變更記錄

截至 2023 年 8 月 21 日的變更

已移除惡意軟件分析端點

/malware_analyses 端點已被移除並不再適用於任何版本。

截至 2023 年 5 月 23 日的變更

已停用惡意軟件分析端點

• /malware_analyses 端點已停用。此端點並不適用於 v17 或以上版本，並會在 2023 年 8 月 21 日從所有版本移除。

截至 2023 年 1 月 9 日的變更

移除惡意軟件端點

• /malware_analyses 和 /malware_families 等 threatexchange 上的惡意軟件端點以及相關惡意軟件物件會被移除，於所有版本都即將不適用。
• 這些端點和物件目前已有一段時間未有使用，移除這些端點和物件能讓我們簡化 API。
• 若您仍想交流有關惡意軟件的資訊，可使用ThreatDescriptor 物件以上載惡意軟件雜湊和其他指標。

API 版本 10.0 的變更（2021 年 2 月 23 日）

永久刪除已過期的資料

• 自 Graph API 版本 10.0 推出後 90 天起，所有已過期資料都會被刪除。
• 使用非零 expire_time 上載至 ThreatExchange 的資料將在指定到期時間過後永久刪除，且無法再查看。
• 如要刪除不再有效的資料，請將 expired_on 欄位設為目前時間，以便系統即時刪除該等資料。
• 過去，我們使用「虛」刪除方法，將已過期內容標示為過期。我們不再支援虛刪除。現在，已過期內容將會永久刪除。
• 此外，所有非 Facebook 的 ThreatDescriptor 將會在建立者設定的到期日過後永久刪除。
• 如果您的應用程式目前含有已過期的 ThreatDescriptor 而您不想刪除，您必須推遲到期日或將此日期設為「0」，確保該等資料永不過期。

截至 2020 年 6 月 2 日的變更

用於新一代的全新工具

• 目前，除了現有的 Java 版本，我們的 te-tag-query 參考設計還包含 Python 和 Ruby 參考執行方式。（我們亦根據意見拆分了 tag-query 配方的 curl-only 文件。）
• 過去幾年中，ThreatExchange 已超越惡意軟件／網絡釣魚的範疇，成為跨公司的完整性訊號共用模式，是所有這些變更的共同背景。這種較新的工具基本上與舊工具重疊（例如 pytx），但更側重於達成以下目標：

  • 為更廣泛而且多元化的用戶群提供互動性更強的工具；
  • 以 threat-descriptor 為本（而非惡意軟件分析）；
  • 增強對跨公司意見提供機制的支援。
• 雖然 Java 版本目前需稍作調整，但正如我們在 5 月 28 日更新中所描述的用戶介面那樣, Python 和 Ruby 參考設計封裝了相同種類的 bulk-relate、bulk-react、copy-and-modify 和其他工作流程。
• 我們發現，對於擔任 PM／DS／政策角色的用戶，用戶介面是主要介面；而對於工程師而言，用戶介面是實用的工具，但真正可大量處理的執行方式需要 API 以及高階語言支援。對於後者來說，今天推出的 Python／Ruby 版本是里程碑。
• 構建這些流程是因為跨公司用戶群有此等需求，他們的互動程度比以往更高，而且更注重意見。歡迎透過 threatexchange@fb.com 及／或您與我們開設的 Slack 頻道提出意見。

截至 2020 年 5 月 28 日的變更

這輪更新都與批量有關！

• 新增的 create-with-templates 功能十分省時，可讓您提交一批描述元（除雜湊／指標值外，在所有其他值中完全相同），而不需要從 CSV 導入。
• 您現在可以執行批量關聯和批量回應。
• 批次上載功能過去在上載數百個描述元時會出現滯留／緩慢情況，而這個功能現已達最佳效果，互動性尤為出色，適用於包含多達 8,000 個描述元的檔案。
• 同樣地，對於大小超過一千個描述元的結果，搜尋結果現在會使用更輕量的顯示操作（點擊複製操作較少，顏色較少等）。（您可以在「自訂」標籤中配置簡化的顯示門檻。）這有助您更輕鬆地瀏覽更大型的資料集。（您可以在「自訂」分頁中配置 simplified-render 門檻。）這有助您更輕鬆地瀏覽大型資料集。
• 您現可為包含多個標籤的「and」（而不只是像以前般只包含「or」）描述元進行 power-search。
• 雖然真正的 previous-page／next-page 支援仍在調整中，但現在我們設有一個 search-older 按鈕，可讓您瀏覽更大型的 search-result 組合。

截至 2020 年 4 月 9 日的變更

根據用戶對於 ThreatExchange 用戶介面對出的更多寶貴意見，我們很高興宣佈推出以下更新：

• 您現可在用戶介面以及 API 中提交連接。這有助於追蹤網域、網址等項目之間的連接。
• 您現可在相同的客觀資料展開傳送至更多描述元，或與之相關的更多描述元，從而擴大搜尋範圍。
• 我們現已支援已儲存的搜尋條件，您可以將搜尋內容加入書籤，或與協作者共用。

截至 2020 年 1 月 8 日的變更

根據用戶對於 ThreatExchange 用戶介面提出的許多寶貴意見，我們很高興宣佈推出以下更新：

• Power-search：您現在可以執行涉及狀態、指標類型、owner-apps、標籤和文字等內容的複雜查詢。（Next-page 的支援仍在調整中。）
• 從 CSV 或 JSON 檔案批量上載。
• 批量編輯：批量更新不同中繼資料，包括狀態、嚴重性和標籤等。
• 複製：在提交給其他公司的 IOC 中加上自己的意見；使用 keystroke-saving 功能以建立更多自己的意見。
• Click-to-sort 功能可讓您在表格欄標題排序描述元、標籤、私隱群組和 TE 成員。
• 為 source_uri threat-descriptor 欄位提供用戶介面支援。
• 修正 review_status 欄位未儲存到下載的 CSV／JSON 中錯誤。
• 許可名單中的標籤、私隱群組和應用程式現可在使用逗號分隔，CSV 檔案則可用分號分隔。
• 若要了解詳情，請參閱 threat-descriptor 屬性文件。

感謝您提供寶貴意見，歡迎點擊用戶介面右上角的「bugnub」，告訴我們如何改進 ThreatExchange！

截至 2019 年 10 月 9 日的變更

• 我們非常高興在 developers.facebook.com/apps 上發佈測試版用戶介面：請查看用戶介面文件以了解詳情。如有任何意見，請透過 threatexchange@fb.com 聯絡我們。
• 我們會改進 app-approval 流程，感謝您一直以來的耐心等待。請密切留意即將推出的更新！

截至 2017 年 2 月 13 日的變更

新功能

• 您現可以回應自己在 ThreatExchange 中使用的資料。任何看到描述元的用戶都可以將其標記為「HELPFUL」、「NOT_HELPFUL」、「OUTDATED」、「SAW_THIS_TOO」和「WANT MORE INFO」。
• 您現在可以使用新的關係連線 /similar_malware，識別我們認為相關的惡意軟件範例。
• 此外，我們亦為 ThreatIndicators 和 ThreatTags 推出了額外的 Webhooks 支援。因此，在有新的威脅情報時，您的伺服器可以即時收到通知。

變更

• 我們的 strict_text 搜尋參數現在會根據您提交的搜尋字詞，提供完全相符的搜尋結果。例如，在此變更之前，如果您就著已為「google.com」啟用嚴格文本的威脅指標搜尋，系統會傳回大量結果，包括「http://google[.]com/fusiontables」和「http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890」之類的結果。新搜尋將只會傳回 google.com 的結果，即 ID 826838047363868。搜尋威脅描述元時，您仍可使用其他參數來限制搜尋結果（例如擁有者或狀態）。如果您想尋找 www.google.com，則必須單獨搜尋該字詞。就 google.com 執行的嚴格文本搜尋將不會傳回 www.google.com。

API 版本 2.8 的變更（2016 年 10 月 5 日）

新功能

• 您現可將 ThreatTags 加入 MalwareAnalyses、ThreatDescriptors 和 MalwareFamilies。您亦可以按標籤篩選搜尋結果，以及透過 /threat_tags 端點尋找用戶在 ThreatExchange 中使用的標籤清單。

• ThreatExchange 目前支援 Webhooks。有了 Webhooks 對 MalwareAnalyses、ThreatDescriptors 和 MalwareFamilies 的支援，當有新的威脅情報加入 ThreatExchange 時，您的伺服器可以即時收到通知。請查看我們關於 plug-and-play 代碼的 Webhooks For ThreatExchange 指南。

• 您可以使用 Threatexchange 中的新參數 sort_by，選擇要按 RELEVANCE 還是 CREATE_TIME 將搜尋結果排序。按 RELEVANCE 排序時，您的查詢將根據文字查詢傳回按相似程度排序的結果。

停用內容

• AttackType 和 ThreatType 會被停用，並由 ThreatTags 取代。如果您使用這些欄位發佈或讀取威脅資料，便需要更變代碼，改為使用 ThreatTags。自 2016 年 12 月 5 日起，您便無法再在 Graph API 的任何版本中存取這些欄位。為方便轉換，在過渡期間您可以在過往版本的 Graph API 中繼續使用這些類型以及標籤。我們亦會透過標籤提供現有的 threat_type 或 attack_type 資料值。更具體而言，如果現有或新的威脅資料有這些類型的值，相應物件便會自動使用對應的字串值來標示。此時段過後，您需要完全改為使用標籤，而非 threat_type 或 attack_type。

API 版本 2.4 的變更

我們在平台版本 2.4 中作出了大量變更。在 2015 年 12 月 8 日之前，您可以在繼續使用尚未作出變更的平台版本 2.3。從該天起，系統會停用對版本 2.3 的支援。

版本 2.4 中最重要的一項變更，便是推出了描述元模型。在版本 2.3 及以下版本中，所有資料都儲存在指標中。從版本 2.4 開始，我們將資訊拆分為客觀和主觀類別。客觀資訊是所有人可以看到並認同的資料。該資訊可能會隨時間而有所變化，但所有人都會看到相同的資料。例如，網域名稱的 WHOIS 註冊資訊屬客觀性質。主觀資訊代表某人對資料的意見。不同人可能有不同的意見。例如，網域的狀態為 MALICIOUS 或 NON_MALICIOUS。

客觀資訊將繼續儲存在指標上。大多數情況下，只有 Facebook 一方可以更新客觀資訊。主觀資訊現在會儲存在稱為描述元的新結構中。我們加入了 API 呼叫以建立、編輯和搜尋描述元。每個 AppID 都有一個與指標對應的描述元。每個描述元都有一個關係連線，將其連接到威脅指標。每個指標都有與一個或多個描述元關聯的關係連線。

我們目前不支援描述元之間的連接。指標之間的連接目前仍是關聯威脅資訊的唯一方式。