變更紀錄
截至 2023 年 8 月 21 日的變更
惡意軟體分析端點已移除
/malware_analyses 端點已移除,在任何版本中已無法再使用。
截至 2023 年 5 月 23 日的變更
惡意軟體分析端點已停用
/malware_analyses端點已停用,在第 17 版或以上版本中已無法再使用,並將於 2023 年 8 月 21 日在所有版本中移除。
截至 2023 年 1 月 9 日的變更
惡意軟體端點移除
- ThreatExchange 中的惡意軟體端點(例如
/malware_analyses和/malware_families)以及相關聯的惡意軟體物件正在進行移除,很快在所有版本中將無法再使用。 - 這些端點和物件已經有一段時間沒有使用,將其移除可以精簡 API。
- 如果您仍想交換有關惡意軟體的資訊,可以使用 ThreatDescriptor 物件上傳惡意軟體雜湊和其他指標。
API 10.0 版中的變更(2021 年 2 月 23 日)
到期資料永久刪除
- 從圖形 API 10.0 版啟動後的 90 天開始,將刪除所有過期的資料。
- 系統會在指示的到期時間,將上傳至 ThreatExchange 包含非零
expire_time的資料永久刪除,且不再顯示資料。 - 如果您希望刪除不再有效的資料,請將
expired_on欄位設定為目前時間,以立即刪除資料。 - 過去我們使用「軟」刪除方法,將到期內容標記為已到期。我們將不再支援軟刪除。系統現在將永久刪除到期的內容。
- 此外,系統會在建立者設定的到期日到來時,將所有非 Facebook 的 ThreatDescriptor 永久刪除。
- 如果應用程式的 ThreatDescriptor 目前已過期,而您不希望系統將其刪除,則必須延長到期日或將其設定為「0」,以確保資料永遠不會到期。
截至 2020 年 6 月 2 日的變更
新世代的全新工具
- 所有這些的共同關聯是,在過去幾年裡,ThreatExchange 已從惡意軟體/網路釣魚變為跨公司的完整性訊號分享。此較新型工具有大部分與舊工具(例如 pytx)重疊,但更著重於
- 工具更具互動性,適合更廣泛、更多樣化的使用者群;
- 重點關注 threat-descriptor(相對於惡意軟體分析);
- 強化對跨公司意見回饋機制的支援。
- 雖然 Java 版本目前有一些工作要做,但 Python 和 Ruby 參考設計封裝了與 bulk-relate、bulk-react、copy-and-modify 相同的類型,以及其他已在 5 月 28 日更新的用戶介面中描述的工作流程。
- 我們發現,對於擔任某些 PM/DS/政策角色的人們來說,用戶介面為主要介面。對工程師來說,用戶介面是一個有用的工具,但真正可擴展的處理實作卻需要 API 及高階語言的支援。目前的 Python/Ruby 版本即為後者的里程碑。
- 之所以建立這些流程,是因為跨公司使用者群的需求比以往任何時候都更加投入和關注於意見回饋。請持續將您的意見回饋寄至 threatexchange@fb.com 和/或您與我們之間用於聯繫的 Slack 頻道。
截至 2020 年 5 月 28 日的變更
此次更新全都與批次有關!
截至 2020 年 1 月 8 月的變更
為了回應有關 ThreatExchange 用戶介面的更多意見回饋,我們很榮幸地推出以下更新:
- 強力搜尋:您現在可以進行涉及狀態、指標類型、擁有者應用程式、標籤、文字等的複雜查詢。(下一頁支援仍在開發中。)
- 批次編輯:批次更新各種中繼資料,包括狀態、嚴重性、標籤等。
- 複製:將您自己的意見加入到提交給其他公司的 IOC;節省按鍵次數,建立更多您自己的按鍵。
- 點擊以排序描述項、標籤、隱私群組和 TE 成員的表格欄標題。
- 對 source_uri threat-descriptor 欄位的用戶介面支援。
- 含 review_status 欄位的故障修復未儲存到下載的 CSV/JSON 中。
- 許可清單中的標籤、隱私群組和應用程式現在可以在 CSV 檔案中以逗號分隔和以分號分隔。
- 關於 threat-descriptor 屬性的更多詳細說明文件。
感謝您的寶貴意見回饋,請繼續點擊用戶介面右上角的 bugnub,讓我們知道如何改善 ThreatExchange!
截至 2019 年 10 月 9 日的變更
- 我們很榮幸在 developer.facebook.com/apps 上發佈用戶介面測試版:如需詳細資訊,請參閱用戶介面文件。如有任何及所有意見回饋,請透過 threatexchange@fb.com 聯絡我們。
- 感謝您在我們改善應用程式審核流程中的一貫耐心。敬請期待即將推出的更新!
截至 2017 年 2 月 13 日的變更
新功能
- 您現在可以對 ThreatExchange 使用的資料作出反應。看得到描述項的人可以將其標示為「HELPFUL」、「NOT_HELPFUL」、「OUTDATED」、「SAW_THIS_TOO」和「WANT MORE INFO」。
- 現在可使用新的關係連線 /similar_malware 來識別我們認為有關聯的惡意軟體範例。
變更
- 現在,我們的 strict_text 搜尋參數將搜尋結果限制為與您提交的搜尋字詞完全相符。例如,在此變更之前,如果您搜尋針對「google.com」啟用嚴格文字的威脅指標,您將得到很多結果,包括「http://google[.]com/fusiontables」和「http://google.com-136[.]net/DE/1/?subid=1485323323mb29920939890」。新搜尋將只傳回 google.com 的結果,即 ID 826838047363868。搜尋威脅描述項時,您仍可以使用其他參數來限制搜尋結果(例如,所有者或狀態)。如果要尋找 www.google.com,則必須單獨搜尋。google.com 的嚴格文字搜尋不會傳回 www.google.com。
API 2.8 版中的變更(2016 年 10 月 5 日)
新功能
您現在可以將 ThreatTags 新增至 MalwareAnalyses、ThreatDescriptors 和 MalwareFamilies。您也可以按標籤篩選搜尋結果,並透過 /threat_tags 端點找到人們在 ThreatExchange 中使用的標籤清單。
ThreatExchange 現在支援 Webhooks。由於 Webhooks 支援 MalwareAnalyses、ThreatDescriptors 和 MalwareFamilies,因此當有新的威脅情報新增至 ThreatExchange 時,您的伺服器便會即時收到通知。請參閱我們的 Webhooks For ThreatExchange 指南,以取得即插即用的代碼。
Threatexchange 中的新參數 sort_by 允許您選擇依 RELEVANCE 或 CREATE_TIME 對搜尋結果進行排序。依 RELEVANCE 排序時,您的查詢將傳回依文字查詢相似度排序的結果。
淘汰項目
- 不建議使用 AttackType 和 ThreatType,建議使用 ThreatTags。如果使用這些欄位發佈或讀取威脅資料,則需要更改代碼才能使用 ThreatTags。從 2016 年 12 月 5 日開始,將不再於圖形 API 所有版本上存取這些欄位。為簡化過渡,在過渡期間,您將能在圖形 API 的早期版本中繼續使用這些類型及標籤。我們也將透過標籤提供現有的 threat_type 或 attack_type 資料值。更具體地說,如果現有威脅資料或新威脅資料具有這些類型的值,則將使用等效的字串值自動標籤該物件。在此期間結束之前,您需要完全轉移為使用標籤,而不是使用 threat_type 或 attack_type。
API 2.4 版中的變更
平台 2.4 版中進行了大量變更。您可以繼續使用沒有這些變更的平台 2.3 版,直到 2015 年 12 月 8 日為止。自該日起,將不再支援 2.3 版。
2.4 版中最重要的變更是導入了描述項模型。在 2.3 以下版本中,所有資料都儲存在指標上。從 2.4 版開始,我們將資訊分為客觀和主觀兩類。客觀資訊是每個人都能看到並同意的資料。它可能會隨時間改變,但每個人看到的都是相同的資料。例如,網域名稱的 WHOIS 註冊是客觀的。主觀資訊代表某人對資料的看法。不同的人可能有不同的看法。例如,網域的狀態為 MALICIOUS 或 NON_MALICIOUS。
客觀資訊將儲存在指標上。在大多數情況下,Facebook 將是唯一更新客觀資訊的組織。現在,主觀資訊儲存在稱為描述項的新結構中。我們新增了 API 呼叫來建立、編輯和搜尋描述項。每個 AppID 的每個指標可以有一個描述項。每個描述項都有一個將其連接到威脅指標的關係連線。每個指標都有一個或多個描述項的關係連線。
我們目前不支援描述項之間的連接。指標之間的連線仍將是目前關聯威脅資訊的唯一方法。