Best practice per l'utilizzo dell'API Submission

Questo documento descrive l'implementazione consigliata per l'API Submission:

  • Invia URL completi: fornisci l'URL completo e diretto dei contenuti dannosi, non solo il dominio.
  • Invia solo URL attivi: invia solo URL attivi. I siti offline o non raggiungibili non possono essere elaborati.

  • Includi violazioni delle norme: invia solo URL che ritieni non sicuri e che violano le norme di Navigazione sicura di Google.

  • Invio programmatico: utilizza l'API Submission per automatizzare i report ad alto volume da fonti esterne come i team del Security Operations Center o i report degli utenti finali.

  • Includi metadati aggiuntivi: per migliorare la velocità e l'accuratezza del rilevamento delle minacce, fornisci i metadati con gli invii. Per saperne di più, consulta Migliorare il rilevamento con ThreatInfo e ThreatDiscovery.

Migliorare il rilevamento con ThreatInfo e ThreatDiscovery

Ti consigliamo di utilizzare i seguenti campi ThreatInfo e ThreatDiscovery per fornire ulteriori informazioni sui contenuti inviati, il che può migliorare il rilevamento e aumentare le probabilità che un contenuto inviato venga bloccato.

  • Utilizza ThreatInfo per fornire maggiori informazioni sul motivo per cui viene inviato l'URI.
  • Utilizza ThreatDiscovery per fornire maggiori informazioni su come è stata rilevata la minaccia.

Esempio

Un malintenzionato lancia un sito di phishing delle credenziali che prende di mira i clienti di una banca con sede in Italia. I client mirati iniziano a ricevere messaggi ingannevoli dall'autore dell'attacco con un link a una pagina di accesso falsa. La banca riceve segnalazioni dai clienti che hanno ricevuto i messaggi, avvia un'indagine e conferma che il sito è phishing per le credenziali.

Per proteggere i propri clienti, la banca invia il sito di phishing a Web Risk con il seguente corpo della richiesta:

{
  "submission": {
    "uri": "http://example.com/login.html"
  },
  "threatDiscovery": {
    "platform": "ANDROID",
    "regionCodes": "IT"
  },
  "threatInfo": {
    "abuseType": "SOCIAL_ENGINEERING",
    "abuseSubtype": "BANK_PHISHING",
    "threatJustification": {
      "labels": ["USER_REPORT", "MANUAL_VERIFICATION"],
      "comments": "Site is impersonating a bank and phishing for login credentials"
    },
    "threatConfidence": {
      "level": "HIGH"
    },
    "targetedBrand": {
      "brandName": "Altostrat",
      "domain": "altostrat.com"
    }
  }
}

Quando la banca controlla lo stato dell'invio con il nome dell'operazione restituito dall'API Submission, lo stato è SUCCEEDED. Questo stato indica che l'URL inviato è stato aggiunto alla lista bloccata di Navigazione sicura.

Passaggi successivi

  • Visualizza il riferimento API per ThreatInfo e ThreatDiscovery (RPC, REST).