web-dev-qa-db-ja.com

攻撃/乱用通知メールテンプレート

私は、ISPやホスティングプロバイダーなどに「悪用」通知を送信するときに、ネットブロックから攻撃が発生した場合に使用するテンプレートを作成しています。

この目的のために使用されたテンプレートの例はありますか?適切に設計または吟味されているか、そうでなければこれらの通知に含めることが推奨/推奨されないものを反映していますか?

別の言い方をすると:

  • そのような通知に含まれるべき情報
  • どのような情報notをそのような通知に含める必要がありますか
7
tylerl

攻撃に必要なすべての情報と、攻撃者が実行するアクションを含める必要があります。主な情報には次のものがあります。

  • 攻撃を実行しているホストのIPアドレス
  • そのホストからの攻撃またはアクティビティのタイプ
  • サーバーの詳細
    • これには、攻撃されているサーバーのIPアドレスが含まれる可能性があります。
  • インシデントを調査して報告するように依頼します
  • 攻撃が有害であった場合は、それがあなたにどのような影響を与えたかを伝えます

彼らはあなたに応答するのにしばらく時間がかかるかもしれませんので、辛抱してください。

5
Hammo

Hammoがすでに概説している一般的な詳細に同意しますが、自動メッセージに含めるために提案されたAbuse Reporting Format(ARF)の完全な要件を確認することをお勧めします。 ISPは大量のメッセージを受信します。この標準(または提案されている標準)に従うことで、メッセージを効果的に処理できる可能性が高くなります。

http://datatracker.ietf.org/wg/marf/charter/

http://en.wikipedia.org/wiki/Abuse_Reporting_Format

4
iivel

個人的には、すべての不正使用報告シナリオのニーズを満たすテンプレートを設計することは不可能だと思います。そのため、悪用の種類と、送信する必要があるか、受信する必要がある詳細の種類に基づいて、必要な情報をユーザー(内部/外部)に問い合わせるツールを開発することをお勧めします。

テンプレートに組み込むことができるもののキックスタートはここにあると言いましたが:

template.abuse:

Date/Time of abuse       : {<date/time format>}
TimeZone                 : [<pick-list>]
Contact Name             : {<free-form>}
Contact Email(s)         : {<free-form>}
Wish to remain anonymous : [Y|N]
Contact Business         : {<free-form,expected:name of business if relavent>}
Contact Business Address : {<free-form,expected:address of business if relavent>}
Type of abuse            : [<pick-list, e.g.:
Open relay/Proxy/NNTP
Phishing report
Virus or Worm
Offensive material
Copyright
Network attack
Spam
Port scan
>
                           //
#import(Type of abuse)     // <-- imports fields relevant for the type of abuse
                           // e.g. "Virus or Worm" -> template.virus_or_worm
                           // see below...

]    
Additional Notes         : { free-form,e.g.:
Ports Scanned
Bulk content details
Etc.
}

template.virus_or_worm:

Source of Abuse          : {<free-form,expected: IPs, email addresses, usernames, etc>}
Evidence                 : {<free-form,expected: logs, emails, etc>}

重要なことは、ユーザーがフォームのラベルが意図する意味ではなく、意味する「信じる」ものを選択することになるので、「すべて」の汎用テンプレートを作成することはお勧めできないということです。

また、ユーザーが「他の種類の不正行為」を選択できるようにするインタラクティブツール(ウェブアプリ/フォームなど)を使用すると、不正行為が具体的にリストされていない場合に、より関連性の高い情報を収集/送信して、不要な問題を減らすことができます。 。

小さな始まりも参照してください: https://security.stackexchange.com/questions/22750/exhaustive-list-of-abuse-notifications-that-organizations-get

2
chkdsk