ThreatExchange

Nhật ký thay đổi

Các thay đổi kể từ ngày 21/08/2023

Đã gỡ điểm cuối phân tích phần mềm độc hại

Điểm cuối /malware_analyses đã bị gỡ và không còn dùng được trên bất kỳ phiên bản nào.

Các thay đổi kể từ ngày 23/05/2023

Ngừng sử dụng điểm cuối phân tích phần mềm độc hại

  • Điểm cuối /malware_analyses ngừng hoạt động. Điểm cuối này không sử dụng được trên phiên bản 17 trở lên và sẽ bị gỡ khỏi mọi phiên bản từ ngày 21/08/2023.

Các thay đổi kể từ ngày 09/01/2023

Gỡ điểm cuối phần mềm độc hại

  • Các điểm cuối phần mềm độc hại trên threatexchange - chẳng hạn như /malware_analyses/malware_families, cũng như những đối tượng phần mềm độc hại có liên quan hiện đã bị gỡ và sẽ sớm không sử dụng được trên mọi phiên bản.
  • Các điểm cuối và đối tượng này đã không được sử dụng trong một thời gian. Việc gỡ những điểm cuối và đối tượng này sẽ giúp chúng tôi đơn giản hóa API.
  • Nếu vẫn muốn trao đổi thông tin về Phần mềm độc hại, bạn có thể sử dụng các đối tượng ThreatDescriptor để tải hash phần mềm độc hại và các chỉ báo khác lên.

Các thay đổi trong API phiên bản 10.0 (23/02/2021)

Xóa vĩnh viễn dữ liệu đã hết hạn

  • 90 ngày đầu sau khi ra mắt API Đồ thị phiên bản 10.0, tất cả dữ liệu đã hết hạn sẽ bị xóa.
  • Dữ liệu được tải lên ThreatExchange có expire_time khác 0 sẽ bị xóa vĩnh viễn vào thời gian hết hạn đã chỉ định và sẽ không hiển thị nữa.
  • Nếu bạn muốn xóa dữ liệu không còn hợp lệ, hãy đặt trường expired_on thành thời gian hiện tại để xóa dữ liệu ngay lập tức.
  • Trước đây, chúng tôi dùng phương pháp xóa "tạm thời", trong đó chúng tôi gắn nhãn nội dung hết hạn là đã hết hạn. Chúng tôi không hỗ trợ phương pháp xóa tạm thời nữa. Giờ đây, nội dung hết hạn sẽ bị xóa vĩnh viễn.
  • Ngoài ra, tất cả các đối tượng ThreatDescriptor không thuộc Facebook sẽ bị xóa vĩnh viễn sau khi đến ngày hết hạn mà người tạo đã đặt.
  • Nếu ứng dụng của bạn hiện có các đối tượng ThreatDescriptor đã hết hạn mà bạn không muốn xóa, bạn phải kéo dài ngày hết hạn hoặc đặt thành "0" để đảm bảo dữ liệu không bao giờ hết hạn.

Các thay đổi kể từ ngày 02/06/2020

Công cụ mới cho thế hệ mới

  • Giờ đây, thiết kế tham chiếu te-tag-query có các phiên bản triển khai tham chiếu PythonRuby ngoài phiên bản Java hiện có. (Dựa trên ý kiến đóng góp, chúng tôi cũng chia nhỏ tài liệu chỉ dành cho curl đối với công thức tag-query.)
  • Bối cảnh thường gặp cho tất cả trường hợp nêu trên đó là trong vài năm qua, ThreatExchange đã chuyển trọng tâm từ phần mềm độc hại/lừa đảo sang chia sẻ tín hiệu về tính toàn vẹn giữa các công ty. Công cụ mới hơn này phần lớn giống với công cụ cũ (chẳng hạn như pytx), ngoại trừ việc chú trọng thêm vào
    • xây dựng công cụ mang tính tương tác hơn cho cơ sở người dùng rộng hơn, đa dạng hơn;
    • tăng cường tập trung vào nội dung mô tả mối đe dọa (so với phân tích phần mềm độc hại);
    • đẩy mạnh hỗ trợ cơ chế đóng góp ý kiến giữa các công ty.
  • Mặc dù phiên bản Java giờ đây có chút cải tiến, nhưng các thiết kế tham chiếu Python và Ruby vẫn gói gọn cùng loại quy trình bulk-relate, bulk-react, copy-and-modify và các quy trình khác như đã mô tả cho giao diện người dùng trong bản cập nhật ngày 28/05 của chúng tôi.
  • Chúng tôi nhận thấy rằng đối với người đảm nhận một số vai trò liên quan đến PM/DS/chính sách, giao diện người dùng sẽ là giao diện chính. Còn đối với kỹ sư, giao diện người dùng sẽ là công cụ hữu ích nhưng để triển khai hoạt động xử lý trên quy mô thực sự rộng thì cần phải có API - cũng như cần hỗ trợ ngôn ngữ cấp cao. Bản phát hành Python/Ruby hiện nay là các mốc cho những bản phát hành sau này.
  • Các quy trình nêu trên đã được tạo theo nhu cầu của cơ sở người dùng giữa các công ty. Đây là những quy trình có tính tương tác cao hơn và chú trọng vào ý kiến đóng góp hơn bao giờ hết. Vui lòng tiếp tục gửi ý kiến đóng góp theo địa chỉ threatexchange@fb.com và/hoặc trên những kênh Slack mà bạn đã mở với chúng tôi.

Các thay đổi kể từ ngày 28/05/2020

Đợt cập nhật này đều liên quan đến quy trình hàng loạt!

  • Với tính năng mới giúp tiết kiệm thời gian có tên tạo bằng mẫu, bạn có thể gửi một loạt nội dung mô tả giống hệt nhau - ngoại trừ các giá trị hash/chỉ báo - mà không cần nhập từ file CSV.
  • Bạn hiện có thể tạo hàng loạt mối quan hệhàng loạt cảm xúc.
  • Trước đây, trình tải lên hàng loạt thường bị chậm/gián đoạn khi tải hơn vài trăm nội dung mô tả lên. Giờ đây, trình tải lên này hoạt động hiệu quả và tương tác tốt với các file có kích thước lên đến 8.000 nội dung mô tả.
  • Tương tự, kết quả tìm kiếm hiện sử dụng tính năng hiển thị ít hơn (ít lần nhấp để sao chép hơn, ít màu hơn, v.v.) cho kết quả có kích thước hơn 1.000 nội dung mô tả. (Bạn có thể đặt cấu hình ngưỡng hiển thị đơn giản trong tab Tùy chỉnh.) Việc này giúp bạn thao tác dễ dàng hơn với các tập dữ liệu lớn hơn.
  • Giờ đây, bạn có thể tìm kiếm hiệu quả hơn các nội dung mô tả có từ "và" trong nhiều thẻ, chứ không chỉ từ "hoặc" như trước.
  • Mặc dù chúng tôi vẫn đang phát triển tính năng hỗ trợ trang trước/trang tiếp theo, nhưng bạn hiện có thể dùng nút tìm kiếm nội dung cũ hơn để xem qua các tập hợp kết quả tìm kiếm lớn hơn.

Các thay đổi kể từ ngày 09/04/2020

Dựa trên các ý kiến đóng góp tuyệt vời khác về giao diện người dùng ThreatExchange, chúng tôi tự hào thông báo những điểm cập nhật sau đây:

  • Giờ đây, bạn có thể gửi các kết nối trong giao diện người dùng cũng như API. Nhờ vậy, bạn có thể theo dõi kết nối giữa các miền, URL, v.v.
  • Giờ đây, bạn có thể mở rộng phạm vi tìm kiếm bằng cách phân phối nhiều nội dung mô tả hơn trên cùng một dữ liệu khách quan hoặc nhiều nội dung mô tả có các kết nối với cụm từ tìm kiếm.
  • Hiện tại, chúng tôi hỗ trợ cụm từ tìm kiếm đã lưu - bạn có thể đánh dấu trang cho các cụm từ tìm kiếm của mình hoặc chia sẻ với người cộng tác.

Các thay đổi kể từ ngày 08/01/2020

Dựa trên nhiều ý kiến đóng góp hay về giao diện người dùng ThreatExchange, chúng tôi tự hào thông báo những điểm cập nhật sau đây:

  • Tìm kiếm hiệu quả hơn: giờ đây, bạn có thể thực hiện các truy vấn phức tạp liên quan đến trạng thái, loại chỉ báo, ứng dụng của chủ sở hữu, thẻ, văn bản và hơn thế nữa. (Chúng tôi vẫn đang phát triển tính năng hỗ trợ trang tiếp theo.)
  • Tải lên hàng loạt từ file CSV hoặc JSON.
  • Chỉnh sửa hàng loạt: cập nhật hàng loạt nhiều loại siêu dữ liệu, bao gồm cả trạng thái, mức độ nghiêm trọng, thẻ, v.v.
  • Sao chép: thêm ý kiến của chính bạn vào IOC được gửi cho các công ty khác; lưu cử chỉ gõ phím để tùy chỉnh hơn nữa.
  • Nhấp để sắp xếp trên các tiêu đề cột của bảng cho nội dung mô tả, thẻ, nhóm quyền riêng tư và thành viên TE.
  • Hỗ trợ giao diện người dùng cho trường nội dung mô tả mối đe dọa source_uri.
  • Sửa lỗi không lưu được trường review_status vào file CSV/JSON đã tải xuống.
  • Thẻ, nhóm quyền riêng tư và ứng dụng trên danh sách cho phép hiện được phân tách bằng dấu phẩy cũng như dấu chấm phẩy trong file CSV.
  • Tài liệu chi tiết hơn về thuộc tính nội dung mô tả mối đe dọa.

Cảm ơn ý kiến đóng góp tuyệt vời của bạn và hãy tiếp tục nhấn nút bugnub ở góc trên bên phải giao diện người dùng để cho chúng tôi biết cách cải thiện ThreatExchange!

Các thay đổi kể từ ngày 09/10/2019

  • Chúng tôi tự hào ra mắt giao diện người dùng beta tại developers.facebook.com/apps. Vui lòng xem tài liệu về giao diện người dùng để biết thêm thông tin. Vui lòng liên hệ với chúng tôi theo địa chỉ threatexchange@fb.com kèm theo mọi ý kiến đóng góp.
  • Cảm ơn bạn đã luôn kiên nhẫn khi chúng tôi cải tiến quy trình phê duyệt ứng dụng của mình. Hãy theo dõi để biết các thông tin mới sắp tới!

Các thay đổi kể từ ngày 13/02/2017

Tính năng mới

  • Giờ đây, bạn có thể bày tỏ cảm xúc với dữ liệu mà mình gặp trong ThreatExchange. Bất cứ ai nhìn thấy nội dung mô tả đều có thể đánh dấu là "HELPFUL", "NOT_HELPFUL", "OUTDATED", "SAW_THIS_TOO" và "WANT MORE INFO".
  • Giờ đây, bạn có thể dùng cạnh mới là /similar_malware để nhận dạng các mẫu phần mềm độc hại mà chúng tôi cho là có liên quan.
  • Chúng tôi cũng ra mắt thêm tính năng hỗ trợ Webhooks cho ThreatIndicatorsThreatTags. Nhờ vậy, máy chủ của bạn sẽ nhận được thông báo theo thời gian thực khi có thông tin mới về mối đe dọa.

Các thay đổi

  • Thông số tìm kiếm strict_text của chúng tôi hiện giới hạn kết quả tìm kiếm ở đúng cụm từ tìm kiếm mà bạn đã gửi. Ví dụ: trước khi có sự thay đổi này, nếu tìm kiếm các chỉ báo mối đe dọa bằng văn bản nghiêm ngặt được hỗ trợ cho "google.com", bạn sẽ nhận được nhiều kết quả, bao gồm cả những kết quả như "http://google[.]com/fusiontables" và "http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890". Cách tìm kiếm mới sẽ chỉ trả về kết quả cho google.com, tức là ID 826838047363868. Khi tìm kiếm nội dung mô tả mối đe dọa, bạn vẫn có thể dùng các thông số khác để giới hạn kết quả tìm kiếm (ví dụ: chủ sở hữu hoặc trạng thái). Nếu muốn tìm www.google.com, bạn phải tìm kiếm riêng nội dung đó. Việc tìm kiếm google.com bằng văn bản nghiêm ngặt sẽ không trả về www.google.com.

Các thay đổi trong API phiên bản 2.8 (Ngày 05/10/2016)

Tính năng mới

  • Giờ đây, bạn có thể thêm ThreatTags vào MalwareAnalyses, ThreatDescriptorsMalwareFamilies. Bạn cũng có thể lọc kết quả tìm kiếm theo thẻ và tìm danh sách các thẻ mà mọi người đang dùng trong ThreatExchange qua điểm cuối /threat_tags.

  • ThreatExchange hiện hỗ trợ Webhooks. Với tính năng hỗ trợ Webhooks cho MalwareAnalyses, ThreatDescriptorsMalwareFamilies, máy chủ của bạn sẽ nhận được thông báo theo thời gian thực khi ThreatExchange có thông tin mới về mối đe dọa. Vui lòng xem Hướng dẫn về Webhooks cho ThreatExchange để biết mã đơn giản.

  • Một thông số mới trong Threatexchange là sort_by sẽ hỗ trợ bạn sắp xếp kết quả tìm kiếm theo RELEVANCE hoặc theo CREATE_TIME. Khi sắp xếp theo RELEVANCE, truy vấn của bạn sẽ trả về kết quả được sắp xếp theo mức độ tương đồng với nội dung truy vấn.

Trường ngừng hoạt động

  • AttackType và ThreatType hiện ngừng hoạt động mà thay bằng ThreatTags. Nếu đăng hoặc đọc dữ liệu về mối đe dọa bằng những trường này, bạn sẽ phải thay đổi mã của mình để sử dụng ThreatTags. Kể từ ngày 05/12/2016, bạn sẽ không còn truy cập được các trường này trên tất cả phiên bản API Đồ thị. Để chuyển tiếp dễ dàng, tạm thời, bạn vẫn có thể sử dụng những loại này cùng với thẻ trên các phiên bản trước của API Đồ thị. Ngoài ra, chúng tôi cũng cung cấp các giá trị dữ liệu threat_type hoặc attack_type hiện có thông qua thẻ. Cụ thể hơn, nếu dữ liệu mới hoặc hiện có về mối đe dọa có giá trị cho những loại này, đối tượng sẽ tự động được gắn thẻ bằng giá trị chuỗi tương đương. Trước khi kết thúc khoảng thời gian này, bạn sẽ phải chuyển tiếp toàn bộ sang dùng thẻ thay cho threat_type hoặc attack_type.

Các thay đổi trong API phiên bản 2.4

Có nhiều thay đổi trong phiên bản Nền tảng 2.4. Bạn vẫn có thể sử dụng phiên bản Nền tảng 2.3 chưa có những thay đổi đó cho đến ngày 08/12/2015. Vào ngày nêu trên, chúng tôi sẽ ngừng hỗ trợ phiên bản 2.3.

Điểm thay đổi quan trọng nhất trong phiên bản 2.4 đó là ra mắt mô hình nội dung mô tả. Trong phiên bản 2.3 trở xuống, tất cả dữ liệu được lưu trữ trên chỉ báo. Kể từ phiên bản 2.4, chúng tôi chia nhỏ thông tin thành các hạng mục khách quan và chủ quan. Thông tin khách quan là dữ liệu mà mọi người có thể xem và đồng ý. Thông tin này có thể thay đổi theo thời gian, nhưng mọi người đều thấy dữ liệu như nhau. Ví dụ: thông tin đăng ký WHOIS cho tên miền là khách quan. Thông tin chủ quan thể hiện ý kiến của ai đó về dữ liệu. Mỗi người có thể có ý kiến khác nhau. Ví dụ: trạng thái của miền là MALICIOUS hoặc NON_MALICIOUS.

Thông tin khách quan sẽ vẫn được lưu trữ trên chỉ báo. Trong hầu hết mọi trường hợp, Facebook sẽ là bên duy nhất cập nhật thông tin khách quan. Thông tin chủ quan hiện được lưu trữ trên một cấu trúc mới gọi là nội dung mô tả. Chúng tôi đã thêm các lệnh gọi API để tạo, chỉnh sửa và tìm kiếm nội dung mô tả. Mỗi AppID có thể chứa một nội dung mô tả trên mỗi chỉ báo. Mỗi nội dung mô tả đều có một cạnh để kết nối với một chỉ báo mối đe dọa. Mỗi chỉ báo đều có các cạnh kết nối với một hoặc nhiều nội dung mô tả.

Chúng tôi hiện không hỗ trợ các kết nối giữa những nội dung mô tả. Hiện tại, kết nối giữa các chỉ báo sẽ vẫn là cách duy nhất để liên kết thông tin về mối đe dọa.