ThreatExchange

Registro de alterações

Alterações a partir de 21 de agosto de 2023

Ponto de extremidade de análise de malware removido

O ponto de extremidade /malware_analyses foi removido e não está mais disponível em nenhuma versão.

Alterações a partir de 23 de maio de 2023

Ponto de extremidade de análise de malware obsoleto

  • O ponto de extremidade /malware_analyses está obsoleto. Ele não está disponível na v17 nem em posteriores e será removido de todas as versões em 21 de agosto de 2023.

Alterações a partir de 9 de janeiro de 2023

Remoção do ponto de extremidade de malware

  • Removemos os pontos de extremidade de malware no ThreatExchange, como /malware_analyses e /malware_families, assim como os objetos de malware associados. Em breve, eles ficarão indisponíveis em todas as versões.
  • Esses pontos de extremidade e objetos não estão em uso há algum tempo, e a remoção deles nos permite simplificar a API.
  • Se você ainda quiser trocar informações sobre malware, os objetos de ThreatDescriptor podem ser usados para carregar hashes de malware e outros indicadores.

Alterações da versão 10.0 da API (23 de fevereiro de 2021)

Exclusão permanente de dados expirados

  • A partir de 90 dias após o lançamento da versão 10.0 da Graph API, todos os dados expirados serão excluídos.
  • Os dados carregados no ThreatExchange com expire_time diferente de zero serão excluídos permanentemente na data de validade indicada e não estarão mais visíveis.
  • Se quiser excluir dados que não são mais válidos, defina o campo expired_on como a data atual, assim eles serão excluídos imediatamente.
  • Anteriormente, usávamos o método de "exclusão temporária" para identificar um conteúdo expirado. As exclusões temporárias não são mais compatíveis. Agora o conteúdo expirado será excluído permanentemente.
  • Além disso, todos os ThreatDescriptors que não forem do Facebook serão excluídos de maneira permanente assim que atingirem a data de validade definida pelo criador.
  • Caso seu app tenha ThreatDescriptors expirados que você não queira apagar, será preciso estender a data de validade ou defini-la como "0" para garantir que os dados nunca expirem.

Alterações a partir de 2 de junho de 2020

Novas ferramentas para uma nova geração

  • Nosso design de referência te-tag-query agora tem implementações em Python e Ruby, além da versão em Java existente. Em resposta ao feedback que recebemos, também dividimos a documentação apenas para curl de acordo com a fórmula tag-query.
  • O contexto comum entre tudo isso é que, nos últimos anos, o ThreatExchange tem ido além do compartilhamento de sinais de malware/phishing, enviando sinais de integridade entre empresas. A nova ferramenta tem muito em comum com as antigas (como a pytx), mas inclui:
    • interatividade para uma base de usuários mais ampla e diversa;
    • foco sólido no threat-descriptor (em comparação à análise de malware);
    • suporte otimizado a mecanismos de feedback entre empresas.
  • Embora a versão para Java ainda precise de atualizações, os designs de referência para Python e Ruby contêm os mesmos tipos de fluxos de trabalho para relacionar e reagir em massa, copiar e modificar, entre outros, conforme descrito na atualização do dia 28 de maio para a interface do usuário.
  • Observamos que, para pessoas com funções em política/PM/DS, a interface do usuário é a interface principal. Para engenheiros, a interface do usuário é uma ferramenta útil, mas implementações de processamentos exigem a API, bem como o suporte a uma linguagem de alto nível. Os lançamentos de hoje de Python/Ruby são marcos para os últimos.
  • Os fluxos foram criados devido à demanda de uma base de usuários entre empresas mais engajada e centrada em feedback do que nunca. Continue enviando feedback para o email threatexchange@fb.com e use nossos canais do Slack a que você tem acesso.

Alterações a partir de 28 de maio de 2020

Esta rodada de atualizações é totalmente voltada às ações em massa.

  • O novo recurso create-with-templates economiza seu tempo e permite que você envie um lote de descritores idênticos, exceto os valores de indicador/hash, sem precisar importar do arquivo CSV.
  • Agora, você pode criar relações e reações em massa.
  • O carregador em massa demorava para obedecer ao comando e, às vezes, nem respondia para carregar pouco mais de 100 descritores. Agora, ele é eficiente e interativo para arquivos com até 8 mil descritores.
  • Da mesma maneira, os resultados da pesquisa agora usam uma renderização mais leve (menos cliques para copiar, menos cores e assim por diante) para resultados com mais de mil descritores. Configure os limites para a renderização simplificada na aba “Personalização”. Isso permite que você navegue com facilidade por maiores conjuntos de dados.
  • É possível fazer uma pesquisa avançada por descritores usando "and" e várias tags, não somente "or", como era feito antes.
  • Embora a compatibilidade com as funções previous-page/next-page ainda esteja em desenvolvimento, há um botão search-older para você percorrer conjuntos maiores de resultados de pesquisa.

Alterações a partir de 9 de abril de 2020

Em resposta ao feedback positivo sobre a interface do usuário do ThreatExchange, temos o orgulho de anunciar as seguintes atualizações:

  • Agora, você pode enviar conexões na interface do usuário, assim como na API. Isso ajuda você a criar conexões entre domínios, URLs e outros elementos.
  • Agora, é possível ampliar suas pesquisas ao expandir os descritores sobre os mesmos dados objetivos ou conectados a eles.
  • Oferecemos compatibilidade com pesquisas salvas: você pode adicionar pesquisas aos seus favoritos ou compartilhá-las com colaboradores.

Alterações a partir de 8 de janeiro de 2020

Em resposta ao feedback positivo que recebemos sobre a interface do usuário do ThreatExchange, temos o orgulho de anunciar as seguintes atualizações:

  • Pesquisa avançada: faça consultas complexas envolvendo status, tipo de indicador, owner-apps, tags, texto e muito mais. A compatibilidade com a função next-page ainda está em desenvolvimento.
  • Carregamento em massa de arquivos CSV ou JSON.
  • Edição em massa: faça atualizações em massa de metadados variados, incluindo status, gravidade, tags e mais.
  • Duplicata: adicione suas opiniões aos IOCs enviados a outras empresas. Isso significa menos cliques para que você possa criar mais.
  • Clicar para classificar descritores, tags, grupos de privacidade e membros do TE nos cabeçalhos das colunas de tabelas.
  • Incluímos a compatibilidade com a interface do usuário para o campo source_uri do threat-descriptor.
  • Corrigimos o erro com o campo review_status não salvo para CSV/JSON baixado.
  • Tags, grupos de privacidade e apps na lista de permissão agora podem ser separados por vírgula e por ponto e vírgula em arquivos CSV.
  • Temos uma documentação mais detalhada sobre atributos de threat-descriptor.

Agradecemos o feedback positivo. Clique no ícone de inseto no canto superior direito da interface do usuário e compartilhe como podemos deixar o ThreatExchange ainda melhor.

Alterações a partir de 9 de outubro de 2019

  • É com muito orgulho que apresentamos a versão beta da interface do usuário em developers.facebook.com/apps: consulte os documentos sobre interface do usuário para saber mais. Entre em contato pelo email threatexchange@fb.com e compartilhe seu feedback.
  • Agradecemos sua paciência enquanto remodelamos o processo de aprovação do app. Aguarde as próximas atualizações!

Alterações a partir de 13 de fevereiro de 2017

Novos recursos

  • Agora, você pode reagir aos dados que acessa no ThreatExchange. Os descritores podem ser marcados como "HELPFUL", "NOT_HELPFUL", "OUTDATED", "SAW_THIS_TOO" e "WANT MORE INFO" por qualquer pessoa que possa vê-los.
  • Agora, é possível usar a nova borda /similar_malware para identificar exemplos de malware que acreditamos estarem relacionados.
  • Lançamos também uma compatibilidade adicional com Webhooks para ThreatIndicators e ThreatTags. Assim, seus servidores podem ser notificados em tempo real quando houver uma nova inteligência contra ameaças disponível.

Alterações

  • O parâmetro de pesquisa strict_text agora limita os resultados da pesquisa ao termo exato enviado. Por exemplo, antes dessa alteração, se você pesquisasse indicadores de ameaça com texto restrito habilitado para "google.com", obteria muitos resultados, incluindo algo como "http://google[.]com/fusiontables" e "http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890". A nova pesquisa retornará resultados apenas para google.com, ou seja, ID 826838047363868. Ao pesquisar descritores de ameaças, você ainda poderá usar outros parâmetros para limitar os resultados (por exemplo, dono ou status). Se quiser encontrar www.google.com, pesquise a expressão separadamente. Uma pesquisa com texto restrito por google.com não retornará www.google.com.

Alterações na versão 2.8 da API (5 de outubro de 2016)

Novos recursos

  • Agora, é possível adicionar ThreatTags a MalwareAnalyses, ThreatDescriptors e MalwareFamilies. Você pode filtrar resultados da pesquisa por tags e encontrar uma lista de tags que as pessoas estão usando no ThreatExchange por meio do ponto de extremidade /threat_tags.

  • O ThreatExchange agora é compatível com Webhooks. A compatibilidade de Webhooks com MalwareAnalyses, ThreatDescriptors e MalwareFamilies permite que seu servidor seja notificado em tempo real quando uma nova inteligência contra ameaças é adicionada ao ThreatExchange. Consulte o Guia de Webhooks para o ThreatExchange e veja o código "plug-and-play".

  • O novo parâmetro sort_by no ThreatExchange permite que você classifique resultados de pesquisa por "RELEVANCE" ou "CREATE_TIME". A classificação por "RELEVANCE" retornará resultados classificados conforme a semelhança com o texto da consulta.

Itens que se tornaram obsoletos

  • AttackType e ThreatType ficarão obsoletos e serão substituídos por ThreatTags. Se você publicar ou ler dados sobre ameaças usando esses campos, precisará alterar o código para usar o ThreatTags. Desde 5 de dezembro de 2016, esses campos não podem mais ser acessados em nenhuma versão da Graph API. Para facilitar a transição, permitimos o uso desses tipos em versões anteriores da Graph API com as tags. Também estamos disponibilizando por meio de tags os valores de dados threat_type ou attack_type existentes. Em termos mais específicos, caso os dados de ameaças novas ou existentes tenham valor para esses tipos, o objeto será automaticamente marcado com o valor da string equivalente. Ao final do período, você precisará realizar a transição completa para usar tags em vez de threat_type ou attack_type.

Alterações na versão 2.4 da API

Fizemos muitas alterações na versão 2.4 da plataforma. Em 8 de dezembro de 2015, o uso da versão 2.3, sem as alterações, foi interrompido

A alteração mais importante na versão 2.4 foi a introdução do modelo de descritor. Na versão 2.3 e anteriores, todos os dados eram armazenados no indicador. A partir da versão 2.4, dividimos as informações entre objetivas e subjetivas. Informações objetivas são dados que todos podem ver e com os quais todos concordam. Esses dados podem mudar com o tempo, mas todas as pessoas veem as mesmas informações. Por exemplo, o registro WHOIS de um nome do domínio é objetivo. Informações subjetivas representam a opinião de alguém sobre os dados. Pessoas diferentes podem ter opiniões distintas. Por exemplo, o status de um domínio como "MALICIOUS" ou "NON_MALICIOUS".

As informações objetivas continuarão sendo armazenadas em indicadores. Na maioria das vezes, o Facebook será a única parte a atualizar informações objetivas. Informações subjetivas agora são armazenadas em uma nova estrutura, chamada descritor. Adicionamos chamadas à API para criar, editar e pesquisar descritores. Cada ID do app pode ter apenas um descritor por indicador. Cada descritor tem uma borda que o conecta a um indicador de ameaças. Cada indicador tem bordas para um ou mais descritores.

No momento, não são aceitas conexões entre descritores. Por enquanto, as conexões entre indicadores continuarão sendo a única maneira de associar informações sobre ameaças.