Bonnes pratiques pour utiliser l'API Submission

Ce document décrit l'implémentation recommandée pour l'API Submission :

  • Envoyez des URL complètes : fournissez l'URL complète et directe du contenu malveillant , et pas seulement le domaine.
  • N'envoyez que des URL actives : n'envoyez que des URL en ligne. Les sites hors connexion ou inaccessibles ne peuvent pas être traités.

  • Inclure les cas de non-respect des règles : n'envoyez que les URL que vous avez des raisons de croire qu'elles ne sont pas sécurisées et qu'elles enfreignent les règles de navigation sécurisée Google.

  • Envoi programmatique : utilisez l'API Submission pour automatiser les rapports à volume élevé provenant de sources externes, telles que les équipes du centre des opérations de sécurité ou les rapports des utilisateurs finaux.

  • Incluez des métadonnées supplémentaires : pour améliorer la vitesse et la précision de la détection des menaces, fournissez des métadonnées avec vos envois. Pour en savoir plus, consultez Améliorer la détection avec ThreatInfo et ThreatDiscovery.

Améliorer la détection avec ThreatInfo et ThreatDiscovery

Nous vous recommandons d'utiliser les champs ThreatInfo et ThreatDiscovery suivants pour fournir des informations supplémentaires sur les échantillons envoyés, ce qui peut améliorer la détection et augmenter les chances qu'un échantillon envoyé soit bloqué.

  • Utilisez ThreatInfo pour fournir plus d'informations sur la raison pour laquelle l'URI est envoyée.
  • Utilisez ThreatDiscovery pour fournir plus d'informations sur la façon dont la menace a été détectée.

Exemple

Un pirate informatique lance un site d'hameçonnage d'identifiants ciblant les clients d'une banque basée en Italie. Les clients ciblés commencent à recevoir des SMS trompeurs de ce pirate informatique avec un lien vers une fausse page de connexion. La banque reçoit des rapports de clients qui ont reçu les SMS, lance une enquête et confirme que le site est utilisé pour hameçonner des identifiants.

Pour protéger ses clients, la banque envoie le site d'hameçonnage à Web Risk avec le corps de requête suivant :

{
  "submission": {
    "uri": "http://example.com/login.html"
  },
  "threatDiscovery": {
    "platform": "ANDROID",
    "regionCodes": "IT"
  },
  "threatInfo": {
    "abuseType": "SOCIAL_ENGINEERING",
    "abuseSubtype": "BANK_PHISHING",
    "threatJustification": {
      "labels": ["USER_REPORT", "MANUAL_VERIFICATION"],
      "comments": "Site is impersonating a bank and phishing for login credentials"
    },
    "threatConfidence": {
      "level": "HIGH"
    },
    "targetedBrand": {
      "brandName": "Altostrat",
      "domain": "altostrat.com"
    }
  }
}

Lorsque la banque vérifie l'état de l'envoi avec le nom d'opération renvoyé par l'API Submission, l'état est SUCCEEDED. Cet état indique que l'URL envoyée a été ajoutée à la liste de blocage de navigation sécurisée.

Étape suivante

  • Consultez la documentation de référence de l'API pour ThreatInfo et ThreatDiscovery (RPC, REST).