Перевод: Анна Давыдова
Источник: n0where.net
Facebook Threat Exchange
Большинство решений по анализу угроз не являются довольно практичными, потому что данные слишком сложны для стандартизации и проверки. Facebook создал платформу ThreatExchange, чтобы организации, принимающие в ней участие, могли совместно использовать данные об угрозах с помощью удобного, структурированного и простого в использовании API. Данный инструмент предусматривает средства управления конфиденциальностью, что позволяет обеспечить совместное использование только с нужными группами. Вы можете подать заявку на участие в бета-тестировании уже сегодня!
Документация ThreatExchange
Скачать ThreatExchange
Начало работы с ThreatExchange
Создайте Facebook приложение
Перед тем как использовать ThreatExchange API, вам нужно будет создать Facebook приложение. Для того чтобы начать, вам нужно сделать следующее:
- Войдите в Facebook, используя учетную запись, которую вы будете использовать для создания приложения. Это должна быть реальная учетная запись Facebook.
- Перейдите на App Dashboard (Панель приложений) и создайте новое приложение.
- Извлеките приложение из режима разработки. В разделе «Просмотр приложений» установите флажок «Сделать это приложение общедоступным».
- Обратите внимание, что ‘App ID’ (Идентификатор приложения) предоставлен. Передайте ‘App ID’ (Идентификатор приложения) в Facebook.
- Facebook предоставит права доступа ‘App ID’ для доступа к ThreatExchange.
Как только вы получите App ID, вы сможете сразу же подать заявку на участие в бета-тестировании!
Аутентификация через маркер доступа
ThreatExchange APIs выполняет аутентификацию через маркера доступа. После того как Facebook уведомит вас о том, что ваше приложение может получить доступ к ThreatExchange, используйте инструмент маркера доступа, чтобы получить App Token (токен приложений). Пожалуйста, обратите внимание, что токены приложений предоставляют доступ к конфиденциальным сведениям в вашем приложении и должны рассматриваться как пароль.
С токеном приложения, проверьте ваш доступ к ThreatExchange путем извлечения списка участвующих в обмене:
;
Если этот запрос не выдает ошибку, это значит, что теперь вы готовы приступить к изучению ThreatExchange!
Поиск данных
С помощью недавно активированного маркера доступа, выполните поиск вредоносных URL, добавленных на последней неделе:
week ago&access_token=<access_token>
Пожалуйста, обратите внимание, что не все поля возвращаются по умолчанию. Обратитесь к справочной документации и укажите поля, которые вы хотите прочитать, добавив параметр fields. Для получения более детальной информации ознакомьтесь с руководством Graph API guide.
Публикация данных
Тест публикует домен, my-test-example.com, гарантируя, что вы сможете просматривать только данные:
POST DATA type=DOMAIN indicator=my-test-example.com privacy_type=HAS_WHITELIST status=UNKNOWN description=Test data publishing share_level=RED privacy_members=<your_app_id> access_token=555|1235
Возвращаемой величиной будет JSON map с кодом успеха или отказа, и если вызов будет успешным, вы получите уникальный ThreatExchange ID для дескриптора, который вы опубликовали!
Опубликуйте дескриптор для вашего собственного домена, my-company-domain.com, и поделитесь им с идентификатором приложения Facebook, 820763734618599:
POST DATA type=DOMAIN indicator=my-company-domain.com privacy_type=HAS_WHITELIST status=NON_MALICIOUS description=The domain owned by <your_app_id> share_level=WHITE privacy_members=820763734618599 access_token=555|1235
Больше примеров
Ищите все скомпрометированные учетные данные, найденные в Интернете за последний день:
|1235
Найдите уникальный идентификатор ThreatExchange для определенного индикатора, например facebook.com:
|1235
Изучите связанные индикаторы для определенного показателя с помощью идентификатора
ThreatExchange ID 898557073557972:
|1235
Изучите все дескрипторы для определенного индикатора с помощью
ThreatExchange ID 898557073557972:
|1235