar tus búsquedas al desplegar más descriptores en los mismos datos objetivos, o más descriptores que tengan conexión con ellos.
  • Ahora admitimos búsquedas guardadas; es decir que podrás marcar tus búsquedas o compartirlas con colaboradores.

Cambios al 8 de enero de 2020

En respuesta a la gran cantidad de comentarios sobre la UI ThreatExchange, nos enorgullece anunciar las siguientes actualizaciones:

  • Búsqueda avanzada: ahora puedes realizar consultas complejas que incluyan estado, tipo de indicador, apps de propietarios, etiquetas, texto y más. (La compatibilidad con página siguiente todavía está en desarrollo).
  • Subida masiva desde archivos CSV o JSON.
  • Edición masiva: actualizaciones masivas para varios metadatos que incluyen estado, gravedad, etiquetas y más.
  • Duplicar: agrega tus propias opiniones a IOC enviados a otras empresas; guardado de pulsaciones de teclas para crear más por tu cuenta.
  • Clic para clasificar en encabezados de tabla-columna para descriptores, etiquetas, grupos de privacidad y miembros de TE.
  • Compatibilidad de la UI con el campo source_uri del descriptor de amenazas.
  • Corrección de errores con el campo review_status sin guardar en el archivo CSV/JSON descargado.
  • Las etiquetas, los grupos de privacidad y las apps en una lista de autorizados ahora se pueden separar con coma y con punto y coma en los archivos CSV.
  • Puedes encontrar información detallada en atributos del descriptor de amenazas.

Gracias por sus comentarios útiles, y sigan usando la herramienta de identificación de errores que se encuentra en la esquina superior derecha de la UI para informarnos cómo podemos mejorar ThreatExchange.

Cambios al 9 de octubre de 2019

  • Nos enorgullece poder lanzar una interfaz de usuario beta en developers.facebook.com/apps: ver los doumentos de la UI para obtener más información. Envíanos todos tus comentarios a threatexchange@fb.com.
  • Gracias por tu paciencia mientras actualizamos nuestro proceso de aprobación. ¡No te pierdas las próximas actualizaciones!

Cambios al 13 de febrero de 2017

Nuevas funciones

  • Ahora puedes reaccionar a los datos que consumes en ThreatExchange. Cualquiera que pueda ver los descriptores podrá marcarlos como 'HELPFUL', 'NOT_HELPFUL', 'OUTDATED', 'SAW_THIS_TOO' y 'WANT MORE INFO'.
  • El nuevo perímetro /similar_malware ahora se puede usar para identificar ejemplos de malware que creemos que están relacionados.
  • También implementamos admisión de Webhooks adicionales para ThreatIndicators y ThreatTags, de modo que se pueda notificar a tus servidores en tiempo real cuando haya nueva inteligencia de detección de amenazas disponible.

Cambios

  • Nuestro parámetro de búsqueda strict_text ahora limita la búsqueda a exactamente el término de búsqueda que enviaste. Por ejemplo, antes de este cambio, si realizabas una búsqueda de indicadores de amenazas con texto estricto habilitado para 'google.com', obtenías una gran cantidad de resultados, incluidas cosas como “http://google[.]com/fusiontables” y ”http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890”. La nueva búsqueda devolverá resultados solo para google.com, es decir, ID 826838047363868. Al realizar búsquedas de descriptores de amenazas, todavía podrás usar otros parámetros para limitar los resultados de búsqueda (p. ej., propietario o estado). Si quieres buscar www.google.com, deberás hacerlo por separado. Una búsqueda de texto estricto para google.com no devolverá www.google.com.

Cambios en la versión 2.8 de la API (5 de oct. de 2016)

Nuevas funciones

  • Ahora puedes agregar ThreatTags a MalwareAnalyses, ThreatDescriptors y MalwareFamilies. También puedes filtrar resultados de búsqueda por etiquetas y buscar una lista de etiquetas que las personas usan en ThreatExchange a través del punto de conexión /threat_tags.

  • ThreatExchange ahora admite Webhooks. Gracias a la admisión de Webhooks para MalwareAnalyses, ThreatDescriptors y MalwareFamilies, tu servidor podrá recibir notificaciones en tiempo real cuando se agregue nueva inteligencia para la detección de amenazas a ThreatExchange. Consulta nuestra Guía de webhooks para ThreatExchange para obtener el código plug-and-play.

  • Un parámetro nuevo en Threatexchange, sort_by, te permite elegir entre ordenar los resultados de búsqueda por RELEVANCIA o por HORA DE CREACIÓN. Al ordenar por RELEVANCIA, tu consulta devolverá resultados ordenados por similitud con el texto de tu consulta.

Elementos obsoletos

  • AttackType y ThreatType quedarán obsoletos en favor de ThreatTags. Si publicas o lees datos de amenazas usando estos campos, deberás cambiar tu código para usar ThreatTags en su lugar. A partir del 5 de diciembre de 2016, ya no podrás acceder a estos campos en todas las versiones de la API Graph. Para facilitar la transición, mientras tanto podrás seguir usando estos tipos de versiones anteriores de la API Graph junto con etiquetas. Los valores de datos existentes threat_type o attack_type también estarán disponibles a través de etiquetas. Más específicamente, si datos existentes o actuales sobre amenazas tienen valor para estos tipos, el objeto se etiquetará automáticamente con el valor de cadena equivalente. Al final de este período, deberás realizar la transición completa para usar etiquetas en lugar de threat_type o attack_type.

Cambios en la versión 2.4 de la API

Se realizaron varios cambios en la versión 2.4 de la plataforma. Puedes seguir usando la versión 2.3 de la plataforma sin estos cambios hasta el 8 de diciembre de 2015. Ese día se inhabilitará la compatibilidad con la versión 2.3.

El cambio más importante en la versión 2.4 fue la introducción del modelo de descriptores. En la versión 2.3 y anteriores, todos los datos se almacenaban en el indicador. A partir de la versión 2.4, dividimos la información en las categorías objetiva y subjetiva. La información objetiva son datos que todos pueden ver y estar de acuerdo. Puede cambiar con el tiempo, pero todos ven los mismos datos. Por ejemplo, el registro de WHOIS para un nombre de dominio es objetivo. La información subjetiva representa la opinión de alguien sobre esos datos. Diferentes personas pueden tener opiniones distintas. Por ejemplo, el estado de un dominio como MALICIOUS o NON_MALICIOUS.

La información objetiva seguirá almacenada en indicadores. Principalmente, Facebook será la única parte que actualice la información objetiva. La información subjetiva ahora se almacena en una nueva estructura llamada descriptor. Agregamos llamadas a la API para crear, editar y buscar descriptores. Cada AppID puede tener un descriptor por indicador. Cada descriptor tiene un perímetro que lo conecta con un indicador de amenazas. Cada indicador tiene perímetros para uno o más descriptores.

Actualmente no admitimos conexiones entre descriptores. Por ahora, las conexiones entre indicadores seguirán siendo la única manera de asociar la información sobre amenazas.