Práticas recomendadas para usar a API Submission

Este documento descreve a implementação recomendada para a API Submission:

  • Envie URLs completos: forneça o URL completo e direto do conteúdo malicioso, não apenas o domínio.
  • Envie apenas URLs ativos: envie apenas URLs ativos. Sites off-line ou inacessíveis não podem ser processados.

  • Inclua violações da política: envie apenas URLs que você tenha motivos para acreditar que são inseguros e violam as políticas da Navegação segura do Google.

  • Envio programático: use a API Submission para automatizar relatórios de alto volume de fontes externas, como equipes do Security Operations Center ou relatórios de usuários finais.

  • Inclua metadados adicionais: para ajudar a melhorar a velocidade e a acurácia da detecção de ameaças, forneça metadados com seus envios. Para mais informações, consulte Melhorar a detecção com ThreatInfo e ThreatDiscovery.

Melhorar a detecção com ThreatInfo e ThreatDiscovery

Recomendamos usar os seguintes campos ThreatInfo e ThreatDiscovery para fornecer mais informações sobre os envios, o que pode melhorar a detecção e aumentar as chances de um envio ser bloqueado.

  • Use ThreatInfo para fornecer mais informações sobre o motivo do envio do URI.
  • Use ThreatDiscovery para fornecer mais informações sobre como a ameaça foi encontrada.

Exemplo

Um invasor lança um site de phishing de credenciais direcionado a clientes de um banco na Itália. Os clientes visados começam a receber mensagens de texto enganosas do invasor com um link para uma página de login falsa. O banco recebe denúncias de clientes que receberam as mensagens, inicia uma investigação e confirma que o site está fazendo phishing de credenciais.

Para proteger os clientes, o banco envia o site de phishing ao Web Risk com o seguinte corpo da solicitação:

{
  "submission": {
    "uri": "http://example.com/login.html"
  },
  "threatDiscovery": {
    "platform": "ANDROID",
    "regionCodes": "IT"
  },
  "threatInfo": {
    "abuseType": "SOCIAL_ENGINEERING",
    "abuseSubtype": "BANK_PHISHING",
    "threatJustification": {
      "labels": ["USER_REPORT", "MANUAL_VERIFICATION"],
      "comments": "Site is impersonating a bank and phishing for login credentials"
    },
    "threatConfidence": {
      "level": "HIGH"
    },
    "targetedBrand": {
      "brandName": "Altostrat",
      "domain": "altostrat.com"
    }
  }
}

Quando o banco verifica o status do envio com o nome da operação retornado pela API Submission, o status é SUCCEEDED. Esse status indica que o URL enviado foi adicionado à lista de bloqueio da Navegação Segura.

A seguir

  • Consulte a referência da API para ThreatInfo e ThreatDiscovery (RPC, REST).