ThreatExchange

Changelog

Modifications à compter du 21 août 2023

Suppression du point de terminaison des analyses des logiciels malveillants

Le point de terminaison /malware_analyses a été supprimé et n'est plus disponible dans aucune version.

Modifications à compter du 23 mai 2023

Abandon du point de terminaison des analyses des logiciels malveillants

  • Nous abandonnons le point de terminaison /malware_analyses. Il n’est pas disponible pour la v17 ou les versions ultérieures et sera supprimé de toutes les versions le 21 août 2023.

Modifications à compter du 9 janvier 2023

Suppression du point de terminaison des logiciels malveillants

  • Les points de terminaison des logiciels malveillants sur threatexchange, tels que /malware_analyses et /malware_families, ainsi que les objets de logiciels malveillants associés sont supprimés, et le seront prochainement dans toutes les versions.
  • Ces points de terminaison et objets ne sont plus utilisés depuis quelque temps déjà et leur suppression nous permettra de simplifier l’API.
  • Si vous souhaitez continuer à échanger des informations sur les logiciels malveillants, vous pouvez utiliser des objets ThreatDescriptor pour importer des hachages de logiciel malveillant et d’autres indicateurs.

Modifications apportées à l’API version 10.0 (23 février 2021)

Suppression définitive des données expirées

  • 90 jours après le lancement de l’API Graph version 10.0, les données expirées seront toutes supprimées.
  • Les données importées dans ThreatExchange avec une valeur expire_time différente de zéro seront définitivement supprimées à l’heure d’expiration indiquée et ne seront plus visibles.
  • Si vous souhaitez supprimer des données qui ne sont plus valides, définissez le champ expired_on sur l’heure actuelle pour qu’elles soient immédiatement supprimées.
  • Auparavant, nous avions recours à la suppression réversible et nous ajoutions l’étiquette « expiré » au contenu obsolète. La suppression réversible n’est plus prise en charge. Aujourd’hui, tout contenu expiré est définitivement supprimé.
  • Par ailleurs, tous les ThreatDescriptors non-Facebook sont supprimés de façon permanente à la date d’expiration paramétrée par le créateur.
  • Si votre application comporte des ThreatDescriptors expirés que vous ne souhaitez pas perdre, vous devez repousser la date d’expiration ou la régler sur « 0 » pour que ces données n’expirent jamais.

Modifications à compter du 2 juin 2020

Nouvelle génération, nouveaux outils

  • La nouvelle structure « te-tag-query » accepte les implémentations des références Python et Ruby en plus de la version Java existante. (À la suite des commentaires, nous avons également séparé la documentation curl-only pour l’approche des tag-query.)
  • Le contexte commun à ces modifications est que, au cours des deux dernières années, ThreatExchange a dépassé le strict cadre des logiciels malveillants et du hameçonnage pour s’intéresser au partage des signaux d’intégrité à l’échelle des entreprises. Ces nouveaux outils reprennent en grande partie les fonctionnalités des anciens (par exemple, pytx), mais en y ajoutant les suivantes :
    • Meilleure interactivité des outils destinés à une base d’utilisateurs et d’utilisatrices plus vaste et plus diversifiée
    • Priorité aux objets threat-descriptor (et non plus à l’analyse des logiciels malveillants)
    • Prise en charge améliorée des mécanismes de commentaires à l’échelle des entreprises
  • Alors que la version Java a un peu de retard à rattraper, les structures de références Python et Ruby encapsulent les mêmes types de flux de travail bulk-relate, bulk-react, copy-and-modify, et autres, que ceux déjà décrits dans la mise à jour logicielle du 28 mai.
  • Pour les personnes associées à un rôle de PM/DS/règles, l’interface d’utilisation constitue la principale interface, tandis que pour les ingénieurs, elle constitue un outil utile. Dans un cas comme dans l’autre, la mise en œuvre d’un traitement véritablement évolutif nécessite l’API, ainsi qu’une prise en charge avec plusieurs langages. Les versions actuelles de Python/Ruby représentent une référence en matière de langage.
  • Ces flux ont été conçus pour répondre aux demandes d’une base d’utilisateurs professionnels soucieux des commentaires en retour. N’hésitez pas, d’ailleurs, à nous envoyer vos commentaires à l’adresse threatexchange@fb.com et/ou via les canaux Slack que vous partagez avec nous.

Modifications à compter du 28 mai 2020

Ce lot de mises à jour concerne exclusivement les actions groupées !

  • La nouvelle fonctionnalité create-with-templates vous fera gagner du temps en vous offrant la possibilité d’envoyer un lot de descripteurs identiques (sauf ceux des valeurs hash/indicator) sans avoir besoin de les importer depuis un fichier CSV.
  • Vous pouvez maintenant utiliser des relations groupées et des réactions groupées.
  • La fonction d’importation groupée qui était auparavant instable et lente lors des importations de fichiers comportant quelques centaines de descripteurs est désormais performante et interactive jusqu’à 8 000 descripteurs.
  • De la même manière, les résultats des recherches sont maintenant associés à un rendu plus léger (moins de clics pour copier, moins de couleurs, etc.) pour des résultats dépassant un millier de descripteurs. (Vous pouvez configurer le seuil de rendu simplifié dans l’onglet Personnalisation.) Cela vous permet de naviguer plus facilement dans les ensembles de données volumineux.
  • Vous pouvez désormais effectuer une recherche avancée sur des descripteurs contenant un « et » avec plusieurs tags et non plus seulement un « ou » comme auparavant.
  • Bien que la prise en charge des pages précédente/suivante soit encore en cours de développement, il existe désormais un bouton de recherche plus ancienne qui vous permet de parcourir de plus grands ensembles de résultats de recherche.

Modifications à compter du 9 avril 2020

En réponse aux nombreux commentaires sur l’interface d’utilisation de ThreatExchange, nous avons le plaisir de vous annoncer les améliorations suivantes :

  • Vous pouvez désormais établir des connexions dans l’interface d’utilisation et dans l’API. Celles-ci vous permettent d’effectuer un suivi des connexions entre des éléments, tels que des domaines, des URL, etc.
  • Vous pouvez maintenant élargir vos recherches en déployant davantage de descripteurs sur les mêmes données objectives ou en connectant davantage de descripteurs à ces données.
  • Les recherches enregistrées sont désormais prises en charge. Vous pouvez ajouter vos recherches à vos favoris, ou les partager avec vos collaborateurs.

Modifications à compter du 8 janvier 2020

En réponse aux nombreux commentaires sur l’interface d’utilisation de ThreatExchange, nous avons le plaisir de vous annoncer les améliorations suivantes :

  • Recherche avancée : vous pouvez exécuter des requêtes complexes impliquant un statut, un type d’indicateur, des applications propriétaires, des tags, du texte, etc. (La prise en charge de la page suivante est toujours en cours de développement.)
  • Importation groupée à partir de fichiers CSV ou JSON.
  • Modification groupée : vous pouvez dorénavant effectuer des mises à jour groupées pour différentes métadonnées, telles que le statut, la gravité, les tags, et plus encore.
  • Duplication : indiquez votre avis concernant les indicateurs de compromission envoyés aux autres sociétés ; utilisez la commande keystroke-saving pour en ajouter d’autres.
  • Cliquez sur les en-têtes de colonne de tableau pour trier les descripteurs, les tags, les groupes confidentiels et les membres TE.
  • Compatibilité de l’interface d’utilisation avec le champ threat-descriptor source_uri.
  • Correction du bug lié au champ review_status non enregistré dans les fichiers CSV/JSON téléchargés.
  • Les tags, les groupes confidentiels et les applications qui figurent sur une liste d’éléments autorisés peuvent être séparés par une virgule, ainsi que par un point-virgule dans les fichiers CSV.
  • Pour des informations plus détaillées, consultez la documentation sur les attributs threat-descriptor.

Merci à tous pour vos précieux commentaires. Continuez à nous signaler les bugs en cliquant dans l’angle supérieur droit de l’interface d’utilisation, et à nous faire part de vos commentaires dans le but d’améliorer ThreatExchange !

Modifications à compter du 9 octobre 2019

  • Nous sommes fiers d’annoncer le lancement de la version bêta de l’interface d’utilisation à l’adresse : developers.facebook.com/apps. Veuillez consulter la documentation logicielle pour en savoir plus. N’hésitez pas à nous contacter à l’adresse threatexchange@fb.com pour nous faire part de vos commentaires.
  • Nous vous remercions pour votre patience durant la période de refonte de notre processus d’approbation des applications. Nous vous tiendrons informé des fonctionnalités bientôt disponibles !

Modifications à compter du 13 février 2017

Nouvelles fonctionnalités

  • Vous pouvez désormais réagir aux données que vous consommez dans ThreatExchange. Toute personne ayant accès aux descripteurs peut leur appliquer une mention 'HELPFUL', 'NOT_HELPFUL', 'OUTDATED', 'SAW_THIS_TOO' et 'WANT MORE INFO'.
  • Vous pouvez désormais utiliser une nouvelle arête, /similar_malware pour identifier les logiciels malveillants d’aspect similaire.
  • Nous avons également déployé une prise en charge supplémentaire par Webhooks des ThreatIndicators et des ThreatTags pour que vos serveurs soient informés en temps réel lorsqu’une nouvelle information sur une menace est disponible.

Modifications

  • Notre paramètre de recherche strict_text limite désormais les résultats au terme exact de la recherche. Par exemple, avant cette modification, si vous faisiez une recherche d’indicateurs de menace sur 'google.com' avec le paramètre strict_text activé, vous obteniez de très nombreux résultats, y compris des résultats similaires à http://google[.]com/fusiontables et http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890. La nouvelle recherche renvoie uniquement les résultats concernant google.com, par exemple, ID 826838047363868. Lorsque vous effectuez une recherche sur des descripteurs de menace, vous pouvez toujours utiliser d’autres paramètres pour limiter le nombre de résultats (par exemple, le propriétaire ou le statut). Si vous souhaitez rechercher www.google.com, vous devez effectuer une recherche séparée. Une recherche à l’aide d’un texte strict sur google.com ne renverra pas www.google.com.

Modifications apportées à l’API version 2.8 (5 octobre 2016)

Nouvelles fonctionnalités

  • Dorénavant, vous pouvez ajouter ThreatTags à MalwareAnalyses, ThreatDescriptors et MalwareFamilies. Vous pouvez également filtrer les résultats de la recherche à l’aide de tags et découvrir la liste des tags utilisés par les autres utilisateurs dans ThreatExchange via le point de terminaison /threat_tags.

  • ThreatExchange prend désormais en charge les Webhooks. Grâce à cette compatibilité entre les Webhooks et les objets MalwareAnalyses, ThreatDescriptors et MalwareFamilies, votre serveur est informé en temps réel lorsqu’une nouvelle information sur une menace est ajoutée à ThreatExchange. Pour en savoir plus sur le code Plug and Play, veuillez consulter notre guide des Webhooks pour ThreatExchange.

  • Un nouveau paramètre dans Threatexchange, sort_by, vous permet de trier les résultats de recherche par RELEVANCE (pertinence) ou par CREATE_TIME (date de création). Si vous choisissez d’appliquer le filtre RELEVANCE, les résultats seront triés en fonction de leur similitude par rapport au texte de votre requête.

Abandons

  • Les objets AttackType et ThreatType ont été rendus obsolètes au profit de ThreatTags. Si vous publiez ou consultez des données sur une menace à l’aide de ces champs, vous devrez modifier votre code afin qu’il utilise l’objet ThreatTags à la place. À partir du 5 décembre 2016, ces champs ne seront plus accessibles sur toutes les versions de l’API Graph. Dans l’intervalle, et pour faciliter la transition, vous continuerez à pouvoir utiliser ces types sur les versions antérieures de l’API Graph, de même que les tags. Nous mettons également à votre disposition les valeurs de données threat_type ou attack_type existantes par l’intermédiaire des tags. Plus précisément, si des données nouvelles ou existantes sur des menaces comportent des valeurs de ces types, l’objet sera automatiquement identifié par sa valeur de chaîne équivalente. À la fin de cette période, vous devrez passer définitivement à l’utilisation des tags à la place des objets threat_type ou attack_type.

Modifications apportées à l’API version 2.4

De nombreuses modifications ont été apportées à la plate-forme version 2.4. Vous pouvez continuer à utiliser la plate-forme version 2.3, sans ces modifications, jusqu’au 8 décembre 2015. Passé cette date, la prise en charge de la version 2.3 ne sera plus assurée.

La modification la plus importante de la version 2.4 concerne l’introduction du modèle descripteur. Dans la version 2.3 et les versions antérieures, toutes les données étaient stockées sur l’indicateur. À partir de la version 2.4, nous avons séparé les informations en catégories objective et subjective. Les informations objectives sont des données consultables par tous et sur lesquelles tout le monde s’accorde. Même si cela peut évoluer avec le temps, tout le monde voit les mêmes données. Par exemple, l’enregistrement WHOIS d’un nom de domaine est une donnée objective. Les informations subjectives représentent les opinions d’une personne sur les données. Différentes personnes peuvent avoir des opinions diverses. Par exemple, un statut de domaine MALICIOUS ou NON_MALICIOUS.

Les informations objectives restent stockées sur les indicateurs. Dans la plupart des cas, Facebook sera le seul à pouvoir mettre à jour les informations objectives. Les informations subjectives sont désormais stockées sur une nouvelle structure appelée « descripteur ». Nous avons ajouté des appels d’API permettant de créer, de modifier et de rechercher des descripteurs. Chaque ID d’app peut avoir un descripteur par indicateur. Chaque descripteur comporte une arête associée à un indicateur de menace. Chaque indicateur comporte des arêtes vers un ou plusieurs descripteurs.

Les connexions entre descripteurs ne sont pas possibles pour le moment. Les connexions entre indicateurs restent le seul moyen d’associer des informations sur une menace.