ThreatExchange

Catatan Perubahan

Perubahan per 21 Agustus 2023

Endpoint Analisis Malware Dihapus

Endpoint /malware_analyses telah dihapus dan tidak lagi tersedia di versi mana pun.

Perubahan per 23 Mei 2023

Penghentian Endpoint Analisis Malware

  • Endpoint /malware_analyses tidak berlaku lagi. Ini tidak tersedia di v17 atau yang lebih baru dan akan dihapus untuk semua versi pada tanggal 21 Agustus 2023.

Perubahan per 9 Januari 2023

Penghapusan Endpoint Malware

  • Endpoint malware pada threatexchange, seperti /malware_analyses dan /malware_families, serta objek malware terkait sedang dihapus, dan akan segera tidak tersedia di semua versi.
  • Endpoint dan objek ini sudah lama tidak digunakan, dan menghapusnya memungkinkan kita untuk menyederhanakan API.
  • Jika Anda masih ingin bertukar informasi tentang Malware, objek ThreatDescriptor dapat digunakan untuk mengunggah hash malware dan indikator lainnya.

Perubahan API Versi 10.0 (23 Februari 2021)

Penghapusan permanen untuk data yang kedaluwarsa

  • Dimulai 90 hari setelah peluncuran Graph API versi 10.0, semua data yang kedaluwarsa akan dihapus.
  • Data yang diunggah ke ThreatExchange dengan expire_time bukan nol akan dihapus secara permanen pada waktu kedaluwarsa yang ditunjukkan dan tidak akan terlihat lagi.
  • Jika Anda ingin menghapus data yang sudah tidak valid, atur kolom expired_on ke waktu saat ini agar data segera dihapus.
  • Sebelumnya, kami menggunakan pendekatan hapus 'lunak' dengan memberi label konten kedaluwarsa sebagai kedaluwarsa. Kami tidak lagi mendukung penghapusan lunak. Konten yang kedaluwarsa sekarang akan dihapus secara permanen.
  • Selain itu, semua ThreatDescriptors non-Facebook akan dihapus secara permanen setelah mencapai tanggal kedaluwarsa yang ditetapkan oleh kreatornya.
  • Jika aplikasi Anda saat ini memiliki ThreatDescriptors kedaluwarsa yang tidak ingin Anda hapus, Anda harus memperpanjang tanggal kedaluwarsa atau mengaturnya ke '0' untuk memastikan bahwa data tidak pernah kedaluwarsa.

Perubahan per 2 Juni 2020

Fitur baru untuk generasi baru

  • Desain referensi kueri tanda kami sekarang memiliki penerapan referensi <Python dan Ruby selain versi Java yang sudah ada. (Sebagai tanggapan atas masukan, kami juga memisahkan dokumentasi curl saja untuk resep kueri tanda.)
  • Konteks umum dari semua ini adalah bahwa selama beberapa tahun terakhir ThreatExchange telah beralih dari malware/phishing menjadi berbagi sinyal integritas lintas perusahaan. Fitur yang lebih baru ini sebagian besar tumpang tindih dengan yang lama (seperti pytx), tetapi dengan fokus tambahan pada
    • fitur yang lebih interaktif untuk basis pengguna yang lebih luas dan beragam;
    • fokus deskriptor ancaman yang kuat (analisis vs malware);
    • peningkatan dukungan untuk mekanisme masukan lintas perusahaan.
  • Sementara versi Java sekarang memiliki sedikit hal yang harus dilakukan, desain referensi Python dan Ruby merangkum jenis yang sama dari hubungan massal, reaksi massal, salin-dan-modifikasi, dan alur kerja lainnya seperti yang telah dijelaskan untuk UI di Pembaruan 28 Mei.
  • Kami menemukan bahwa untuk orang-orang dengan peran Manajer Proyek/DS/kebijakan, UI adalah antarmuka utama; bagi para teknisi, UI adalah fitur yang berguna tetapi penerapan pemrosesan yang benar-benar dapat diskalakan membutuhkan API - serta dukungan bahasa tingkat tinggi. Rilis Python/Ruby hari ini adalah tonggak sejarah untuk yang terakhir.
  • Alur ini telah dibuat karena permintaan dari basis pengguna lintas perusahaan yang lebih berinteraksi dan terfokus pada masukan daripada sebelumnya. Terus kirimkan masukan ke threatexchange@fb.com, dan/atau di saluran Slack yang mungkin Anda miliki dengan kami.

Perubahan per 28 Mei 2020

Babak pembaruan kali ini semuanya tentang massal!

  • Fitur baru yang hemat waktu, buat dengan template, memungkinkan Anda untuk mengirimkan kumpulan deskriptor, yang semuanya identik kecuali nilai hash/indikator, tanpa perlu mengimpor dari CSV.
  • Anda sekarang dapat melakukan relasi massal dan tanggapan masal.
  • Pengunggah massal dulunya macet/lamban untuk mengunggah lebih dari beberapa ratus deskriptor - sekarang performanya bagus dan interaktif untuk ukuran file hingga 8.000 deskriptor.
  • Demikian pula, hasil pencarian sekarang menggunakan render yang lebih ringan (lebih sedikit klik untuk menyalin, lebih sedikit warna, dsb.) untuk ukuran hasil lebih dari seribu deskriptor. (Anda dapat mengonfigurasi ambang batas render yang disederhanakan di tab Khusus) Ini membantu Anda menavigasi set data yang lebih besar dengan lebih nyaman.
  • Anda sekarang dapat melakukan pencarian kuat untuk deskriptor yang memiliki "and" dari beberapa tanda, tidak hanya "or" seperti sebelumnya.
  • Selagi dukungan halaman sebelumnya/halaman selanjutnya yang sejati masih dalam pengembangan, sekarang ada tombol cari yang lebih lawas yang memungkinkan Anda melintasi set hasil pencarian yang lebih besar.

Perubahan per 9 April 2020

Sebagai tanggapan atas masukan yang lebih bagus di ThreatExchange UI, kami dengan bangga mengumumkan pembaruan berikut:

  • Anda sekarang dapat mengirimkan koneksi di UI, juga API. Ini membantu Anda melacak hubungan antara hal-hal seperti domain, URL, dan sebagainya.
  • Anda sekarang dapat memperluas pencarian dengan menyebarkan lebih banyak deskriptor pada data objektif yang sama, atau lebih banyak deskriptor yang memiliki koneksi ke mereka.
  • Kami sekarang memiliki dukungan untuk pencarian tersimpan -- Anda dapat memberi bookmark pada pencarian Anda, atau membagikannya dengan kolaborator.

Perubahan per 8 Januari 2020

Sebagai tanggapan atas banyak masukan bagus di ThreatExchange UI, kami dengan bangga mengumumkan pembaruan berikut:

  • Pencarian kuat: Anda sekarang dapat melakukan kueri kompleks yang melibatkan status, jenis indikator, aplikasi pemilik, tanda, teks, dan banyak lagi. (Dukungan halaman berikutnya masih dalam pengembangan.)
  • Unggah massal dari file CSV atau JSON.
  • Edit massal: pembaruan massal untuk berbagai metadata termasuk status, severitas, tanda, dan lainnya.
  • Duplikat: tambahkan opini Anda sendiri ke IOC yang dikirimkan ke perusahaan lain; menghemat tekan tombol untuk membuat lebih banyak bagi Anda sendiri.
  • Klik untuk menyortir pada header kolom-tabel untuk deskriptor, tanda, grup privasi, dan anggota TE.
  • Dukungan UI untuk kolom deskriptor ancaman source_uri.
  • Perbaikan bug dengan kolom review_status tidak disimpan ke CSV/JSON yang diunduh.
  • Tanda, grup privasi, dan aplikasi di daftar yang diizinkan sekarang dapat dipisahkan dengan koma serta dipisahkan titik koma di file CSV.
  • Dokumentasi lebih mendetail tentang atribut deskriptor ancaman.

Terima kasih atas masukan yang luar biasa, dan terus kunjungi bugnub di pojok kanan atas UI dan beri tahu kami cara meningkatkan ThreatExchange!

Perubahan per 9 Oktober 2019

  • Dengan bangga kami merilis antarmuka pengguna versi beta di developers.facebook.com/apps: lihat dokumen UI untuk informasi selengkapnya. Silakan hubungi kami di threatexchange@fb.com dengan segala masukan.
  • Terima kasih atas kesabaran Anda selama kami mengubah proses persetujuan aplikasi kami. Pantau terus untuk pembaruan yang segera hadir!

Perubahan per 13 Februari 2017

Fitur Baru

  • Anda sekarang dapat menanggapi data yang Anda gunakan di ThreatExchange. Deskriptor dapat ditandai sebagai 'HELPFUL', 'NOT_HELPFUL', 'OUTDATED', 'SAW_THIS_TOO', dan 'WANT MORE INFO' oleh siapa saja yang melihatnya.
  • Edge baru, /similar_malware, sekarang dapat digunakan untuk mengidentifikasi contoh malware yang kami yakini terkait.
  • Kami juga telah menggulirkan dukungan Webhooks tambahan untuk ThreatIndicators dan ThreatTags, sehingga server Anda mendapat notifikasi secara real-time saat intel ancaman baru tersedia.

Perubahan

  • Parameter pencarian strict_text kami sekarang membatasi hasil pencarian ke istilah pencarian persis seperti yang Anda kirimkan. Contoh: sebelum perubahan ini, jika Anda melakukan penelusuran indikator ancaman dengan teks ketat diaktifkan untuk 'google.com', Anda akan mendapatkan banyak hasil, termasuk hal-hal seperti “http://google[.]com/fusiontables” dan ”http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890”. Pencarian baru akan mengembalikan hasil hanya google.com, yaitu ID 826838047363868. Saat mencari deskriptor ancaman, Anda masih dapat menggunakan parameter lain untuk membatasi hasil pencarian (misalnya pemilik atau status). Jika Anda ingin mencari www.google.com, Anda harus mencarinya secara terpisah. Pencarian teks ketat untuk google.com tidak akan menghasilkan www.google.com.

Perubahan dalam API Versi 2.8 (5 Okt 2016)

Fitur Baru

  • Anda sekarang dapat menambahkan ThreatTags ke MalwareAnalyses, ThreatDescriptors, dan MalwareFamilies. Anda juga dapat memfilter hasil pencarian berdasarkan tanda dan menemukan daftar tanda yang digunakan orang di ThreatExchange melalui endpoint /threat_tags.

  • ThreatExchange sekarang mendukung Webhooks. Dengan dukungan Webhooks untuk MalwareAnalyses, ThreatDescriptors, dan MalwareFamilies, server Anda mendapat notifikasi secara real-time ketika intel ancaman baru ditambahkan ke ThreatExchange. Lihat Panduan Webhooks untuk ThreatExchange kami untuk kode plug-and-play.

  • Parameter baru dalam Threatexchange, sort_by, memungkinkan Anda untuk memilih apakah akan mengurutkan hasil pencarian menurut RELEVANCE atau menurut CREATE_TIME. Saat menyortir menurut RELEVANCE, kueri Anda akan mengembalikan hasil yang diurutkan berdasarkan kemiripan dengan kueri teks Anda.

Penghentian

  • AttackType dan ThreatType tidak berlaku lagi untuk mendukung ThreatTags. Jika Anda menerbitkan atau membaca data ancaman menggunakan kolom ini, Anda perlu mengubah kode Anda untuk menggunakan ThreatTags. Mulai 5 Desember 2016, kolom ini tidak lagi dapat diakses di semua versi Graph API. Untuk memudahkan transisi, untuk sementara Anda akan dapat melanjutkan penggunaan jenis ini di Graph API versi sebelumnya, bersama dengan tanda. Kami juga menyediakan nilai data threat_type atau attack_type yang tersedia melalui tanda. Lebih khusus lagi, jika data ancaman yang ada atau baru memiliki nilai untuk jenis ini, objek secara otomatis akan diberi tanda dengan nilai string yang setara. Pada akhir periode ini, Anda harus melakukan transisi sepenuhnya untuk menggunakan tanda, bukan threat_type atau attack_type.

Perubahan dalam API Versi 2.4

Ada sejumlah besar perubahan yang dilakukan pada Platform versi 2.4. Anda dapat terus menggunakan Platform versi 2.3, tanpa perubahan tersebut, sampai 8 Des 2015. Pada hari itu dukungan untuk versi 2.3 akan dinonaktifkan.

Perubahan terpenting dalam versi 2.4 adalah pengenalan model deskriptor. Di versi 2.3 dan sebelumnya, semua data disimpan di indikator. Mulai versi 2.4, kami membagi informasi menjadi kategori objektif dan subjektif. Informasi objektif adalah data yang dapat dilihat dan disepakati semua orang. Informasi ini dapat berubah seiring waktu, tetapi semua orang melihat data yang sama. Contoh: pendaftaran WHOIS untuk nama domain bersifat objektif. Informasi subjektif merepresentasikan pendapat seseorang atas data tersebut. Berbeda orang mungkin berbeda opini. Contoh: status domain adalah MALICIOUS atau NON_MALICIOUS.

Informasi tujuan akan tetap disimpan di indikator. Untuk sebagian besar, Facebook akan menjadi satu-satunya pihak yang memperbarui informasi objektif. Informasi subjektif sekarang disimpan di struktur baru yang disebut deskriptor. Kami telah menambahkan panggilan API untuk membuat, mengedit, dan mencari deskriptor. Setiap AppID dapat memiliki satu deskriptor per indikator. Setiap deskriptor memiliki edge yang menghubungkannya ke indikator ancaman. Setiap indikator memiliki edge ke satu atau beberapa deskriptor.

Saat ini kami tidak mendukung koneksi antar deskriptor. Koneksi antar indikator akan tetap menjadi satu-satunya cara untuk mengaitkan informasi ancaman untuk saat ini.