Перейти к основному содержимому
Версия: 2.0

Механизмы устаревания IoCs

Solar TI Feeds предоставляет два механизма управления устареванием индикаторов.

  • Временная метка valid_until
  • Обработка действия DELETE

Использование временной метки valid_until

В ответе API для сетевых индикаторов (IP-адреса, домены, URL) присутствует поле valid_until. Эта временная метка указывает, до какого момента индикатор считается актуальным и должен оставаться в мониторинге. Значение valid_until автоматически рассчитывается на основе TTL (Time To Live), заданного для каждого фида.

Важно:

Для файловых индикаторов (хэши MD5, SHA1, SHA256) поле valid_until отсутствует — их жизненный цикл управляется исключительно через событийную модель с действиями (CREATE, UPDATE, DELETE).

Шаг 1. Извлечение метки валидности
При получении индикатора извлеките значение поля valid_until из интересующего фида объекта feeds.
Пример ответа с valid_until фида 4RAYS_PULSE:

{
  "feeds": [
    {
      "name": "4rays_pulse",
      "action": "UPDATE",
      "valid_until": "2035-12-10T12:42:05.321519Z"
    }
  ]
}

Шаг 2. Планирование автоматического удаления
Настройте вашу систему на автоматическое удаление индикатора из интересующего фида локальной базы по истечении времени, указанного в valid_until.

Шаг 3. Обработка исключений
Учтите, что для файловых индикаторов (хэшей) метка valid_until отсутствует — их жизненный цикл управляется через событийную модель.

Обработка действия DELETE

Шаг 1. Обнаружение действия DELETE При обработке полученных индикаторов проверяйте значение поля action в каждом объекте feeds. Пример фида с action = "DELETE":

{
  "feeds": [
    {
      "name": "4rays_pulse",
      "action": "DELETE",
      "valid_until": "2025-12-10T12:42:05.321519Z"
    }
  ]
}

Шаг 2. Выполнение очистки
При обнаружении действия DELETE выполните следующие операции:

  1. Удалите индикатор из локальной базы данных
  2. Прекратите его мониторинг в системах безопасности
  3. Обновите правила фильтрации и блокировки

Шаг 3. Понимание причин удаления
Действие DELETE может быть отправлено в трёх случаях:

  1. Истечение времени жизни индикатора (для сетевых индикаторов)
  2. Ручной отзыв индикатора аналитиками Solar
  3. Изменение данных, при котором индикатор перестаёт соответствовать критериям фида (например, попадание фида в Белый список (whitelist))