Facebook Threat Exchange

Перевод: Анна Давыдова
Источник: n0where.net

Facebook Threat Exchange

Facebook Threat Exchange

Большинство решений по анализу угроз не являются довольно практичными, потому что данные слишком сложны для стандартизации и проверки. Facebook создал платформу ThreatExchange, чтобы организации, принимающие в ней участие, могли совместно использовать данные об угрозах с помощью удобного, структурированного и простого в использовании API. Данный инструмент предусматривает средства управления конфиденциальностью, что позволяет обеспечить совместное использование только с нужными группами. Вы можете подать заявку на участие в бета-тестировании уже сегодня!

Документация ThreatExchange

Скачать ThreatExchange

Начало работы с ThreatExchange

Создайте Facebook приложение

Перед тем как использовать ThreatExchange API, вам нужно будет создать Facebook приложение. Для того чтобы начать, вам нужно сделать следующее:

  1. Войдите в Facebook, используя учетную запись, которую вы будете использовать для создания приложения. Это должна быть реальная учетная запись Facebook.
  2. Перейдите на App Dashboard (Панель приложений) и создайте новое приложение.
  3. Извлеките приложение из режима разработки. В разделе «Просмотр приложений» установите флажок «Сделать это приложение общедоступным».
  4. Обратите внимание, что ‘App ID’ (Идентификатор приложения) предоставлен. Передайте ‘App ID’ (Идентификатор приложения) в Facebook.
  5. Facebook предоставит права доступа ‘App ID’ для доступа к ThreatExchange.

Как только вы получите App ID, вы сможете сразу же подать заявку на участие в бета-тестировании!

Аутентификация через маркер доступа

ThreatExchange APIs выполняет аутентификацию через маркера доступа. После того как Facebook уведомит вас о том, что ваше приложение может получить доступ к ThreatExchange, используйте инструмент маркера доступа, чтобы получить App Token (токен приложений). Пожалуйста, обратите внимание, что токены приложений предоставляют доступ к конфиденциальным сведениям в вашем приложении и должны рассматриваться как пароль.

С токеном приложения, проверьте ваш доступ к ThreatExchange путем извлечения списка участвующих в обмене:

;

Если этот запрос не выдает ошибку, это значит, что теперь вы готовы приступить к изучению ThreatExchange!

Поиск данных

С помощью недавно активированного маркера доступа, выполните поиск вредоносных URL, добавленных на последней неделе:

 week ago&access_token=<access_token>

Пожалуйста, обратите внимание, что не все поля возвращаются по умолчанию. Обратитесь к справочной документации и укажите поля, которые вы хотите прочитать, добавив параметр fields. Для получения более детальной информации ознакомьтесь с руководством Graph API guide.

Публикация данных

Тест публикует домен, my-test-example.com, гарантируя, что вы сможете просматривать только данные:

POST DATA
type=DOMAIN
indicator=my-test-example.com
privacy_type=HAS_WHITELIST
status=UNKNOWN
description=Test data publishing
share_level=RED
privacy_members=<your_app_id>
access_token=555|1235

Возвращаемой величиной будет JSON map с кодом успеха или отказа, и если вызов будет успешным, вы получите уникальный ThreatExchange ID для дескриптора, который вы опубликовали!

Опубликуйте дескриптор для вашего собственного домена, my-company-domain.com, и поделитесь им с идентификатором приложения Facebook, 820763734618599:

POST DATA
type=DOMAIN
indicator=my-company-domain.com
privacy_type=HAS_WHITELIST
status=NON_MALICIOUS
description=The domain owned by <your_app_id>
share_level=WHITE
privacy_members=820763734618599
access_token=555|1235

Больше примеров

Ищите все скомпрометированные учетные данные, найденные в Интернете за последний день:

|1235

Найдите уникальный идентификатор ThreatExchange для определенного индикатора, например facebook.com:

|1235

Изучите связанные индикаторы для определенного показателя с помощью идентификатора
ThreatExchange ID 898557073557972:

|1235

Изучите все дескрипторы для определенного индикатора с помощью
ThreatExchange ID 898557073557972:

|1235

 

Оставьте комментарий