Extension Cloudflare

Dans IBM Cloud Logs, vous pouvez utiliser l'extension Cloudflare pour obtenir des informations sur la sécurité en utilisant les journaux générés dans un compte IBM Cloud.

Cloudflare est un fournisseur d'infrastructure internet qui propose des services tels qu'un DNS, un réseau de diffusion de contenu (CDN) et de nombreux autres services supplémentaires pour rendre les sites web plus rapides et plus sûrs. Cloudflare agit en tant qu'intermédiaire entre un client et un serveur, en utilisant un proxy inverse pour refléter et mettre en cache les sites web. En stockant le contenu web sur le serveur périphérique le plus proche, il est possible d'optimiser les temps de chargement. C'est également grâce à cette conception intermédiaire que Cloudflare offre un niveau de filtrage pour la sécurité. En se plaçant entre le client et le serveur d'hébergement, il peut détecter le trafic malveillant, intercepter les attaques par déni de service distribué, détourner les attaques des robots, supprimer le trafic des robots et limiter le spam.

Les journaux d'audit de Cloudflare résument l'historique des modifications apportées à votre compte Cloudflare. Les journaux d'audit comprennent les actions au niveau du compte, telles que la connexion et la déconnexion, les changements d'enregistrements DNS, les changements de jetons API, les changements de règles de pare-feu, etc.

Ce que cette extension déploie

Cette extension comprend un ou plusieurs éléments.

Éléments inclus dans le déploiement de l'extension
Inclut Nombre
Alertes 51
tableaux de bord 3
Enrichissements 3
Événements à mesurer 5
Rules 1
Vues 0

Avant de déployer cette extension, assurez-vous que le déploiement de l'extension ne vous fera pas dépasser les limites de votre instance IBM Cloud Logs. Si le déploiement de l'extension entraîne un dépassement des limites, le déploiement échouera.

Déploiement de l'extension

Vous pouvez déployer cette extension dans n'importe quelle instance IBM Cloud Logs qui collecte les journaux Cloudflare. L'extension Cloudflare comprend des alertes et des tableaux de bord pour les services Cloudflare suivants : WAF, DNS, et Audit.

Les alertes et les tableaux de bord de Cloudflare WAF sont basés sur différents scénarios d'attaque. Certaines sont basées sur la fonction Cloudflare WAF Attack Score, qui doit être activée en fonction du plan d'abonnement au service Cloudflare. Si la fonction n'est pas activée, certaines alertes et certains tableaux de bord ne fonctionneront pas, car le système ne disposera pas des journaux pertinents à surveiller.

Pour plus d'informations sur le déploiement de l'extension, voir Déploiement, gestion et suppression des extensions IBM Cloud Logs.

Après le déploiement, vérifiez que la configuration de l'extension traite les données d'une manière qui correspond à la configuration du TCO de votre instance IBM Cloud Logs. Les alertes, les tableaux de bord et les événements relatifs aux mesures sont des fonctions disponibles pour les données traitées par les pipelines de données Analyser et alerter et Informations de priorité. Après avoir déployé l'extension, assurez-vous que la configuration répond à vos besoins. Par exemple, si vous avez des politiques TCO envoyant des données au pipeline Analyser et alerter, vous devrez modifier le tableau de bord configuré par cette extension pour utiliser les données Analyze and Alert au lieu de Informations de priorité.

Tableau de bord

Trois tableaux de bord fournissent des données sur les journaux de Cloudflare.

Les tableaux de bord sont basés sur la fonction "Events to Metrics". Les événements vers les métriques requis sont inclus dans cette extension mais nécessitent la configuration d'un panier de métriques IBM Cloud Logs pour que les tableaux de bord fonctionnent.

Aperçu du WAF de Cloudflare

Ce tableau de bord fournit une vue d'ensemble des informations de Cloudflare WAF. Le tableau de bord comprend

  • WAF les événements dans le temps
  • WAF trafic par principales adresses IP
  • WAF trafic par hôtes les plus demandés
  • WAF trafic par URL les plus demandés
  • Mesures de sécurité prises par WAF
  • Top WAF règles
  • Principaux agents utilisateurs
  • Codes de réponse de l'origine du bord
  • Pays d'origine
  • WAF distribution des scores d'attaque
  • WAF RCE distribution des scores d'attaque
  • WAF XSS distribution des scores d'attaque
  • WAF SQLi distribution des scores d'attaque

Cloudflare - DNS - Vue d'ensemble

Ce tableau de bord fournit une vue d'ensemble des informations de Cloudflare DNS. Le tableau de bord comprend

  • DNS activité sur le temps - par colocation
  • DNS l'activité dans le temps - par type de requête
  • DNS activité dans le temps - par code de réponse
  • DNS distribution du code de réponse de la requête
  • DNS répartition des types de requêtes
  • Principaux domaines DNS interrogés
  • Principales adresses IP sources
  • Principales adresses IP sources de toutes les requêtes DNS au cours de la période sélectionnée
  • Dernières requêtes DNS
  • Haut de page Enregistrement A interrogé
  • Demande d'information sur le meilleur dossier AAAA
  • Enregistrement NS supérieur interrogé
  • Enregistrement CNAME supérieur interrogé
  • Enregistrement MX supérieur interrogé
  • Enregistrement TXT supérieur interrogé

Cloudflare - Audit - Tableau de bord général

Ce tableau de bord fournit une vue d'ensemble des informations d'audit de Cloudflare. Le tableau de bord comprend

  • Journaux d'audit - par type de ressource
  • Principaux acteurs
  • Répartition des types de ressources
  • Dernière activité de l'utilisateur
  • Dernière activité de l'appareil du client
  • Dernière activité du pack de certificats

Alertes

Vous pouvez déployer l'une des alertes suivantes.

Alertes WAF

Enterprise- Les alertes avec ce tag requièrent que votre plan Cloudflare soit au moins au niveau Enterprise. Ces alertes ne se déclenchent pas pour les plans Cloudflare inférieurs au niveau Entreprise.

  • Cloudflare - WAF - A New Client Request Host Detected: Cette alerte est détectée lorsqu'un nouvel hôte est demandé par le client. Cette alerte sera active (après avoir été déployée) après la fenêtre de temps configurée pour l'alerte, qui est de 7 jours. Cela permet à l'algorithme de s'entraîner sur les nouvelles valeurs des clés suivies, de capturer la ligne de base et d'éviter les fausses notifications.

  • Cloudflare - WAF - High error ratio of 5xx origin response, over 5% in 30min: Cette alerte est détectée lorsque les codes d'erreur de réponse d'origine 5xx dépassent 5 % du nombre total de codes d'état de réponse d'origine en 30 minutes. Cette alerte calculera le rapport entre le code d'erreur 5xx et le nombre total de codes de réponse en 30 minutes. Si le ratio dépasse 5 %, il sera déclenché. La réponse d'origine indique que la réponse d'erreur a été générée par votre serveur web d'origine.

  • Cloudflare - WAF - More than usual 5xx edge response errors (at least 10): Cette alerte détecte les erreurs de réponse au bord du site 5xx qui dépassent le nombre habituel. Si le code d'état dépasse la valeur seuil de 10 au-dessus du nombre habituel, l'alerte est déclenchée. Le "nombre habituel" est calculé par l'algorithme de manière dynamique sur la base des données des 7 jours précédents. L'algorithme a besoin d'une semaine pour apprendre le schéma de circulation. Le code d'état de la réponse Edge est un code de réponse HTTP envoyé par Cloudflare au client (utilisateur final).

    Étant donné que cette alerte ne commencera à être déclenchée qu'une semaine après son déploiement, les utilisateurs peuvent également utiliser l'alerte similaire Cloudflare - High error ratio of 5xx edge response, over 5% in 30min. Cette alerte commencera à signaler les anomalies dès qu'elle sera déployée.

  • Cloudflare - WAF - More than usual 4xx origin response errors (at least 10): Cette alerte détecte les erreurs de réponse à l'origine de 4xx qui dépassent le nombre habituel. Si le code d'état dépasse la valeur seuil de 10 au-dessus du nombre habituel, l'alerte est déclenchée. Le "nombre habituel" est calculé par l'algorithme de manière dynamique sur la base des données des 7 jours précédents. L'algorithme a besoin d'une semaine pour apprendre le schéma de circulation. Le code d'état de la réponse d'origine est un code de réponse HTTP envoyé par le serveur d'origine à Cloudflare.

  • Cloudflare - WAF - More than usual 4xx edge response errors (at least 10): Cette alerte détecte les erreurs de réponse au bord du site 4xx qui dépassent le nombre habituel. Si le code d'état dépasse la valeur seuil de 10 au-dessus du nombre habituel, l'alerte est déclenchée. Le "nombre habituel" est calculé par l'algorithme de manière dynamique sur la base des données des 7 jours précédents. L'algorithme a besoin d'une semaine pour apprendre le schéma de circulation. Le code d'état de la réponse Edge est un code de réponse HTTP envoyé par Cloudflare au client (utilisateur final).

    Étant donné que cette alerte ne commencera à être déclenchée qu'une semaine après son déploiement, les utilisateurs peuvent également utiliser l'alerte similaire Cloudflare - High error ratio of 4xx edge response, over 15% in 30min. Cette alerte commencera à signaler les anomalies dès qu'elle sera déployée.

  • Cloudflare - WAF - More than usual 5xx origin response errors (at least 10): Cette alerte détecte les erreurs de réponse à l'origine de 5xx qui dépassent le nombre habituel. Si le code d'état dépasse la valeur seuil de 10 au-dessus du nombre habituel, l'alerte est déclenchée. Le "nombre habituel" est calculé par l'algorithme de manière dynamique sur la base des données des 7 jours précédents. L'algorithme a besoin d'une semaine pour apprendre le schéma de circulation. La réponse d'origine indique que la réponse d'erreur a été générée par votre serveur web d'origine.

    Étant donné que cette alerte ne commencera à être déclenchée qu'une semaine après son déploiement, les utilisateurs peuvent également utiliser l'alerte similaire Cloudflare - High error ratio of 5xx origin response, over 5% in 30min. Cette alerte commencera à signaler les anomalies dès qu'elle sera déployée.

  • Cloudflare - WAF - High Volume of Bot Requests: Cette alerte détecte un volume élevé de requêtes de robots. Un bot est un programme autonome sur un réseau qui peut interagir avec des systèmes informatiques ou des utilisateurs, en imitant ou en remplaçant le comportement d'un utilisateur humain et en effectuant des tâches répétitives.

  • Entreprise Cloudflare - WAF - Potential SQLi Attack: Cette alerte se déclenche lorsqu'un grand nombre de journaux contenant des valeurs de Cloudflare WAF SQLi Attack Score indiquent une attaque (score entre 1 et 20). Pour plus d'informations sur le score d'attaque du WAF de Cloudflare, voir Score d'attaque du WAF.

  • Cloudflare - WAF - Possible Information Disclosure: Cette alerte est détectée lorsqu'une requête GET HTTP (réponse 2XX ) réussie cible un URL qui se termine par un ensemble d'extensions de fichiers spécifiques (tels que les fichiers txt ) qui peuvent contenir des informations qui ne devraient pas être divulguées directement sur l'internet.

    Les extensions de fichiers suivantes sont détectées par cette alerte :

    • Fichiers de configuration :.env,.config,.ini,.conf
    • Fichiers de sauvegarde :.bak,.old,.zip
    • Fichiers journaux :.log,.txt,. log.txt
    • Fichiers de code source :.java,.py,.rb
    • Fichiers de vidage de la base de données :.sql,.dump
    • Scripts de sauvegarde :.sh,.bat, .ps1
    • Clés privées et certificats :.pem,.key, .p12,.crt

    Cette alerte peut nécessiter un réglage en fonction de l'utilisation de l'application web (c'est-à-dire si elle utilise l'une des extensions de fichiers mentionnées). Les extensions de fichiers peuvent être ajoutées ou supprimées et la condition de correspondance peut être réglée sur un taux d'occurrence plus ou moins élevé pour correspondre au fonctionnement de l'application web.

  • Cloudflare - WAF - XSS Attack: Cette alerte détecte la possibilité d'une attaque de type Cross Site Scripting (XSS). L'alerte est basée sur des règles Cloudflare WAF déclenchées qui contiennent un certain ensemble de mots-clés représentant des attaques XSS, sur une période de temps déterminée, et dans le contexte d'une seule adresse IP.

  • Cloudflare - WAF - SQLi Attack: Cette alerte détecte la possibilité d'une attaque par injection SQL (SQLi). L'alerte est basée sur des règles Cloudflare WAF déclenchées qui contiennent un certain ensemble de mots-clés représentant des attaques SQLi, sur une période déterminée et dans le contexte d'une seule adresse IP.

  • Cloudflare - WAF - Remote Code Execution Attack: Cette alerte détecte lorsqu'une attaque par exécution de code à distance (RCE) pourrait avoir lieu. L'alerte est basée sur les règles Cloudflare WAF déclenchées qui contiennent un certain ensemble de mots-clés représentant des attaques RCE, sur une période de temps déterminée, et dans le contexte d'une seule adresse IP.

  • Entreprise Cloudflare - WAF - Possible Bypass: Cette alerte détecte, sur la base d'une logique spécifique, ce qui pourrait indiquer que le WAF de Cloudflare ne bloque PAS les requêtes potentiellement malveillantes. Cette alerte est basée sur les scores d'attaque du WAF de Cloudflare indiquant une attaque.

    L'alerte se déclenche si l'action WAF est "inconnue" ET NON "simuler" ET si le score d'attaque WAF est compris entre 1 et 50, ce qui indique une attaque ou une attaque probable.

    Pour plus d'informations sur le score d'attaque du WAF de Cloudflare, voir Score d'attaque du WAF.

  • Cloudflare - WAF - Potential XSS Attack: Cette alerte se déclenche lorsqu'un grand nombre de journaux contiennent des valeurs de score d'attaque XSS du WAF Cloudflare indiquant une attaque (score compris entre 1 et 20).

    Pour plus d'informations sur le score d'attaque du WAF de Cloudflare, voir Score d'attaque du WAF.

  • Cloudflare - WAF - Potential RCE Attack: Cette alerte se déclenche lorsqu'un grand nombre de journaux contiennent des valeurs de score d'attaque Cloudflare WAF RCE qui indiquent une attaque (score compris entre 1 et 20).

    Pour plus d'informations sur le score d'attaque du WAF de Cloudflare, voir Score d'attaque du WAF.

  • Cloudflare - WAF - Common Vulnerability Attack: Cette alerte se déclenche lorsque les journaux contenant les règles Cloudflare WAF déclenchées comportent des mentions d'un CVE sur une période déterminée dans le contexte d'une seule adresse IP.

  • Cloudflare - WAF - Brute Force on Login URLs: Cette alerte se déclenche lorsqu'une attaque par force brute est effectuée contre une page de connexion.

    Les attaques par force brute sur les pages de connexion consistent à tenter systématiquement plusieurs combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'une connexion réussisse. Cette technique repose sur l'hypothèse que les identifiants faibles ou couramment utilisés peuvent être devinés par des essais et des erreurs exhaustifs.

  • Cloudflare - WAF - DDoS Attack Detected: Cette alerte se déclenche lorsque Cloudflare détecte une attaque de la couche 7 DDoS ( L7 DDoS ). La protection contre les dénis de service distribués de la couche 7 de Cloudflare ( L7 DDoS ) détecte et atténue les attaques ciblant la couche applicative d'une application web. Ces attaques visent à submerger l'application ou son infrastructure en l'inondant d'un volume élevé de demandes HTTP.

  • Cloudflare - WAF - Multiple Unknown Actions From Unique IPs: Cette alerte se déclenche lorsque le Web Application Firewall (WAF) de Cloudflare enregistre plusieurs actions "inconnues" distinctes provenant d'une seule adresse IP dans un court laps de temps.

    Vous devrez affiner le seuil en fonction des schémas de trafic de votre environnement.

Alertes DNS

  • Cloudflare - DNS - Excessive REFUSED Response Code Returned: Cette alerte est détectée lorsqu'un nombre élevé de codes de réponse REFUSED sont renvoyés à la suite de requêtes DNS. Le code de réponse REFUSED indique que la requête DNS a échoué parce que le serveur a refusé de répondre à la requête. Cela pourrait être dû à des raisons politiques.

  • Cloudflare - DNS - Excessive SERVFAIL Response Code Returned: Cette alerte est détectée lorsqu'un nombre élevé de codes de réponse SERVFAIL sont renvoyés à la suite de requêtes DNS. Le code de réponse SERVFAIL indique une défaillance du serveur. Cela peut être dû à un problème technique avec les serveurs DNS.

  • Cloudflare - DNS - High Number of NXDOMAIN Responses Returned: Cette alerte est détectée lorsqu'un nombre élevé de codes de réponse NXDOMAIN sont renvoyés à la suite de requêtes DNS. Le code de réponse NXDOMAIN indique que le domaine interrogé n'existe pas.

  • Cloudflare - DNS - Anomalous Number of Uncommon DNS Record Types Observed: Cette alerte détecte un nombre élevé de requêtes DNS provenant d'un hôte avec des types d'enregistrements peu communs tels que TXT, PTR, et NULL.

    TXT: Indique un enregistrement de texte. Ces enregistrements sont souvent utilisés pour la sécurité du courrier électronique. PTR: Fournit un nom de domaine dans les recherches inversées. NULL: Indique un enregistrement de ressource nul.

Alertes d'audit

  • Cloudflare - Audit - No Logs From Cloudflare in The Last 10 Minutes: Cette alerte détecte l'absence de journaux provenant de Cloudflare vers le compte de l'utilisateur au cours des 10 dernières minutes.

  • Cloudflare - Audit - API Key Viewed: Cette alerte détecte la consultation du jeton API de l'ensemble du compte. Les clés d'API sont le schéma d'autorisation précédent/légitime pour interagir avec l'API de Cloudflare. Cloudflare recommande d'utiliser des jetons d'API plutôt que des clés d'API dans la mesure du possible. Cloudflare fournit deux types de clés API :

    • Clé API globale : Sert de clé API principale.
    • Clé de l'autorité de certification d'origine : Utilisé uniquement lors de la création de certificats d'origine à l'aide de l'API.

  • Cloudflare - Audit - API Token Rolled: Cette alerte détecte lorsqu'un jeton d'API d'utilisateur Cloudflare est roulé. Si votre jeton est perdu ou compromis, vous pouvez soit créer un nouveau jeton, soit utiliser votre jeton pour générer un nouveau secret. La conversion de votre jeton API en un nouveau jeton invalidera le jeton précédent, mais l'accès et les autorisations seront les mêmes que pour le jeton API précédent.

  • Cloudflare - Audit - API Token Created: Cette alerte détecte la création d'un jeton API d'utilisateur Cloudflare. L'utilisation de l'API de Cloudflare nécessite une authentification afin que Cloudflare sache qui effectue les requêtes et quelles sont les autorisations dont vous disposez.

  • Cloudflare - Audit - A Worker Was Updated: Cette alerte est détectée à chaque fois qu'un travailleur Cloudflare existant est mis à jour. Un worker Cloudflare est une plateforme permettant aux fonctions sans serveur de s'exécuter au plus près de l'utilisateur final.

  • Cloudflare - Audit - A Worker Was Created: Cette alerte est détectée à chaque fois qu'un nouveau travailleur est créé. Un worker Cloudflare est une plateforme permettant aux fonctions sans serveur de s'exécuter au plus près de l'utilisateur final.

  • Cloudflare - Audit - Account password changed: Cette alerte est détectée lorsqu'un utilisateur réinitialise son mot de passe en sélectionnant l'option "Mot de passe oublié" sur la page de connexion du compte.

  • Cloudflare - Audit - Certificate Pack Created: Cette alerte est déclenchée dans le cas où un nouveau Cloudflare Certificate Pack est créé par un utilisateur. Un paquet de certificats est un groupe de certificats SSL/TLS qui partagent le même ensemble de noms d'hôtes.

  • Cloudflare - Audit - A Firewall Rule Created or Updated: Cette alerte détecte la création ou la mise à jour d'une règle de pare-feu Cloudflare.

  • Cloudflare - Audit - Certificate Pack Expired: Cette alerte est déclenchée lorsqu'un pack de certificats Cloudflare est sur le point d'expirer ou a expiré. Un paquet de certificats est un groupe de certificats SSL/TLS qui partagent le même ensemble de noms d'hôtes.

  • Cloudflare - Audit - Firewall Rule Deleted: Cette alerte est déclenchée lorsqu'un utilisateur demande la suppression d'un pack de certificats Cloudflare. Un paquet de certificats est un groupe de certificats SSL/TLS qui partagent le même ensemble de noms d'hôtes.

  • Cloudflare - Audit - DNS A Record Deleted: Cette alerte détecte la suppression d'un enregistrement A.

    L'enregistrement A sert principalement à rechercher l'adresse IPv4. Grâce à un enregistrement A, un navigateur web peut charger un site web utilisant le nom de domaine.

  • Cloudflare - Audit - DNS NS Record Deleted: Cette alerte détecte la suppression d'un enregistrement NS.

    Un enregistrement de serveur de noms (NS) spécifie le serveur DNS faisant autorité pour un domaine. L'enregistrement NS permet d'indiquer où les applications internet, telles qu'un navigateur web, peuvent trouver l'adresse IP d'un nom de domaine. Plusieurs serveurs de noms sont généralement spécifiés pour un domaine.

  • Cloudflare - Audit - DNS AAAA Record Deleted: Cette alerte détecte la suppression d'un enregistrement AAAA.

    Les enregistrements AAAA sont principalement utilisés pour la recherche d'adresses IPv6. Grâce à un enregistrement AAAA, un navigateur web peut charger un site web utilisant le nom de domaine.

    Avec un enregistrement AAAA, un adversaire peut créer un domaine personnalisé ou faire pointer des domaines existants vers une IP contrôlée par l'attaquant.

  • Cloudflare - Audit - DNS PTR Record Deleted: Cette alerte détecte la suppression d'un enregistrement PTR.

    Les enregistrements de pointeurs (PTR) fournissent le nom de domaine associé à une adresse IP. Un enregistrement DNS PTR est le contraire d'un enregistrement A, qui fournit l'adresse IP associée à un nom de domaine.

    Les enregistrements DNS PTR sont utilisés dans les recherches DNS inversées. Lorsqu'un utilisateur tente d'accéder à un nom de domaine dans son navigateur, une recherche DNS se produit, faisant correspondre le nom de domaine à l'adresse IP. Une recherche DNS inversée est l'inverse de ce processus : il s'agit d'une requête qui part de l'adresse IP et recherche le nom de domaine.

  • Cloudflare - Audit - DNS TXT Record Deleted: Cette alerte détecte la suppression d'un enregistrement TXT.

    TXT sont un type d'enregistrement DNS qui contient des informations textuelles pour des sources extérieures à votre domaine. Vous ajoutez ces enregistrements aux paramètres de votre domaine.

    Vous pouvez utiliser les enregistrements TXT à diverses fins, par exemple pour vérifier la propriété d'un domaine ou la sécurité du courrier électronique (comme les enregistrements DKIM et SPF ).

  • Cloudflare - Audit - DNS MX Record Deleted: Cette alerte détecte la suppression d'un enregistrement MX.

    Un enregistrement d'échange de courrier (MX) est un type d'enregistrement DNS qui indique où les courriers électroniques d'un domaine doivent être acheminés. En d'autres termes, un enregistrement MX permet de diriger les courriels vers un serveur de messagerie.

  • Cloudflare - Audit - DNS CAA Record Deleted: Cette alerte détecte la suppression d'un enregistrement CAA.

    CAA permettent aux propriétaires de domaines de déclarer quelles autorités de certification sont autorisées à délivrer un certificat pour un domaine. Ils permettent également d'indiquer les règles de notification au cas où quelqu'un demanderait un certificat à une autorité de certification non autorisée. Si aucun enregistrement CAA n'est présent, n'importe quelle autorité de certification est autorisée à délivrer un certificat pour le domaine. Si un enregistrement CAA est présent, seules les autorités de certification répertoriées dans les enregistrements sont autorisées à délivrer des certificats pour ce nom d'hôte.

  • Cloudflare - Audit - DNS CNAME Record Deleted: Cette alerte détecte la suppression d'un enregistrement CNAME.

    CNAME (nom canonique) est un enregistrement DNS qui pointe un nom de domaine (un alias) vers un autre domaine. Dans un enregistrement CNAME, l'alias ne pointe pas vers une adresse IP. Le nom de domaine vers lequel pointe l'alias est le nom canonique.

  • Cloudflare - Audit - DNS AAAA Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement AAAA.

    Les enregistrements AAAA sont principalement utilisés pour la recherche d'adresses IPv6. Grâce à un enregistrement AAAA, un navigateur web peut charger un site web utilisant le nom de domaine.

  • Cloudflare - Audit - DNS TXT Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement TXT.

    TXT sont un type d'enregistrement DNS qui contient des informations textuelles pour des sources extérieures à votre domaine. Vous ajoutez ces enregistrements aux paramètres de votre domaine.

    Vous pouvez utiliser les enregistrements TXT à diverses fins, par exemple pour vérifier la propriété d'un domaine ou la sécurité du courrier électronique (comme les enregistrements DKIM et SPF ).

  • Cloudflare - Audit - DNS MX Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement MX.

    Un enregistrement d'échange de courrier (MX) est un type d'enregistrement DNS qui indique où les courriers électroniques d'un domaine doivent être acheminés. Un enregistrement MX permet de diriger les courriers électroniques vers un serveur de messagerie.

  • Cloudflare - Audit - DNS PTR Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement PTR.

    Les enregistrements de pointeurs (PTR) fournissent le nom de domaine associé à une adresse IP. Un enregistrement DNS PTR est exactement le contraire d'un enregistrement A, qui fournit l'adresse IP associée à un nom de domaine.

    Les enregistrements DNS PTR sont utilisés dans les recherches DNS inversées. Lorsqu'un utilisateur tente d'accéder à un nom de domaine dans son navigateur, une recherche DNS se produit, faisant correspondre le nom de domaine à l'adresse IP. Une recherche DNS inversée est l'inverse de ce processus : il s'agit d'une requête qui part de l'adresse IP et recherche le nom de domaine.

  • Cloudflare - Audit - DNS CNAME Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement CNAME.

    CNAME (nom canonique) est un enregistrement DNS qui pointe un nom de domaine (un alias) vers un autre domaine. Dans un enregistrement CNAME, l'alias ne pointe pas vers une adresse IP. Le nom de domaine vers lequel pointe l'alias est le nom canonique.

  • Cloudflare - Audit - DNS NS Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement NS.

    Un enregistrement de serveur de noms (NS) spécifie le serveur DNS faisant autorité pour un domaine. L'enregistrement NS indique où les applications internet, comme un navigateur web, peuvent trouver l'adresse IP d'un nom de domaine. Plusieurs serveurs de noms sont généralement spécifiés pour un domaine.

  • Cloudflare - Audit - DNS CAA Record Added or Updated: Cette alerte détecte la création ou la mise à jour d'un enregistrement CAA.

    CAA permettent aux propriétaires de domaines de déclarer quelles autorités de certification sont autorisées à délivrer un certificat pour un domaine. Ils permettent également d'indiquer les règles de notification au cas où quelqu'un demanderait un certificat à une autorité de certification non autorisée. Si aucun enregistrement CAA n'est présent, n'importe quelle autorité de certification est autorisée à délivrer un certificat pour le domaine. Si un enregistrement CAA est présent, seules les autorités de certification répertoriées dans le(s) enregistrement(s) sont autorisées à délivrer des certificats pour ce nom d'hôte.

  • Cloudflare - Audit - DNS A Record Added: Cette alerte se déclenche lorsqu'un enregistrement DNS A est ajouté.

Rules

Une règle est fournie qui fait ce qui suit :

  • Extraction de l'horodatage de l'événement vers l'horodatage IBM Cloud Logs
  • Extrait la sévérité de EdgeResponseStatus à IBM Cloud Logs

Événements à mesurer

Vous pouvez déployer l'un des événements suivants dans les configurations de métriques. Pour plus d'informations sur les mesures créées, voir les définitions des événements et des mesures.

Ces événements vers les configurations de métriques sont utilisés par les tableaux de bord de l'extension. Si un tableau de bord manque de données, assurez-vous que la configuration des événements et des mesures est déployée et fonctionne correctement dans votre environnement.

  • Cloudflare_WAF_Client_Request_Metrics: Mesures des requêtes des clients du WAF de Cloudflare
  • Cloudflare_WAF_Attack_Scores_Metrics: Mesures des scores d'attaque du WAF de Cloudflare
  • Cloudflare_WAF_Client_GeoIP_Metric: Client Cloudflare WAF geoIP metrics
  • Cloudflare_WAF_Rules_Responses_Metrics: Mesures des réponses aux règles du WAF de Cloudflare
  • Cloudflare_DNS_Metrics: Les métriques Cloudflare pour les métriques DNS

Enrichissements

Vous pouvez déployer n'importe lequel des trois enrichissements.

  • Geo enrichment: Enrichissez vos journaux avec des données de localisation en convertissant automatiquement les adresses IP en points géographiques qui peuvent être utilisés pour agréger les journaux par emplacement.
  • Cloudflare DNS - DNS Record Types: Enrichissez vos données avec des informations sur le type d'enregistrement DNS.
  • Cloudflare DNS - DNS Response Codes: Enrichissez vos données avec des informations sur le code de réponse DNS.