ThreatExchange

Журнал изменений

Изменения по состоянию на 21 августа 2023 г.

Удалена конечная точка анализа вредоносного ПО.

Конечная точка /malware_analyses удалена и более недоступна во всех версиях.

Изменения по состоянию на 23 мая 2023 г.

Упразднена конечная точка анализа вредоносного ПО.

  • Конечная точка /malware_analyses упразднена. Она недоступна в версии 17 или более поздних, а также будет удалена из всех версий 21 августа 2023 г.

Изменения по состоянию на 9 января 2023 г.

Удалена конечная точка вредоносного ПО.

  • Конечные точки вредоносного ПО на платформе ThreatExchange, такие как /malware_analyses и /malware_families, а также связанные объекты описания вредоносного ПО в данный момент удаляются и в ближайшее время будут недоступны во всех версиях.
  • Эти конечные точки и объекты вот уже некоторое время не используются, поэтому их удаление позволяет упростить API.
  • Если вы по-прежнему хотите обмениваться информацией о вредоносном ПО, объекты ThreatDescriptor можно использовать для загрузки контрольных сумм вредоносных программ и других показателей.

Изменения в API версии 10.0 (23 февраля 2021 г.)

Удаление без возможности восстановления данных с истекшим сроком действия

  • Через 90 дней с момента выпуска версии API Graph 10.0 все данные с истекшим сроком действия будут удаляться.
  • Данные, загруженные в ThreatExchange с ненулевым значением expire_time, будут удалены без возможности восстановления после истечения срока их действия и перестанут отображаться.
  • Если вы хотите указать, что данные более не действительны, задайте для поля expired_on значение текущего времени, и они будут сразу же удалены.
  • Ранее мы применяли удаление с возможностью восстановления и добавляли соответствующую пометку для контента, срок действия которого истек. Удаление с возможностью восстановления более не поддерживается. Данные с истекшим сроком действия удаляются безвозвратно.
  • Кроме того, все не относящиеся к Facebook объекты ThreatDescriptor удаляются без возможности восстановления в дату истечения срока действия, заданную создателем.
  • Если сейчас в вашем приложении есть объекты ThreatDescriptor с истекшим сроком действия и вы не хотите удалять их, потребуется передвинуть этот срок или установить для него значение 0, чтобы указать, что данные остаются действительными бессрочно.

Изменения по состоянию на 2 июня 2020 г.

Новые инструменты для нового поколения

  • Мы добавили в концепцию нашего дизайна te-tag-query базовые реализации для Python и Ruby в дополнение к существующей версии Java. (В ответ на пожелания пользователей мы также выделили специальный раздел с документацией по curl для tag-query).
  • Эти изменения внесены в связи с тем, что за последние пару лет система ThreatExchange из средства для обмена данными о вредоносном ПО и фишинге превратилась в платформу обмена информацией о безопасности между компаниями. Эти новые инструменты в значительной степени включают в себя старые (такие как pytx), однако при этом:
    • отличаются большей интерактивностью, что соответствует интересам более широкой и многообразной пользовательской базы;
    • в большей степени ориентированы на дескрипторы угроз (по сравнению с анализом вредоносного ПО);
    • лучше поддерживают механизмы обмена информацией между компаниями.
  • В то время как версия Java еще требует определенной доработки, базовые варианты для Python и Ruby уже реализуют те же механизмы пакетного связывания, реагирования, копирования, изменения и т. д., что были описаны в обновлении пользовательского интерфейса от 28 мая.
  • Мы выяснили, что для пользователей, отвечающих за управление проектами, анализ данных и политики, пользовательский интерфейс является основным механизмом взаимодействия; для инженеров этот инструмент полезен, однако для действительно масштабируемой реализации процессов необходим доступ к API, а также поддержка высокоуровневых языков. Сегодняшние выпуски Python/Ruby ориентированы именно на последний вариант.
  • Соответствующие рабочие процессы созданы с учетом потребностей пользователей, осуществляющих взаимодействие между компаниями и отличающихся большей активностью, в том числе в плане обратной связи. Продолжайте отправлять свои отзывы и пожелания по адресу threatexchange@fb.com, а также в наши каналы Slack.

Изменения по состоянию на 28 мая 2020 г.

Эти обновления так или иначе посвящены пакетным операциям.

  • Новая функция создания на базе шаблона create-with-templates позволяет отправлять пакеты дескрипторов, одинаковых во всех аспектах, кроме значений хэша и индикатора, без импорта данных из CSV-файла.
  • Теперь также поддерживаются пакетное связывание и пакетные реакции.
  • Средство пакетной загрузки, которое работало медленно и с задержками, когда требовалось загрузить несколько сотен дескрипторов, теперь намного более производительно и интерактивно при загрузке файлов, содержащих до 8000 дескрипторов.
  • Кроме того, для вывода результатов поиска, включающих более тысячи дескрипторов, теперь используется облегченный механизм отображения (требуется меньше нажатий, применяется меньше цветов и т. п.). (Задать порог для активации облегченного механизма отображения можно на вкладке настройки.) Это упрощает работу с большими наборами данных.
  • Теперь для расширенного поиска дескрипторов можно использовать оператор and, объединяющий несколько тегов, а не только оператор or, как раньше.
  • Полная поддержка перехода по страницам еще не реализована, но мы добавили кнопку "искать более старые", которая помогает перемещаться по обширным результатам поиска.

Изменения по состоянию на 9 апреля 2020 г.

В ответ на отзывы по поводу пользовательского интерфейса ThreatExchange мы рады объявить о перечисленных ниже изменениях.

  • Теперь отправлять данные о связях можно как в пользовательском интерфейсе, так и через API. Это помогает отслеживать связи между доменами, URL-адресами и т. п.
  • Теперь вы можете расширить поисковый запрос, включив в него больше дескрипторов на основе того же набора объективных данных или дополнительные дескрипторы, с которыми существуют связи.
  • Теперь мы поддерживаем сохранение поисковых запросов: можно добавлять их в закладки и отправлять коллегам.

Изменения по состоянию на 8 января 2020 г.

В ответ на отзывы по поводу пользовательского интерфейса ThreatExchange мы рады объявить о перечисленных ниже изменениях.

  • Расширенный поиск: теперь поддерживаются сложные запросы, которые включают статус, тип индикатора, приложение-владельца, теги, текст и другие параметры. (Поддержка перехода на следующую страницу пока не реализована.)
  • Пакетная загрузка из CSV- или JSON-файла.
  • Пакетное редактирование: теперь можно в пакетном режиме вносить изменения в различные метаданные, такие как статус, степень серьезности, теги и т. п.
  • Дублирование: добавляйте свои мнения к IOC других компаний и создавайте собственные дескрипторы без лишних усилий.
  • Сортировка нажатием по столбцам таблиц для дескрипторов, тегов, групп конфиденциальности и участников TE.
  • Добавлена поддержка поля дескриптора угрозы source_uri в пользовательском интерфейсе.
  • Исправлена ошибка, из-за которой поле review_status не сохранялось в загруженных файлах CSV/JSON.
  • Теги, группы конфиденциальности и приложения в списке разрешенных теперь можно указывать через запятую или точку с запятой в CSV-файлах.
  • Ознакомьтесь с более подробной документацией об атрибутах дескрипторов угроз.

Благодарим вас за отзывы. Не забывайте пользоваться соответствующей кнопкой в правом верхнем углу интерфейса, чтобы рассказать нам, как еще мы можем улучшить ThreatExchahge!

Изменения по состоянию на 9 октября 2019 г.

  • Мы рады представить бета-версию пользовательского интерфейса на странице developers.facebook.com/apps: дополнительные сведения можно найти в документации по пользовательскому интерфейсу. Отправляйте нам свои отзывы по адресу threatexchange@fb.com.
  • Благодарим вас за терпение, пока мы совершенствуем нашу процедуру утверждения приложений. Мы обязательно будем сообщать вам обо всех изменениях!

Изменения по состоянию на 13 февраля 2017 г.

Новые функции

  • Теперь вы можете реагировать на данные, которые используете в ThreatExchange. Можно помечать дескрипторы как полезные (HELPFUL), бесполезные ('NOT_HELPFUL) и устаревшие (OUTDATED), указывать, что вы также сталкивались с подобным эффектом (SAW_THIS_TOO) или хотите узнать больше (WANT MORE INFO).
  • С помощью новой границы контекста /similar_malware можно обозначать образцы вредоносного ПО, которые, по нашему мнению, связаны между собой.
  • Мы также расширили поддержку Webhooks, охватив объекты ThreatIndicator и ThreatTag, благодаря чему ваши серверы теперь в режиме реального времени будут получать новую информацию об угрозах.

Изменения

  • С помощью параметра strict_text теперь можно ограничить результаты поиска только точными совпадениями с поисковым запросом. Например, ранее поиск индикаторов угроз с точным совпадением по запросу google.com возвращал множество результатов, в том числе, например, вида http://google[.]com/fusiontables или http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890. Теперь вы получите только результаты по google.com, т. е. ID 826838047363868. Для поиска дескрипторов угроз можно, как и ранее, использовать другие параметры, позволяющие ограничить набор результатов (например, по владельцу или статусу). Чтобы найти результаты по www.google.com, вам в данном случае потребуется выполнить отдельный поиск. Строгий поиск по google.com не вернет результаты по www.google.com.

Изменения в API версии 2.8 (5 октября 2016 г.)

Новые функции

  • Теперь можно добавлять теги ThreatTag к объектам MalwareAnalysis, ThreatDescriptor и MalwareFamily. Также можно фильтровать результаты поиска по тегам и находить списки тегов, используемых в ThreatExchange, с помощью конечной точки /threat_tags.

  • ThreatExchange теперь поддерживает Webhooks. Благодаря поддержке Webhooks для MalwareAnalysis, ThreatDescriptor и MalwareFamily ваш сервер теперь сможет в режиме реального времени получать уведомления о появлении новой информации об угрозах в системе ThreatExchange. Готовые примеры кода приведены в нашем руководстве по Webhooks для ThreatExchange.

  • С помощью нового параметра sort_by в ThreatExchange можно сортировать результаты поиска по релевантности (RELEVANCE) или времени создания (CREATE_TIME). При сортировке по релевантности система возвращает результаты, отсортированные по степени их соответствия поисковому запросу.

Упразднения

  • Поля AttackType и ThreatType упразднены и заменены тегами ThreatTag. Если вы используете эти поля для публикации или считывания данных об угрозах, вам потребуется изменить свой код для поддержки тегов ThreatTag. С 5 декабря 2016 г. эти поля станут недоступны во всех версиях API Graph. В течение переходного периода вы сможете продолжать пользоваться этими полями в предыдущих версиях API Graph параллельно с тегами. Существующие значения threat_type и attack_type будут доступны с помощью тегов. В частности, если в существующих или новых данных об угрозах есть значения этих типов, для объекта автоматически добавляется тег в виде соответствующего строкового значения. К моменту завершения указанного периода вы должны будете полностью перейти на использование тегов вместо атрибутов threat_type и attack_type.

Изменения в API версии 2.4

В версию 2.4 платформы был внесен целый ряд изменений. Вы можете продолжать использование платформы версии 2.3 без соответствующих изменений до 8 декабря 2015 г. После этого поддержка версии 2.3 будет прекращена.

Важнейшим изменением в версии 2.4 является введение модели дескрипторов. В версии 2.3 и более ранних все данные хранились в индикаторе. Начиная с версии 2.4 мы разделяем информацию по объективным и субъективным категориям. Объективная информация представляет собой данные, которые видны всем и по которым имеется единое мнение. Со временем они могут меняться, однако всем пользователям доступны одни и те же сведения. Например, объективными являются регистрационные данные доменного имени в системе WHOIS. Субъективная информация представляет чье-либо мнение в отношении данных. Оно может быть разным у разных людей. Например, домен может быть отмечен как вредоносный (MALICIOUS) или не вредоносный (NON_MALICIOUS).

Объективная информация, как и прежде, будет храниться в индикаторах. Как правило, обновлять объективную информацию будет только Facebook. Субъективная информация теперь хранится в новой структуре — дескрипторе. Мы добавили вызовы API для создания, редактирования и поиска дескрипторов. У каждого AppID может быть по одному дескриптору на индикатор. У каждого дескриптора есть граница контекста, связывающая его с индикатором угрозы. У каждого индикатора есть границы контекста с одним или несколькими дескрипторами.

В настоящее время мы не поддерживаем связи между дескрипторами. Связывать информацию об угрозах в настоящее время можно только с помощью связей между индикаторами.