Cloudflareエクステンション

クラウドフレアWAFインサイト

このダッシュボードはCloudflare WAF のインサイトの概要を提供します。 ダッシュボードは以下の通り：

• WAF 経年変化
• WAF 送信元IP数上位のトラフィック
• WAF リクエスト上位ホスト別トラフィック
• WAF リクエスト上位URL別トラフィック
• セキュリティ対策 WAF
• トップ WAF ルール
• トップ・ユーザー・エージェント
• エッジ・オリジン・レスポンスコード
• ソース国
• WAF 攻撃スコアの分布
• WAF RCE 攻撃スコアの分布
• WAF XSS 攻撃スコアの分布
• WAF SQLi 攻撃スコアの分布

Cloudflare - DNS - 概要

このダッシュボードはCloudflare DNS のインサイトの概要を提供します。 ダッシュボードは以下の通り：

• DNS タイでの活動 - コロケーション別
• DNS アクティビティの経年変化 - クエリータイプ別
• DNS 活動の経年変化 - 回答コード別
• DNS クエリーレスポンスコード分布
• DNS クエリータイプの分布
• トップクエリDNSドメイン
• トップソースIP
• 選択した時間枠内のすべてのDNSクエリの上位ソースIP
• 最新のDNSクエリー
• 照会されたトップAレコード
• トップAAAAレコードを照会
• 照会されたNSレコードのトップ
• 照会されたCNAMEレコードのトップ
• トップMXレコード
• 照会されたTXTレコードのトップ

Cloudflare - 監査 - 概要ダッシュボード

このダッシュボードは、Cloudflare監査インサイトの概要を提供します。 ダッシュボードは以下の通り：

• 監査ログ - リソースタイプ別
• トップ俳優
• 資源タイプの分布
• 最新のユーザー活動
• 最新のクライアント・デバイスのアクティビティ
• 最新のサーティフィケート・パック活動

WAFアラート

Enterprise- このタグが付いたアラートには、Cloudflareプランが少なくともエンタープライズレベルであることが必要です。 これらのアラートは、エンタープライズレベル未満のCloudflareプランではトリガーされません。

• Cloudflare - WAF - A New Client Request Host Detected:このアラートは、クライアントから新しいホストが要求されたときに検出される。 このアラートは、設定されたアラート時間ウィンドウ（7日間）の後に（配置された後）アクティブになります。 これは、アルゴリズムが追跡されたキーの新しい値で学習し、ベースラインを把握し、誤った通知を防ぐためである。

• Cloudflare - WAF - High error ratio of 5xx origin response, over 5% in 30min:このアラートは、 5xx 原点応答エラーコードが30分間に原点応答ステータスコードの総カウント数の5％を超えた場合に検出されます。 このアラートでは、30分間におけるエラーコード 5xx とレスポンスコード全体の数の比率を計算します。 比率が5％を超えると発動される。 オリジン・レスポンスは、エラー・レスポンスがオリジン・ウェブ・サーバーによって生成されたことを示します。

• Cloudflare - WAF - More than usual 5xx edge response errors (at least 10):このアラートは、 5xx エッジレスポンスエラーが通常より多く発生した場合に検出される。 ステータス・コードがしきい値である通常の10を超えた場合、アラートが発動される。 いつもの数字」は、過去7日間のデータのパターンに基づいて、アルゴリズムによって動的に計算される。 アルゴリズムはトラフィックパターンを学習するのに1週間かかる。 エッジレスポンスステータスコードは、Cloudflareからクライアント（エンドユーザー）に送信される HTTP レスポンスコードです。

  このアラートは配備されてから1週間後にのみアラートを開始するため、ユーザーは同様のアラート Cloudflare - High error ratio of 5xx edge response, over 5% in 30min を利用することもできる。 このアラートは、導入直後から異常に関するアラートを開始する。

• Cloudflare - WAF - More than usual 4xx origin response errors (at least 10):このアラートは、 4xx オリジン・レスポンス・エラーが通常より多く発生した場合に検出されます。 ステータス・コードがしきい値である通常の10を超えた場合、アラートが発動される。 いつもの数字」は、過去7日間のデータのパターンに基づいて、アルゴリズムによって動的に計算される。 アルゴリズムはトラフィックパターンを学習するのに1週間かかる。 オリジン応答ステータスコードは、オリジンサーバーからCloudflareに送信される HTTP。

• Cloudflare - WAF - More than usual 4xx edge response errors (at least 10):このアラートは、 4xx エッジレスポンスエラーが通常より多く発生した場合に検出される。 ステータス・コードがしきい値である通常の10を超えた場合、アラートが発動される。 いつもの数字」は、過去7日間のデータのパターンに基づいて、アルゴリズムによって動的に計算される。 アルゴリズムはトラフィックパターンを学習するのに1週間かかる。 エッジレスポンスステータスコードは、Cloudflareからクライアント（エンドユーザー）に送信される HTTP レスポンスコードです。

  このアラートは配備されてから1週間後にのみアラートを開始するため、ユーザーは同様のアラート Cloudflare - High error ratio of 4xx edge response, over 15% in 30min を利用することもできる。 このアラートは、導入直後から異常に関するアラートを開始する。

• Cloudflare - WAF - More than usual 5xx origin response errors (at least 10):このアラートは、 5xx オリジン・レスポンス・エラーが通常より多く発生した場合に検出されます。 ステータスコードがしきい値である通常の10を超えた場合、アラートが発動される。 いつもの数字」は、過去7日間のデータのパターンに基づいて、アルゴリズムによって動的に計算される。 アルゴリズムはトラフィックパターンを学習するのに1週間かかる。 オリジン・レスポンスは、エラー・レスポンスがオリジン・ウェブ・サーバーによって生成されたことを示します。

  このアラートは配備されてから1週間後にのみアラートを開始するため、ユーザーは同様のアラート Cloudflare - High error ratio of 5xx origin response, over 5% in 30min を利用することもできる。 このアラートは、導入直後から異常に関するアラートを開始する。

• Cloudflare - WAF - High Volume of Bot Requests:このアラートは、大量のボットリクエストを検出します。 ボットとは、ネットワーク上の自律的なプログラムのことで、コンピュータシステムやユーザーと対話し、人間のユーザーの行動を模倣したり、置き換えたりして、反復的なタスクを実行することができる。

• エンタープライズ Cloudflare - WAF - Potential SQLi Attack ：このアラートは、Cloudflare WAF の SQLi 攻撃スコア値を含む多数のログが攻撃を示している場合（スコアは 1 ～ 20）にトリガーされます。 Cloudflare WAF攻撃スコアの詳細については、 WAF攻撃スコアを参照してください。

• Cloudflare - WAF - Possible Information Disclosure:この警告は、 HTTP GET リクエスト（ 2XX レスポンス）が成功し、インターネットに直接公開すべきでない情報を含む可能性のある特定のファイル拡張子（ txt ファイルなど）のセットで終わる URL をターゲットにした場合に検出されます。

  このアラートでは、以下のファイル拡張子が検出されます：

  • 設定ファイル：.env、.config、.ini、.conf
  • バックアップファイル：.bak、.old、.zip
  • ログファイル：.log、.txt、. log.txt
  • ソースコード・ファイル:.java,.py,.rb
  • データベースダンプファイル：.sql、.dump
  • バックアップスクリプト：.sh、.bat、.ps1
  • 秘密鍵と証明書：.pem、.key、.p12、.crt

  この警告は、ウェブアプリケーションの使用状況（つまり、前述のファイル拡張子のいずれかを提供している場合）に基づいて調整する必要があるかもしれません。 ファイル拡張子は追加または削除でき、一致条件はウェブアプリケーションの動作に合わせて発生率を低くまたは高く調整できます。

• Cloudflare - WAF - XSS Attack:このアラートは、クロスサイトスクリプティング（XSS）攻撃が行われる可能性を検出します。 アラートは、特定の期間、単一のIPアドレスのコンテキストで、XSS攻撃を表す特定のキーワードセットを含むトリガーされたCloudflare WAFルールに基づいています。

• Cloudflare - WAF - SQLi Attack:このアラートは、SQLインジェクション（SQLi）攻撃が行われる可能性を検出します。 アラートは、SQLi攻撃を表す特定のキーワードを含むCloudflare WAFルールに基づき、特定の期間、単一のIPアドレスのコンテキストでトリガーされます。

• Cloudflare - WAF - Remote Code Execution Attack:このアラートは、リモートコード実行（RCE）攻撃が行われる可能性がある場合に検出されます。 アラートは、特定の期間にわたって、単一のIPアドレスのコンテキストで、RCE攻撃を表す特定のキーワードセットを含むトリガーされたCloudflare WAFルールに基づいています。

• エンタープライズ Cloudflare - WAF - Possible Bypass ：このアラートは、Cloudflare WAF が悪意のある可能性のあるリクエストをブロックしていないことを示す可能性のある特定のロジックに基づいて検出します。 この警告は、攻撃を示すCloudflare WAF攻撃スコアに基づいています。

  WAFアクションが "unknown "であり、かつ "simulate "でなく、かつWAFアタックスコアが1～50の間にある場合、アラートはトリガーされます。

  Cloudflare WAF攻撃スコアの詳細については、 WAF攻撃スコアを参照してください。

• Cloudflare - WAF - Potential XSS Attack:このアラートは、攻撃を示すCloudflare WAF XSS Attack Scoreの値（スコアは1～20）を含むログが大量にある場合にトリガーされます。

  Cloudflare WAF攻撃スコアの詳細については、 WAF攻撃スコアを参照してください。

• Cloudflare - WAF - Potential RCE Attack:このアラートは、攻撃を示すCloudflare WAF RCE Attack Score値（スコアは1～20）を含むログが大量にある場合にトリガーされます。

  Cloudflare WAF攻撃スコアの詳細については、 WAF攻撃スコアを参照してください。

• Cloudflare - WAF - Common Vulnerability Attack:このアラートは、トリガーされたCloudflare WAFルールを含むログに、単一のIPアドレスのコンテキストで特定期間にわたってCVEに関する言及がある場合にトリガーされます。

• Cloudflare - WAF - Brute Force on Login URLs:このアラートは、ブルートフォース攻撃がログインページに対して実行された可能性がある場合にトリガーされます。

  ログインページに対するブルートフォース攻撃は、ログインが成功するまで、ユーザー名とパスワードの複数の組み合わせを系統的に試行する。 この技法は、弱いクレデンシャルやよく使われるクレデンシャルは、徹底的な試行錯誤によって推測できるという仮定に依存している。

• Cloudflare - WAF - DDoS Attack Detected:このアラートは、Cloudflareがレイヤー7の DDoS ( L7 DDoS ) 攻撃を検出したときにトリガーされます。 CloudflareのLayer 7 Distributed Denial of Service ( L7 DDoS ) プロテクションは、ウェブアプリケーションのアプリケーションレイヤーを標的とした攻撃を検出し、軽減します。 これらの攻撃は、大量のリクエスト（ HTTP ）を殺到させることで、アプリケーションやそのインフラを圧倒することを目的としています。

• Cloudflare - WAF - Multiple Unknown Actions From Unique IPs:このアラートは、Cloudflareのウェブアプリケーションファイアウォール（WAF）が、単一のIPアドレスから短時間内に複数の異なる「不明な」アクションをログに記録した場合にトリガーされます。

  あなたの環境のトラフィックパターンに基づいて、しきい値を微調整したい。

DNSアラート

• Cloudflare - DNS - Excessive REFUSED Response Code Returned:このアラートは、DNSクエリーの結果としてREFUSEDレスポンスコードが多く返された場合に検出されます。 REFUSED応答コードは、サーバーがクエリへの応答を拒否したため、DNSクエリが失敗したことを示す。 これは政策的な理由によるものかもしれない。

• Cloudflare - DNS - Excessive SERVFAIL Response Code Returned:このアラートは、DNSクエリーの結果としてSERVFAIL応答コードが多く返された場合に検出される。 SERVFAIL応答コードは、サーバーの障害を示す。 これはDNSサーバーに技術的な問題がある可能性がある。

• Cloudflare - DNS - High Number of NXDOMAIN Responses Returned:このアラートは、DNSクエリーの結果としてNXDOMAINレスポンスコードが多く返された場合に検出される。 NXDOMAIN応答コードは、問い合わせたドメインが存在しないことを示す。

• Cloudflare - DNS - Anomalous Number of Uncommon DNS Record Types Observed:このアラートは、 TXT、 PTR、 NULL のような一般的でないレコードタイプを持つホストから大量のDNSクエリが発生した場合に検出されます。

  TXT:テキストレコードを示す。 これらのレコードは、しばしば電子メールのセキュリティのために使用される。 PTR: 逆引きでドメイン名を提供する。 NULL: ヌル・リソース・レコードを示す。

監査アラート

• Cloudflare - Audit - No Logs From Cloudflare in The Last 10 Minutes:このアラートは、過去10分間にCloudflareからユーザー アカウントログがないことを検出します。

• Cloudflare - Audit - API Key Viewed:このアラートは、 アカウント APIトークンが表示されたことを検出します。 APIキーは、Cloudflare APIとやりとりするための、以前からの認証スキームです。 Cloudflareでは、可能な限りAPIキーの代わりにAPIトークンを使用することを推奨しています。 Cloudflareは2種類のAPIキーを提供しています：

  • グローバルAPIキー：メインのAPIキーとなります。
  • オリジンCAキー：APIを使用してオリジン証明書を作成する場合にのみ使用される。

• Cloudflare - Audit - API Token Rolled:このアラートは、CloudflareユーザーAPIトークンがロールされたことを検出します。 トークンを紛失または漏洩した場合は、新しいトークンを作成するか、トークンをロールバックして新しいシークレットを生成することができます。 APIトークンを新しいAPIトークンにロールオーバーすると、以前のトークンは無効になりますが、アクセス権やパーミッションは以前のAPIトークンと同じになります。

• Cloudflare - Audit - API Token Created:このアラートは、CloudflareのユーザーAPIトークンが作成されたことを検知します。 Cloudflare APIを使用するには、Cloudflareが誰がリクエストしているか、どのような権限を持っているかを把握するための認証が必要です。

• Cloudflare - Audit - A Worker Was Updated:このアラートは、既存の Cloudflare ワーカーが更新されるたびに検出されます。 Cloudflare Workerは、サーバーレス機能をエンドユーザーにできるだけ近いところで実行できるようにするためのプラットフォームです。

• Cloudflare - Audit - A Worker Was Created:このアラートは、新しいワーカーが作成されるたびに検出されます。 Cloudflare Workerは、サーバーレス機能をエンドユーザーにできるだけ近いところで実行できるようにするためのプラットフォームです。

• Cloudflare - Audit - Account password changed:このアラートは、ユーザーがアカウント 「パスワードをお忘れですか」オプションを選択してパスワードをリセットした場合に検出されます。

• Cloudflare - Audit - Certificate Pack Created:このアラートは、Cloudflare Certificate Packがユーザーによって新規作成された場合にトリガーされます。 証明書パックは、同じホスト名を共有する SSL/TLS 証明書のグループである。

• Cloudflare - Audit - A Firewall Rule Created or Updated:このアラートは、Cloudflareファイアウォールのルールが作成または更新されたことを検出します。

• Cloudflare - Audit - Certificate Pack Expired:このアラートは、Cloudflare証明書パックの有効期限が間近に迫っている、または有効期限が切れている場合にトリガーされます。 証明書パックは、同じホスト名を共有する SSL/TLS 証明書のグループである。

• Cloudflare - Audit - Firewall Rule Deleted:このアラートは、Cloudflare 証明書パックの削除がユーザーによって要求された場合にトリガーされます。 証明書パックは、同じホスト名を共有する SSL/TLS 証明書のグループである。

• Cloudflare - Audit - DNS A Record Deleted:このアラートは、 A レコードが削除されたことを検知する。

  A レコードの主な用途は、 IPv4 アドレス検索である。 A レコードを使用すると、ウェブブラウザはドメイン名を使用してウェブサイトを読み込むことができます。

• Cloudflare - Audit - DNS NS Record Deleted:このアラートは、NSレコードが削除されたことを検出する。

  ネームサーバー（NS）レコードは、ドメインの権威DNSサーバーを指定します。 NSレコードは、ウェブブラウザなどのインターネットアプリケーションがドメイン名のIPアドレスを見つけることができる場所を指し示すのに役立ちます。 通常、1つのドメインに対して複数のネームサーバーが指定される。

• Cloudflare - Audit - DNS AAAA Record Deleted:このアラートは、 AAAA レコードが削除されたことを検知する。

  AAAA レコードの主な用途は、 IPv6 アドレス検索である。 AAAA レコードを使用すると、ウェブブラウザはドメイン名を使用してウェブサイトを読み込むことができます。

  AAAA レコードを使用すると、敵はカスタムドメインを作成したり、既存のドメインを攻撃者が制御するIPに向けることができます。

• Cloudflare - Audit - DNS PTR Record Deleted:このアラートは、 PTR レコードが削除されたことを検知する。

  ポインターレコード(PTR)は、IPアドレスに関連付けられたドメイン名を提供する。 DNS PTR レコードは、ドメイン名に関連付けられたIPアドレスを提供する A レコードの反対です。

  DNS PTR レコードは、DNSの逆引きで使用される。 ユーザーがブラウザでドメイン名にアクセスしようとすると、DNSルックアップが行われ、ドメイン名とIPアドレスが一致する。 DNSの逆引きはこの逆のプロセスで、IPアドレスから始まってドメイン名を検索するクエリーである。

• Cloudflare - Audit - DNS TXT Record Deleted:このアラートは、 TXT レコードが削除されたことを検知する。

  TXT レコードはDNSレコードの一種で、ドメイン外のソースに対するテキスト情報を含んでいます。 これらのレコードをドメイン設定に追加します。

  TXT レコードは、ドメイン所有者の確認や電子メールのセキュリティなど、さまざまな目的で使用できます（ DKIM および SPF レコードとして）。

• Cloudflare - Audit - DNS MX Record Deleted:このアラートは、 MX レコードが削除されたことを検知する。

  メール交換（MX ）レコードは、あるドメインの電子メールの送信先を示すDNSレコードタイプです。 言い換えれば、 MX レコードは、電子メールをメールサーバーに向けることを可能にする。

• Cloudflare - Audit - DNS CAA Record Deleted:このアラートは、 CAA レコードが削除されたことを検知する。

  CAA レコードを使用することで、ドメイン所有者は、どの認証局がドメインの証明書の発行を許可されているかを宣言することができる。 また、不正な認証局から証明書を要求された場合の通知ルールを示す手段も提供する。 CAA レコードが存在しない場合、どのCAもドメインの証明書を発行することができる。 CAA レコードが存在する場合、そのレコードに記載されているCAのみが、そのホスト名に対する証明書の発行を許可される。

• Cloudflare - Audit - DNS CNAME Record Deleted:このアラートはCNAMEレコードが削除されたことを検知する。

  CNAME (カノニカルネーム）は、ドメイン名（エイリアス）を別のドメインに指し示すDNSレコードである。 CNAME 、エイリアスはIPアドレスを指していない。 エイリアスが指すドメイン名はカノニカル名である。

• Cloudflare - Audit - DNS AAAA Record Added or Updated:このアラートは、 AAAA レコードが作成または更新されたことを検出します。

  AAAA レコードの主な用途は、 IPv6 アドレス検索である。 AAAA レコードを使用すると、ウェブブラウザはドメイン名を使用してウェブサイトを読み込むことができます。

• Cloudflare - Audit - DNS TXT Record Added or Updated:このアラートは、 TXT レコードが作成または更新されたことを検出します。

  TXT レコードはDNSレコードの一種で、ドメイン外のソースに対するテキスト情報を含んでいます。 これらのレコードをドメイン設定に追加します。

  TXT レコードは、ドメインの所有権の確認や電子メールのセキュリティなど、さまざまな目的で使用できます（ DKIM および SPF レコードとして）。

• Cloudflare - Audit - DNS MX Record Added or Updated:このアラートは、 MX レコードが作成または更新されたことを検出します。

  メール交換（MX ）レコードは、あるドメインのメールがどこに送られるべきかを示すDNSレコードタイプです。 MXレコードは、電子メールをメールサーバーに向けることを可能にする。

• Cloudflare - Audit - DNS PTR Record Added or Updated:このアラートは、 PTR レコードが作成または更新されたことを検出します。

  ポインターレコード(PTR)は、IPアドレスに関連付けられたドメイン名を提供する。 DNS PTR レコードは、ドメイン名に関連付けられたIPアドレスを提供する A レコードとは正反対です。

  DNS PTR レコードは、DNSの逆引きで使用される。 ユーザーがブラウザでドメイン名にアクセスしようとすると、DNSルックアップが行われ、ドメイン名とIPアドレスが一致する。 DNSの逆引きはこの逆のプロセスで、IPアドレスから始まってドメイン名を検索するクエリーである。

• Cloudflare - Audit - DNS CNAME Record Added or Updated:このアラートは、 CNAME レコードが作成または更新されたことを検出します。

  CNAME (カノニカルネーム）は、ドメイン名（エイリアス）を別のドメインに指し示すDNSレコードである。 CNAME 、エイリアスはIPアドレスを指していない。 そして、エイリアスが指すドメイン名はカノニカル名である。

• Cloudflare - Audit - DNS NS Record Added or Updated:このアラートは、 NS レコードが作成または更新されたことを検出します。

  ネームサーバー(NS)レコードは、ドメインの権威DNSサーバーを指定します。 NSレコードは、ウェブブラウザのようなインターネットアプリケーションがドメイン名のIPアドレスを見つけることができる場所を指す。 通常、1つのドメインに対して複数のネームサーバーが指定される。

• Cloudflare - Audit - DNS CAA Record Added or Updated:このアラートは、 CAA レコードが作成または更新されたことを検出します。

  CAA レコードを使用することで、ドメイン所有者は、どの認証局がドメインの証明書の発行を許可されているかを宣言することができる。 また、不正な認証局から証明書を要求された場合の通知ルールを示す手段も提供する。 CAA レコードが存在しない場合、どのCAもドメインの証明書を発行することができる。 CAA レコードが存在する場合、そのレコードに記載されている CA のみが、そのホスト名に対する証明書の発行を許可される。

• Cloudflare - Audit - DNS A Record Added:このアラートは、DNS A。