Extensión de Cloudflare

En IBM Cloud Logs, puede utilizar la extensión Cloudflare para obtener información de seguridad utilizando los registros que se generan en una cuenta IBM Cloud.

Cloudflare es un proveedor de infraestructuras de Internet que ofrece servicios como DNS, una red de distribución de contenidos (CDN) y muchos otros servicios adicionales para que los sitios web sean más rápidos y seguros. Cloudflare actúa como intermediario entre un cliente y un servidor, utilizando un proxy inverso para reflejar y almacenar en caché sitios web. Al almacenar el contenido web para su entrega en el servidor de borde más cercano, es capaz de optimizar los tiempos de carga. Este diseño intermediario es también la forma en que Cloudflare ofrece un nivel de filtrado para la seguridad. Al situarse entre el cliente y el servidor de alojamiento, puede detectar tráfico malicioso, interceptar ataques distribuidos de denegación de servicio, desviar ataques de bots, eliminar tráfico de bots y limitar el spam.

Los registros de auditoría de Cloudflare resumen el historial de cambios realizados en su cuenta de Cloudflare. Los registros de auditoría incluyen acciones a nivel de cuenta, como inicio y cierre de sesión, cambios en los registros DNS, cambios en los tokens API, cambios en las reglas del cortafuegos, etc.

Qué despliega esta extensión

Esta extensión incluye uno o más elementos.

Elementos incluidos al desplegar la extensión
Inclusiones Número
Alertas 51
paneles de control 3
Enriquecimientos 3
Eventos a métricas 5
Reglas 1
Vistas 0

Antes de desplegar esta extensión, asegúrese de que el despliegue de la extensión no le hará superar los límites de su instancia IBM Cloud Logs. Si al desplegar la extensión se superan los límites, el despliegue fallará.

Despliegue de la extensión

Puede implementar esta extensión en cualquier instancia de IBM Cloud Logs que recopile registros de Cloudflare. La extensión de Cloudflare incluye alertas y paneles para los siguientes servicios de Cloudflare: WAF, DNS, y Audit.

Las alertas y paneles de Cloudflare WAF se basan en varios escenarios de ataque. Algunos se basan en la función de puntuación de ataques de WAF de Cloudflare, que debe activarse en función del plan de suscripción al servicio de Cloudflare. Si la función no está activada, algunas alertas y cuadros de mando relacionados no funcionarán, ya que no dispondrá de los registros pertinentes en el sistema para su supervisión.

Para obtener más información sobre el despliegue de la extensión, consulte Despliegue, gestión y eliminación de extensiones de IBM Cloud Logs.

Tras la implantación, compruebe que la configuración de la extensión gestiona los datos de un modo que coincide con la configuración de la TCO de su instancia IBM Cloud Logs. Las alertas, los cuadros de mando y los eventos a métricas son funciones disponibles para los datos manejados a través de los conductos de datos Analizar y alertar y Información prioritaria. Después de desplegar la extensión, asegúrese de que la configuración satisface sus necesidades. Por ejemplo, si tiene políticas de TCO que envían datos a la canalización Analizar y alertar, tendrá que cambiar el cuadro de mandos configurado por esta extensión para utilizar datos de Análisis y Alerta en lugar de datos de Información prioritaria.

Panel de control

Se proporcionan tres paneles con datos sobre los registros de Cloudflare.

Los cuadros de mando se basan en la función de conversión de eventos en métricas. Los Eventos a Métricas requeridos están incluidos en esta extensión pero requieren que un cubo de métricas IBM Cloud Logs sea configurado para que los tableros funcionen.

Información sobre WAF de Cloudflare

Este panel proporciona una visión general de Cloudflare WAF insights. El salpicadero incluye:

  • WAF acontecimientos a lo largo del tiempo
  • WAF tráfico por principales IP de origen
  • WAF tráfico por hosts más solicitados
  • WAF tráfico por URL más solicitadas
  • Medidas de seguridad adoptadas por WAF
  • Top WAF reglas
  • Principales agentes usuarios
  • Códigos de respuesta Edge-origin
  • Países de origen
  • WAF distribución de la puntuación de ataque
  • WAF RCE distribución de la puntuación de ataque
  • WAF XSS distribución de la puntuación de ataque
  • WAF SQLi distribución de la puntuación de ataque

Cloudflare - DNS - Descripción general

Este panel proporciona una visión general de Cloudflare DNS insights. El salpicadero incluye:

  • DNS actividad sobre el empate - por colocación
  • DNS actividad a lo largo del tiempo - por tipo de consulta
  • DNS actividad a lo largo del tiempo - por código de respuesta
  • DNS distribución del código de respuesta a la consulta
  • DNS distribución del tipo de consulta
  • Dominios DNS más consultados
  • Principales IP de origen
  • Principales IP de origen de todas las consultas DNS en el periodo seleccionado
  • Últimas consultas DNS
  • Registro A superior consultado
  • Máximo registro AAAA consultado
  • Primer registro NS consultado
  • Primer registro CNAME consultado
  • Primer registro MX consultado
  • Primer registro TXT consultado

Cloudflare - Auditoría - Panel general

Este panel ofrece una visión general de las auditorías de Cloudflare. El salpicadero incluye:

  • Registros de auditoría - por tipo de recurso
  • Actores principales
  • Distribución de los tipos de recursos
  • Última actividad del usuario
  • Última actividad del dispositivo cliente
  • Última actividad del paquete de certificados

Alertas

Puede desplegar cualquiera de las siguientes alertas.

Alertas WAF

Enterprise- Las alertas con esta etiqueta requieren que su plan de Cloudflare sea al menos de nivel Enterprise. Estas alertas no se activarán para los planes de Cloudflare inferiores al nivel Enterprise.

  • Cloudflare - WAF - A New Client Request Host Detected: Esta alerta detecta cuando el cliente solicita un nuevo host. Esta alerta estará activa (después de ser desplegada) después de la ventana de tiempo de alerta configurada, que es de 7 días. Esto es para que el algoritmo pueda entrenarse en los nuevos valores de la clave rastreada, capturar la línea de base y evitar falsas notificaciones.

  • Cloudflare - WAF - High error ratio of 5xx origin response, over 5% in 30min: Esta alerta detecta cuando los códigos de error de respuesta de origen de 5xx superan el 5% del recuento total de códigos de estado de respuesta de origen en 30 minutos. Esta alerta calculará la relación entre el código de error 5xx y el número total de códigos de respuesta en 30 minutos. Si la proporción supera el 5%, se activará. La respuesta de origen indica que la respuesta de error fue generada por su servidor web de origen.

  • Cloudflare - WAF - More than usual 5xx edge response errors (at least 10): Esta alerta detecta cuando se generan errores de respuesta de borde 5xx en un número superior al habitual. Si el código de estado supera el valor umbral de 10 por encima del número habitual, se activará la alerta. El algoritmo calcula el "número habitual" de forma dinámica basándose en el patrón de los datos de los 7 días anteriores. El algoritmo tarda una semana en aprender el patrón de tráfico. El código de estado de respuesta edge es un código de respuesta HTTP enviado desde Cloudflare al cliente (usuario final).

    Dado que esta alerta sólo empezará a avisar una vez transcurrida una semana desde su despliegue, los usuarios también pueden hacer uso de la alerta similar Cloudflare - High error ratio of 5xx edge response, over 5% in 30min. Esta alerta empezará a avisar de las anomalías nada más desplegarse.

  • Cloudflare - WAF - More than usual 4xx origin response errors (at least 10): Esta alerta detecta cuando se generan errores de respuesta de origen 4xx en un número superior al habitual. Si el código de estado supera el valor umbral de 10 por encima del número habitual, se activará la alerta. El algoritmo calcula el "número habitual" de forma dinámica basándose en el patrón de los datos de los 7 días anteriores. El algoritmo tarda una semana en aprender el patrón de tráfico. El código de estado de respuesta de origen es un código de respuesta HTTP enviado desde el servidor de origen a Cloudflare.

  • Cloudflare - WAF - More than usual 4xx edge response errors (at least 10): Esta alerta detecta cuando se generan errores de respuesta de borde 4xx en un número superior al habitual. Si el código de estado supera el valor umbral de 10 por encima del número habitual, se activará la alerta. El algoritmo calcula el "número habitual" de forma dinámica basándose en el patrón de los datos de los 7 días anteriores. El algoritmo tarda una semana en aprender el patrón de tráfico. El código de estado de respuesta edge es un código de respuesta HTTP enviado desde Cloudflare al cliente (usuario final).

    Dado que esta alerta sólo empezará a avisar una vez transcurrida una semana desde su despliegue, los usuarios también pueden hacer uso de la alerta similar Cloudflare - High error ratio of 4xx edge response, over 15% in 30min. Esta alerta empezará a avisar de las anomalías nada más desplegarse.

  • Cloudflare - WAF - More than usual 5xx origin response errors (at least 10): Esta alerta detecta cuando se generan errores de respuesta de origen 5xx en un número superior al habitual. Si el código de estado supera el valor umbral de 10 por encima del número habitual, se activará la alerta. El algoritmo calcula el "número habitual" de forma dinámica basándose en el patrón de los datos de los 7 días anteriores. El algoritmo tarda una semana en aprender el patrón de tráfico. La respuesta de origen indica que la respuesta de error fue generada por su servidor web de origen.

    Dado que esta alerta sólo empezará a avisar una vez transcurrida una semana desde su despliegue, los usuarios también pueden hacer uso de la alerta similar Cloudflare - High error ratio of 5xx origin response, over 5% in 30min. Esta alerta empezará a avisar de las anomalías nada más desplegarse.

  • Cloudflare - WAF - High Volume of Bot Requests: Esta alerta detecta un alto volumen de solicitudes de bots. Un bot es un programa autónomo en una red que puede interactuar con sistemas informáticos o usuarios, imitando o sustituyendo el comportamiento de un usuario humano y realizando tareas repetitivas.

  • Empresa Cloudflare - WAF - Potential SQLi Attack: Esta alerta se activará cuando un gran número de registros que contengan valores de Cloudflare WAF SQLi Attack Score indiquen un ataque (puntuación entre 1 y 20). Para obtener más información sobre la puntuación de ataque WAF de Cloudflare, consulte Puntuación de ataque WAF.

  • Cloudflare - WAF - Possible Information Disclosure: Esta alerta detecta cuando una solicitud GET HTTP exitosa (respuesta 2XX ) se dirige a un URL que termina con un conjunto de extensión de archivo específico (como txt archivos) que pueden contener información que no debe ser revelada directamente a Internet.

    Esta alerta detecta las siguientes extensiones de archivo:

    • Archivos de configuración:.env,.config,.ini,.conf
    • Archivos de copia de seguridad:.bak,.old,.zip
    • Ficheros de registro:.log,.txt,. log.txt
    • Archivos de código fuente:.java,.py,.rb
    • Archivos de volcado de bases de datos:.sql,.dump
    • Scripts de copia de seguridad:.sh,.bat, .ps1
    • Claves privadas y certificados:.pem,.key, .p12,.crt

    Esta alerta puede requerir un ajuste basado en el uso de la aplicación web (es decir, si sirve alguna de las extensiones de archivo mencionadas). Las extensiones de archivo pueden añadirse o eliminarse y la condición de coincidencia puede ajustarse a un índice de ocurrencia más bajo o más alto para que coincida con el funcionamiento de la aplicación web.

  • Cloudflare - WAF - XSS Attack: Esta alerta detecta cuando puede producirse un ataque de Cross Site Scripting (XSS). Las alertas se basan en reglas WAF de Cloudflare activadas que contienen un determinado conjunto de palabras clave que representan ataques XSS, durante un periodo de tiempo determinado y en el contexto de una única dirección IP.

  • Cloudflare - WAF - SQLi Attack: Esta alerta detecta cuando puede producirse un ataque de inyección SQL (SQLi). Las alertas se basan en reglas WAF de Cloudflare activadas que contienen un determinado conjunto de palabras clave que representan ataques SQLi, durante un periodo de tiempo determinado y en el contexto de una única dirección IP.

  • Cloudflare - WAF - Remote Code Execution Attack: Esta alerta detecta cuándo podría producirse un ataque de ejecución remota de código (RCE) La alerta se basa en reglas WAF de Cloudflare activadas que contienen un determinado conjunto de palabras clave que representan ataques RCE, durante un periodo de tiempo determinado y en el contexto de una única dirección IP.

  • Empresa Cloudflare - WAF - Possible Bypass: Esta alerta detecta, basándose en una lógica específica, que podría indicar que el WAF de Cloudflare NO ESTÁ BLOQUEANDO peticiones potencialmente maliciosas. Esta alerta se basa en las puntuaciones de ataque WAF de Cloudflare que indican un ataque.

    La alerta se activará si la Acción WAF es "desconocida" Y NO "simular" Y la Puntuación de Ataque WAF está entre 1 y 50, indicando un ataque o probable ataque.

    Para obtener más información sobre la puntuación de ataque WAF de Cloudflare, consulte Puntuación de ataque WAF.

  • Cloudflare - WAF - Potential XSS Attack: Esta alerta se activará cuando haya un gran número de registros que contengan valores de Cloudflare WAF XSS Attack Score que indiquen un ataque (puntuación entre 1 y 20).

    Para obtener más información sobre la puntuación de ataque WAF de Cloudflare, consulte Puntuación de ataque WAF.

  • Cloudflare - WAF - Potential RCE Attack: Esta alerta se activará cuando haya un gran número de registros que contengan valores de Cloudflare WAF RCE Attack Score que indiquen un ataque (puntuación entre 1 y 20).

    Para obtener más información sobre la puntuación de ataque WAF de Cloudflare, consulte Puntuación de ataque WAF.

  • Cloudflare - WAF - Common Vulnerability Attack: Esta alerta se activa cuando los registros que contienen reglas WAF de Cloudflare activadas tienen menciones de un CVE durante un periodo de tiempo determinado en el contexto de una única dirección IP.

  • Cloudflare - WAF - Brute Force on Login URLs: Esta alerta se activa cuando se realiza un posible ataque de fuerza bruta contra una página de inicio de sesión.

    Los ataques de fuerza bruta en las páginas de inicio de sesión consisten en intentar sistemáticamente múltiples combinaciones de nombres de usuario y contraseñas hasta que se consigue un inicio de sesión satisfactorio. Esta técnica se basa en la suposición de que las credenciales débiles o de uso común pueden adivinarse mediante un exhaustivo proceso de prueba y error.

  • Cloudflare - WAF - DDoS Attack Detected: Esta alerta se activa cuando Cloudflare detecta un ataque de capa 7 DDoS ( L7 DDoS ). La protección de Denegación de Servicio Distribuida de Capa 7 de Cloudflare ( L7 DDoS ) detecta y mitiga los ataques dirigidos a la capa de aplicación de una aplicación web. Estos ataques pretenden saturar la aplicación o su infraestructura inundándola con un alto volumen de peticiones HTTP.

  • Cloudflare - WAF - Multiple Unknown Actions From Unique IPs: Esta alerta se activa cuando el cortafuegos de aplicaciones web (WAF) de Cloudflare registra varias acciones "desconocidas" distintas desde una única dirección IP en un breve espacio de tiempo.

    Deberá ajustar el umbral en función de los patrones de tráfico de su entorno.

Alertas DNS

  • Cloudflare - DNS - Excessive REFUSED Response Code Returned: Esta alerta detecta cuando se devuelve un número elevado de códigos de respuesta RECHAZADA como resultado de consultas DNS. El código de respuesta REFUSED indica que la consulta DNS ha fallado porque el servidor se ha negado a responder a la consulta. Esto podría deberse a razones políticas.

  • Cloudflare - DNS - Excessive SERVFAIL Response Code Returned: Esta alerta detecta cuando se devuelve un número elevado de códigos de respuesta SERVFAIL como resultado de consultas DNS. El código de respuesta SERVFAIL indica un fallo del servidor. Esto podría deberse a un problema técnico con los servidores DNS.

  • Cloudflare - DNS - High Number of NXDOMAIN Responses Returned: Esta alerta detecta cuando se devuelve un número elevado de códigos de respuesta NXDOMAIN como resultado de consultas DNS. El código de respuesta NXDOMAIN indica que el dominio consultado no existe.

  • Cloudflare - DNS - Anomalous Number of Uncommon DNS Record Types Observed: Esta alerta detecta cuando se ve un alto número de consultas DNS desde un host con tipos de registro poco comunes como TXT, PTR, y NULL.

    TXT: Indica un registro de texto. Estos registros se utilizan a menudo para la seguridad del correo electrónico. PTR: Proporciona un nombre de dominio en búsquedas inversas. NULL: Indica un registro de recurso nulo.

Alertas de auditoría

  • Cloudflare - Audit - No Logs From Cloudflare in The Last 10 Minutes: Esta alerta detecta cuando no hay registros vistos desde Cloudflare a la cuenta de usuario en los últimos 10 minutos.

  • Cloudflare - Audit - API Key Viewed: Esta alerta detecta cuando se visualiza el token API de toda la cuenta. Las claves API son el esquema de autorización anterior/legado para interactuar con la API de Cloudflare. Cloudflare recomienda utilizar tokens de API en lugar de claves de API siempre que sea posible. Cloudflare proporciona dos tipos de claves API:

    • Clave API global: Sirve como su clave de API principal.
    • Clave de CA de origen: Solo se utiliza al crear certificados de origen mediante la API.

  • Cloudflare - Audit - API Token Rolled: Esta alerta detecta cuando se enrolla un token de API de usuario de Cloudflare. Si pierdes o se pone en peligro tu token, puedes crear uno nuevo o cambiar tu token para generar un nuevo secreto. La conversión de su token de API en uno nuevo invalidará el token anterior, pero el acceso y los permisos serán los mismos que los del token de API anterior.

  • Cloudflare - Audit - API Token Created: Esta alerta detecta cuando se crea un token de API de usuario de Cloudflare. El uso de la API de Cloudflare requiere autenticación para que Cloudflare sepa quién realiza las solicitudes y qué permisos tiene.

  • Cloudflare - Audit - A Worker Was Updated: Esta alerta detecta cada vez que se actualiza un trabajador de Cloudflare existente. Un trabajador de Cloudflare es una plataforma para permitir que las funciones sin servidor se ejecuten lo más cerca posible del usuario final.

  • Cloudflare - Audit - A Worker Was Created: Esta alerta detecta cada vez que se crea un nuevo trabajador. Un trabajador de Cloudflare es una plataforma para permitir que las funciones sin servidor se ejecuten lo más cerca posible del usuario final.

  • Cloudflare - Audit - Account password changed: Esta alerta detecta cuando un usuario restablece la contraseña seleccionando la opción "¿Ha olvidado su contraseña?" en la página de inicio de sesión de la cuenta.

  • Cloudflare - Audit - Certificate Pack Created: Esta alerta se activa cuando un usuario crea un nuevo paquete de certificados de Cloudflare. Un paquete de certificados es un grupo de certificados SSL/TLS que comparten el mismo conjunto de nombres de host.

  • Cloudflare - Audit - A Firewall Rule Created or Updated: Esta alerta detecta cuándo se ha creado o actualizado una regla del Firewall de Cloudflare.

  • Cloudflare - Audit - Certificate Pack Expired: Esta alerta se activa cuando un paquete de certificados de Cloudflare está a punto de caducar o ha caducado. Un paquete de certificados es un grupo de certificados SSL/TLS que comparten el mismo conjunto de nombres de host.

  • Cloudflare - Audit - Firewall Rule Deleted: Esta alerta se activa cuando un usuario solicita la eliminación de un paquete de certificados de Cloudflare. Un paquete de certificados es un grupo de certificados SSL/TLS que comparten el mismo conjunto de nombres de host.

  • Cloudflare - Audit - DNS A Record Deleted: Esta alerta detecta cuando se ha borrado un registro de A.

    El registro A se utiliza principalmente para buscar direcciones en IPv4. Mediante un registro A, un navegador web puede cargar un sitio web utilizando el nombre de dominio.

  • Cloudflare - Audit - DNS NS Record Deleted: Esta alerta detecta cuando se ha eliminado un registro NS.

    Un registro de servidor de nombres (NS) especifica el servidor DNS autoritativo para un dominio. El registro NS ayuda a indicar dónde las aplicaciones de Internet, como un navegador web, pueden encontrar la dirección IP de un nombre de dominio. Normalmente se especifican varios servidores de nombres para un dominio.

  • Cloudflare - Audit - DNS AAAA Record Deleted: Esta alerta detecta cuando se ha borrado un registro de AAAA.

    El principal uso de los registros AAAA es la búsqueda de direcciones IPv6. Mediante un registro AAAA, un navegador web puede cargar un sitio web utilizando el nombre de dominio.

    Con un registro AAAA, un adversario puede crear un dominio personalizado o dirigir dominios existentes a una IP controlada por el atacante.

  • Cloudflare - Audit - DNS PTR Record Deleted: Esta alerta detecta cuando se ha borrado un registro de PTR.

    Los registros de puntero (PTR) proporcionan el nombre de dominio asociado a una dirección IP. Un registro DNS PTR es lo contrario de un registro A, que proporciona la dirección IP asociada a un nombre de dominio.

    Los registros DNS PTR se utilizan en búsquedas DNS inversas. Cuando un usuario intenta acceder a un nombre de dominio en su navegador, se produce una búsqueda DNS, que hace coincidir el nombre de dominio con la dirección IP. Una búsqueda DNS inversa es lo contrario de este proceso: es una consulta que comienza con la dirección IP y busca el nombre de dominio.

  • Cloudflare - Audit - DNS TXT Record Deleted: Esta alerta detecta cuando se ha borrado un registro de TXT.

    TXT son un tipo de registro DNS que contiene información de texto para fuentes externas a su dominio. Añada estos registros a la configuración de su dominio.

    Puede utilizar los registros TXT para diversos fines, como verificar la propiedad del dominio o la seguridad del correo electrónico (como los registros DKIM y SPF ).

  • Cloudflare - Audit - DNS MX Record Deleted: Esta alerta detecta cuando se ha borrado un registro de MX.

    Un registro de intercambio de correo (MX), es un tipo de registro DNS que muestra a dónde deben dirigirse los correos electrónicos de un dominio. En otras palabras, un registro MX permite dirigir correos electrónicos a un servidor de correo.

  • Cloudflare - Audit - DNS CAA Record Deleted: Esta alerta detecta cuando se ha borrado un registro de CAA.

    CAA permiten a los propietarios de dominios declarar qué autoridades de certificación están autorizadas a emitir un certificado para un dominio. También proporcionan un medio para indicar reglas de notificación en caso de que alguien solicite un certificado a una autoridad de certificación no autorizada. Si no hay ningún registro CAA, cualquier CA puede emitir un certificado para el dominio. Si hay un registro CAA, sólo las CA enumeradas en los registros pueden emitir certificados para ese nombre de host.

  • Cloudflare - Audit - DNS CNAME Record Deleted: Esta alerta detecta cuando se ha eliminado un registro CNAME.

    CNAME (nombre canónico) es un registro DNS que apunta un nombre de dominio (un alias) a otro dominio. En un registro CNAME, el alias no apunta a una dirección IP. El nombre de dominio al que apunta el alias es el nombre canónico.

  • Cloudflare - Audit - DNS AAAA Record Added or Updated: Esta alerta detecta la creación o actualización de un registro AAAA.

    El principal uso de los registros AAAA es la búsqueda de direcciones IPv6. Mediante un registro AAAA, un navegador web puede cargar un sitio web utilizando el nombre de dominio.

  • Cloudflare - Audit - DNS TXT Record Added or Updated: Esta alerta detecta la creación o actualización de un registro TXT.

    TXT son un tipo de registro DNS que contiene información de texto para fuentes externas a su dominio. Añada estos registros a la configuración de su dominio.

    Puede utilizar los registros TXT para diversos fines, como verificar la propiedad del dominio o la seguridad del correo electrónico (como los registros DKIM y SPF ).

  • Cloudflare - Audit - DNS MX Record Added or Updated: Esta alerta detecta la creación o actualización de un registro MX.

    Un registro de intercambio de correo (MX), es un tipo de registro DNS que muestra hacia dónde deben dirigirse los correos electrónicos de un dominio. Un registro MX permite dirigir correos electrónicos a un servidor de correo.

  • Cloudflare - Audit - DNS PTR Record Added or Updated: Esta alerta detecta la creación o actualización de un registro PTR.

    Los registros de puntero (PTR) proporcionan el nombre de dominio asociado a una dirección IP. Un registro DNS PTR es exactamente lo contrario de un registro A, que proporciona la dirección IP asociada a un nombre de dominio.

    Los registros DNS PTR se utilizan en búsquedas DNS inversas. Cuando un usuario intenta acceder a un nombre de dominio en su navegador, se produce una búsqueda DNS, que hace coincidir el nombre de dominio con la dirección IP. Una búsqueda DNS inversa es lo contrario de este proceso: es una consulta que comienza con la dirección IP y busca el nombre de dominio.

  • Cloudflare - Audit - DNS CNAME Record Added or Updated: Esta alerta detecta la creación o actualización de un registro CNAME.

    CNAME (nombre canónico) es un registro DNS que apunta un nombre de dominio (un alias) a otro dominio. En un registro CNAME, el alias no apunta a una dirección IP. Y el nombre de dominio al que apunta el alias es el nombre canónico.

  • Cloudflare - Audit - DNS NS Record Added or Updated: Esta alerta detecta la creación o actualización de un registro NS.

    Un registro de servidor de nombres (NS) especifica el servidor DNS autoritativo para un dominio. El registro NS indica dónde las aplicaciones de Internet, como un navegador web, pueden encontrar la dirección IP de un nombre de dominio. Normalmente se especifican varios servidores de nombres para un dominio.

  • Cloudflare - Audit - DNS CAA Record Added or Updated: Esta alerta detecta la creación o actualización de un registro CAA.

    CAA permiten a los propietarios de dominios declarar qué autoridades de certificación están autorizadas a emitir un certificado para un dominio. También proporcionan un medio para indicar reglas de notificación en caso de que alguien solicite un certificado a una autoridad de certificación no autorizada. Si no hay ningún registro CAA, cualquier CA puede emitir un certificado para el dominio. Si hay un registro CAA, sólo las CA enumeradas en el registro pueden emitir certificados para ese nombre de host.

  • Cloudflare - Audit - DNS A Record Added: Esta alerta se activa cuando se añade un registro DNS A.

Reglas

Se proporciona una regla que hace lo siguiente:

  • Extrae la marca de tiempo del evento a la marca de tiempo IBM Cloud Logs
  • Extrae la EdgeResponseStatus a la IBM Cloud Logs gravedad

Eventos a métricas

Puede desplegar cualquiera de los siguientes eventos en las configuraciones de métricas. Para obtener más información sobre las métricas creadas, consulte las definiciones de eventos a métricas.

Estas configuraciones de eventos a métricas son utilizadas por los cuadros de mando de la extensión. Si a un cuadro de mando le faltan datos, asegúrese de que la configuración de eventos a métricas está desplegada y funciona correctamente para su entorno.

  • Cloudflare_WAF_Client_Request_Metrics: Métricas de solicitud de cliente WAF de Cloudflare
  • Cloudflare_WAF_Attack_Scores_Metrics: Métricas de puntuación de ataques WAF de Cloudflare
  • Cloudflare_WAF_Client_GeoIP_Metric: Métricas del cliente WAF de Cloudflare geoIP
  • Cloudflare_WAF_Rules_Responses_Metrics: Métricas de respuesta a las reglas WAF de Cloudflare
  • Cloudflare_DNS_Metrics: Métricas de Cloudflare para métricas DNS

Enriquecimientos

Puede desplegar cualquiera de los 3 enriquecimientos.

  • Geo enrichment: Enriquece tus registros con datos de ubicación convirtiendo automáticamente las IP en puntos geográficos que pueden utilizarse para agregar registros por ubicación.
  • Cloudflare DNS - DNS Record Types: Enriquezca sus datos con información sobre el tipo de registro DNS.
  • Cloudflare DNS - DNS Response Codes: Enriquezca sus datos con información sobre el código de respuesta DNS.