ThreatExchange

Registro modifiche

Modifiche al 21 agosto 2023

Endpoint malware analyses rimosso

L'endpoint /malware_analyses è stato rimosso e non è più disponibile su alcuna versione.

Modifiche al 23 maggio 2023

Endpoint malware analyses dichiarato obsoleto

  • L'endpoint /malware_analyses è stato dichiarato obsoleto. Non è disponibile sulla versione 17 o successive e verrà rimosso per tutte le versioni il 21 agosto 2023.

Modifiche al 9 gennaio 2023

Rimozione endpoint malware

  • Gli endpoint malware su threatexchange, come /malware_analyses e /malware_families, nonché gli oggetti malware associati, sono stati rimossi e presto non saranno disponibili su tutte le versioni.
  • Questi endpoint e oggetti non sono in uso da po' di tempo, quindi rimuoverli ci consente di semplificare l'API.
  • Se desideri ancora scambiare informazioni su Malware, gli oggetti ThreatDescriptor possono essere utilizzati per caricare hash malware e altri indicatori.

Modifiche all'API versione 10.0 (23 febbraio 2021)

Eliminazione definitiva dei dati scaduti

  • A partire da 90 giorni dopo il lancio dell'API Graph versione 10.0, tutti i dati scaduti saranno eliminati.
  • I dati caricati su ThreatExchange con un expire_time diverso da zero verranno eliminati definitivamente all'ora di scadenza indicata e non saranno più visibili.
  • Se desideri eliminare dati non più validi, imposta il campo expired_on sull'ora corrente affinché i dati vengano eliminati immediatamente.
  • In passato, veniva utilizzato un approccio di eliminazione "soft", in cui i contenuti scaduti venivano etichettati come tali. I "soft delete" non sono più supportati. Ora i contenuti scaduti verranno eliminati definitivamente.
  • Inoltre, tutti i ThreatDescriptor non Facebook verranno eliminati definitivamente una volta raggiunta la data di scadenza impostata dal creator.
  • Se la tua applicazione ha attualmente ThreatDescriptor scaduti che non desideri eliminare, devi estendere la data di scadenza o impostarla su "0" per assicurarti che i dati non scadano mai.

Modifiche aggiornate al 2 giugno 2020

Nuovi strumenti per una nuova generazione

  • Il nostro design di riferimento te-tag-query ora ha le implementazioni dei riferimenti Python e Ruby in aggiunta alla versione di Java esistente. (In risposta ai feedback ricevuti, abbiamo inoltre diviso la documentazione curl-only per la recipe tag-query).
  • Il contesto comune a tutto è che negli ultimi due anni ThreatExchange è andato oltre il malware/phishing per passare alla condivisione del segnale di integrità interaziendale. Questo nuovo strumento si sovrappone in gran parte al vecchio (come ad esempio pytx), ma con una maggiore attenzione su
    • maggiore interattività, per una base di utenti più ampia e diversificata;
    • una forte attenzione a threat-descriptor (rispetto alle analisi dei malware);
    • supporto potenziato per i meccanismi di feedback interaziendali.
  • Mentre la versione Java ha un po' da recuperare, i design di riferimento di Python e Ruby incapsulano gli stessi tipi di flussi di lavoro bulk-relate, bulk-react, copy-and-modify e altri come già descritto per l'interfaccia utente nel nostro aggiornamento del 28 maggio.
  • Riteniamo che per gli utenti in alcuni ruoli PM/DS/criteri, l'interfaccia utente sia l'interfaccia principale; per gli ingegneri, l'interfaccia utente è uno strumento utile, ma le implementazioni di elaborazione veramente scalabili richiedono l'API, oltre a un supporto linguistico di alto livello. Le versioni di Python/Ruby attuali sono pietre miliari per questo ultimo aspetto.
  • Questi flussi sono stati creati a causa della domanda da parte di una base di utenti interaziendale più impegnata e incentrata sul feedback come mai prima. Continuate a inviare feedback all'indirizzo threatexchange@fb.com e/o sui canali Slack che potreste aver aperto con noi.

Modifiche aggiornate al 28 maggio 2020

Questo giro di aggiornamenti è tutto sulle operazioni in blocco!

  • Questa nuova funzione create-with-templates consente di risparmiare tempo, inviare un batch di descrittori, identici in tutto ad eccezione dei valori hash/indicatore, senza la necessità di importarli da un CSV.
  • Ora puoi eseguire relazioni in blocco e reazioni in blocco.
  • Il bulk uploader prima era instabile/lento per i caricamenti di più di poche centinaia di descrittori, mentre ora è performante e interattivo per file contenenti fino a 8.000 descrittori.
  • Allo stesso modo, i risultati della ricerca ora usano un rendering più leggero (meno clic per copiare, meno colori, ecc.) per dimensioni dei risultati superiori a mille descrittori. (Puoi configurare la soglia di rendering semplificato nella scheda Personalizzazione). Questo ti aiuta a navigare più comodamente in set di dati più grandi.
  • Ora puoi eseguire la ricerca avanzata di descrittori con un "and" di diversi tag, non solo un "or" come in passato.
  • Mentre un reale supporto per pagina precedente/pagina successiva è ancora in fase di sviluppo, ora è disponibile un pulsante di ricerca meno recente che ti consente di esplorare set di risultati di ricerca più grandi.

Modifiche aggiornate al 9 aprile 2020

In risposta alla ricezione di ulteriori feedback positivi sull'interfaccia utente di ThreatExchange, siamo orgogliosi di annunciare i seguenti aggiornamenti:

  • Ora puoi inviare connessioni nell'interfaccia utente e nell'API. Queste ti aiutano a tracciare le connessioni tra domini, URL e così via.
  • Ora puoi ampliare le tue ricerche aprendo a ventaglio più descrittori sugli stessi dati obiettivi o più descrittori che hanno connessioni ad essi.
  • Ora abbiamo il supporto per le ricerche salvate: puoi aggiungere le tue ricerche ai preferiti o condividerle con i collaboratori.

Modifiche aggiornate all'8 gennaio 2020

In risposta a molti feedback positivi ricevuti sull'interfaccia utente di ThreatExchange, siamo orgogliosi di annunciare i seguenti aggiornamenti:

  • Ricerca avanzata: ora puoi eseguire query complesse che includono stato, tipo di indicatore, proprietario-app, tag, testo e altro. (Il supporto per la pagina successiva è ancora in fase di sviluppo).
  • Caricamento in blocco da file CSV o JSON.
  • Modifica in blocco: aggiornamenti in blocco per vari metadati inclusi stato, gravità, tag e altro.
  • Duplica: aggiungi le tue opinioni agli IOC inviati ad altre società; risparmio di tempo per la digitazione per crearne altri personalizzati.
  • Clic per ordinare sulle intestazioni delle colonne delle tabelle per descrittori, tag, gruppi di privacy e membri TE.
  • Supporto interfaccia utente per il campo threat-descriptor source_uri.
  • Correzione bug con campo review_status non salvato sul CSV/JSON scaricato.
  • I tag, i gruppi di privacy e le app in un elenco Consenti ora possono essere separati da virgole e punti e virgola nei file CSV.
  • Documentazione più dettagliata sugli attributi di threat-descriptor.

Grazie per l'ottimo feedback, continuate a usare il bugnub nell'angolo in alto a destra dell'interfaccia utente e a comunicarci come possiamo migliorare ThreatExchange!

Modifiche aggiornate al 9 ottobre 2019

  • Siamo orgogliosi di rilasciare un'interfaccia utente beta su developers.facebook.com/apps: consulta i documenti sull'interfaccia utente per maggiori informazioni. Contattaci all'indirizzo threatexchange@fb.com con qualsiasi feedback.
  • Grazie per la tua continua pazienza mentre rinnoviamo il nostro processo di approvazione delle app. Presto saranno disponibili altri aggiornamenti!

Modifiche aggiornate al 13 febbraio 2017

Nuove funzioni

  • Ora puoi reagire ai dati utilizzati in ThreatExchange. I descrittori saranno contrassegnati come 'HELPFUL', 'NOT_HELPFUL', 'OUTDATED', 'SAW_THIS_TOO' e 'WANT MORE INFO' da chiunque possa vederli.
  • Un nuovo segmento, /similar_malware, può ora essere utilizzato per identificare i campioni di malware che riteniamo siano correlati.
  • Abbiamo inoltre lanciato supporto aggiuntivo per i Webhooks per ThreatIndicators e ThreatTags, in modo che i tuoi server possano essere informati in tempo reale quando sono disponibili nuove informazioni sulle minacce.

Modifiche

  • Il nostro parametro di ricerca strict_text ora limita il risultato della ricerca esattamente al termine di ricerca che hai inviato. Ad esempio, prima di questa modifica, se avessi cercato indicatori di minacce con strict_text abilitato per "google.com", avresti ottenuto molti risultati, incluse cose come "http://google[.]com/fusiontables" e "http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890". La nuova ricerca restituirà risultati solo per google.com, ovvero ID 826838047363868. Durante la ricerca di descrittori di minacce, puoi comunque utilizzare altri parametri per limitare i risultati della ricerca (ad es. proprietario o stato). Se desideri trovare www.google.com, devi cercarlo separatamente. Una ricerca strict-text per google.com non restituirà www.google.com.

Modifiche all'API versione 2.8 (5 ottobre 2016)

Nuove funzioni

  • Ora puoi aggiungere ThreatTags a MalwareAnalyses, ThreatDescriptors e MalwareFamilies. Puoi anche filtrare i risultati della ricerca in base ai tag e trovare un elenco di tag che le persone utilizzano in ThreatExchange tramite l'endpoint /threat_tags.

  • ThreatExchange ora supporta i Webhooks. Con il supporto dei Webhooksper MalwareAnalyses, ThreatDescriptors e MalwareFamilies, il tuo server può essere avvisato in tempo reale quando vengono aggiunte nuove informazioni sulle minacce a ThreatExchange. Consulta la nostra Guida Webhooks per ThreatExchange per il codice plug-and-play.

  • Un nuovo parametro in Threatexchange, sort_by, ti consente di scegliere se ordinare i risultati della ricerca per RELEVANCE o CREATE_TIME. Quando esegui l'ordinamento per RELEVANCE, la tua query restituirà risultati ordinati per somiglianza con la tua query di testo.

Deprecazioni

  • AttackType e ThreatType verranno eliminati a favore di ThreatTags. Se pubblichi o leggi i dati sulle minacce utilizzando questi campi, dovrai modificare il codice per utilizzare invece ThreatTags. A partire dal 5 dicembre 2016 questi campi non saranno più accessibili su tutte le versioni dell'API Graph. Per facilitare la transizione, nel frattempo sarai in grado di continuare a utilizzare questi tipi sulle versioni precedenti dell'API Graph, insieme ai tag. Stiamo anche rendendo disponibili i valori dei dati threat_type o attack_type esistenti tramite tag. Più specificamente, se i dati sulle minacce esistenti o nuove hanno valore per questi tipi, l'oggetto verrà automaticamente contrassegnato con il valore stringa equivalente. Entro la fine di questo periodo, dovrai eseguire la transizione completa per utilizzare i tag invece di threat_type o attack_type.

Modifiche alla versione API 2.4

Sono state apportate molte modifiche nella versione 2.4 della Piattaforma. Puoi continuare a utilizzare la versione 2.3 della Piattaforma, senza tali modifiche, fino all'8 dicembre 2015. In tale giorno il supporto per la versione 2.3 sarà disabilitato.

La modifica più importante nella versione 2.4 è stata l'introduzione del modello descrittore. Nella versione 2.3 e precedenti, tutti i dati erano memorizzati sull'indicatore. A partire dalla versione 2.4, suddividiamo le informazioni in categorie oggettive e soggettive. Le informazioni oggettive sono dati che tutti possono vedere e su cui possono concordare. Possono cambiare nel tempo, ma tutti vedono gli stessi dati. Ad esempio, la registrazione WHOIS di un nome di dominio è oggettiva. Le informazioni soggettive rappresentano l'opinione di qualcuno sui dati. Persone diverse possono avere opinioni diverse. Ad esempio, lo stato di un dominio come MALICIOUS o NON_MALICIOUS.

Le informazioni oggettive rimarranno memorizzate sugli indicatori. Nella maggior parte dei casi, Facebook sarà l'unica parte ad aggiornare le informazioni oggettive. Le informazioni soggettive sono ora memorizzate su una nuova struttura chiamata descrittore. Abbiamo aggiunto chiamate API per creare, modificare e cercare descrittori. Ogni AppID può avere un descrittore per indicatore. Ogni descrittore ha un segmento che lo collega a un threat indicator. Ogni indicatore ha segmenti a uno o più descrittori.

Al momento non supportiamo le connessioni tra i descrittori. Per il momento, le connessioni tra gli indicatori rimarranno l'unico modo per associare le informazioni sulle minacce.