Cloudflare 扩展

Cloudflare WAF 透视

此仪表板提供 Cloudflare WAF 洞察概览。 仪表盘包括

• WAF 事态发展
• WAF 按顶级源 IP 列出的流量
• WAF 按请求最多的主机分列的流量
• WAF 按请求最多的 URL 显示流量
• 采取的安全行动 WAF
• 顶级 WAF 规则
• 顶级用户代理
• 边缘源响应代码
• 来源国
• WAF 攻击得分分布
• WAF RCE 攻击得分分布
• WAF XSS 攻击得分分布
• WAF SQLi 攻击得分分布

Cloudflare - DNS - 概述

此仪表板提供 Cloudflare DNS 洞察概览。 仪表盘包括

• DNS 按主机代管分列的平局活动
• DNS 按查询类型分列的长期活动
• DNS 不同时期的活动--按答复代码分列
• DNS 查询响应代码分布
• DNS 查询类型分布
• 查询次数最多的 DNS 域名
• 顶级源 IP
• 所选时间段内所有 DNS 查询的顶级源 IP
• 最新 DNS 查询
• 查询的最高 A 记录
• 查询的 AAAA 最高记录
• 查询的最高 NS 记录
• 查询的顶级 CNAME 记录
• 查询的最高 MX 记录
• 查询的最高 TXT 记录

Cloudflare - 审计 - 总览仪表板

此仪表板提供 Cloudflare 审计洞察的概览。 仪表盘包括

• 审计日志 - 按资源类型分列
• 顶级演员
• 资源类型分布
• 最新用户活动
• 最新客户端设备活动
• 最新证书包活动

WAF 警报

企业- 使用此标签的警报要求您的 Cloudflare 计划至少为企业级。 低于企业级的 Cloudflare 计划不会触发这些警报。

• Cloudflare - WAF - A New Client Request Host Detected:该警报会在客户端请求新主机时进行检测。 该警报将在配置的警报时间窗口（7 天）后激活（部署后）。 这样，算法就可以根据所跟踪关键字的新值进行训练，捕捉基线，防止错误通知。

• Cloudflare - WAF - High error ratio of 5xx origin response, over 5% in 30min:当 5xx 起源响应错误代码超过 30 分钟内起源响应状态代码总数的 5%时，就会发出警报。 该警报将计算 30 分钟内错误代码 5xx 与响应代码总数的比率。 如果比率超过 5%，就会触发。 起源响应表示错误响应由您的起源网络服务器生成。

• Cloudflare - WAF - More than usual 5xx edge response errors (at least 10):当 5xx 边沿响应错误的数量超过通常数量时，该警报将进行检测。 如果状态代码超出阈值 10，则触发警报。 通常数字 "是算法根据前 7 天的数据模式动态计算出来的。 该算法需要一周的时间来学习交通模式。 边缘响应状态代码是 Cloudflare 发送给客户端（最终用户）的 HTTP 响应代码。

  由于该警报在部署 1 周后才开始发出警报，因此用户也可以使用类似的警报 Cloudflare - High error ratio of 5xx edge response, over 5% in 30min。 该警报在部署后将立即对异常情况发出警报。

• Cloudflare - WAF - More than usual 4xx origin response errors (at least 10):当 4xx 起源响应错误超出正常数量时，该警报会进行检测。 如果状态代码超出阈值 10，则触发警报。 通常数字 "是算法根据前 7 天的数据模式动态计算出来的。 该算法需要一周的时间来学习交通模式。 源响应状态代码是从源服务器发送到 Cloudflare 的 HTTP 响应代码。

• Cloudflare - WAF - More than usual 4xx edge response errors (at least 10):当 4xx 边沿响应错误的数量超过通常数量时，该警报将进行检测。 如果状态代码超出阈值 10，则触发警报。 通常数字 "是算法根据前 7 天的数据模式动态计算出来的。 该算法需要一周的时间来学习交通模式。 边缘响应状态代码是 Cloudflare 发送给客户端（最终用户）的 HTTP 响应代码。

  由于该警报在部署 1 周后才开始发出警报，因此用户也可以使用类似的警报 Cloudflare - High error ratio of 4xx edge response, over 15% in 30min。 该警报在部署后将立即对异常情况发出警报。

• Cloudflare - WAF - More than usual 5xx origin response errors (at least 10):当 5xx 起源响应错误超出正常数量时，该警报会进行检测。 如果状态代码超过阈值 10，超过通常的数字，就会触发警报。 通常数字 "是算法根据前 7 天的数据模式动态计算出来的。 该算法需要一周的时间来学习交通模式。 起源响应表示错误响应由您的起源网络服务器生成。

  由于该警报在部署 1 周后才开始发出警报，因此用户也可以使用类似的警报 Cloudflare - High error ratio of 5xx origin response, over 5% in 30min。 该警报在部署后将立即对异常情况发出警报。

• Cloudflare - WAF - High Volume of Bot Requests:该警报可检测到大量僵尸请求。 机器人是网络上的自主程序，可与计算机系统或用户互动，模仿或替代人类用户的行为，并执行重复性任务。

• 企业 Cloudflare - WAF - Potential SQLi Attack：当包含 Cloudflare WAF SQLi 攻击得分值的大量日志表明存在攻击（得分在 1 到 20 之间）时，将触发此警报。 有关 Cloudflare WAF 攻击得分的更多信息，请参阅 WAF 攻击得分。

• Cloudflare - WAF - Possible Information Disclosure:当 HTTP GET 请求（ 2XX 响应）成功时，该警报会检测以一组特定文件扩展名（如 txt 文件）结尾的 URL，这些文件可能包含不应直接向互联网披露的信息。

  本警报可检测到以下文件扩展名：

  • 配置文件：.env、.config、.ini、.conf
  • 备份文件：.bak、.old、.zip
  • 日志文件格式：.log、.txt、.NET。log.txt
  • 源代码文件：.java、.py、.rb
  • 数据库转储文件：.sql、.dump
  • 备份脚本：.sh、.bat、.ps1
  • 私钥和证书：.pem、.key、.p12,.crt

  该警报可能需要根据网络应用程序的使用情况进行调整（也就是说，如果它提供任何上述文件扩展名）。 文件扩展名可以添加或删除，匹配条件可以调整为较低或较高的出现率，以匹配网络应用程序的运行。

• Cloudflare - WAF - XSS Attack:该警报可检测何时可能发生跨站脚本 (XSS) 攻击。 警报基于触发的 Cloudflare WAF 规则，这些规则包含一组代表 XSS 攻击的特定关键字，在确定的时间段内以单个 IP 地址为背景。

• Cloudflare - WAF - SQLi Attack:该警报可检测 SQL 注入 (SQLi) 攻击何时可能发生。 警报基于触发的 Cloudflare WAF 规则，这些规则包含一组代表 SQLi 攻击的特定关键字，在确定的时间段内以单个 IP 地址为背景。

• Cloudflare - WAF - Remote Code Execution Attack:该警报可检测远程代码执行 (RCE) 攻击何时可能发生 警报基于触发的 Cloudflare WAF 规则，这些规则包含一组特定的关键字，在确定的时间段内代表 RCE 攻击，并以单个 IP 地址为背景。

• 企业 Cloudflare - WAF - Possible Bypass：此警报根据特定逻辑进行检测，可能表明 Cloudflare WAF 没有阻止潜在的恶意请求。 该警报基于 Cloudflare WAF 攻击得分显示攻击。

  如果 WAF 操作为“未知”而非“模拟”，且 WAF 攻击得分在 1 到 50 之间，表明存在攻击或可能存在攻击，则会触发警报。

  有关 Cloudflare WAF 攻击得分的更多信息，请参阅 WAF 攻击得分。

• Cloudflare - WAF - Potential XSS Attack:当大量日志包含表明存在攻击的 Cloudflare WAF XSS 攻击得分值（得分在 1 到 20 之间）时，将触发此警报。

  有关 Cloudflare WAF 攻击得分的更多信息，请参阅 WAF 攻击得分。

• Cloudflare - WAF - Potential RCE Attack:当大量日志包含 Cloudflare WAF RCE 攻击分值（分值在 1 到 20 之间）时，该警报将触发。

  有关 Cloudflare WAF 攻击得分的更多信息，请参阅 WAF 攻击得分。

• Cloudflare - WAF - Common Vulnerability Attack:当包含已触发的 Cloudflare WAF 规则的日志在确定的时间段内以单个 IP 地址为背景提及 CVE 时，会触发此警报。

• Cloudflare - WAF - Brute Force on Login URLs:当登录页面可能受到暴力破解攻击时，就会触发该警报。

  对登录页面的暴力破解攻击涉及系统地尝试多个用户名和密码组合，直到成功登录。 这种技术所依赖的假设是，可以通过详尽的试验和错误来猜测薄弱或常用的凭据。

• Cloudflare - WAF - DDoS Attack Detected:当 Cloudflare 检测到第 7 层 DDoS ( L7 DDoS ) 攻击时触发该警报。 Cloudflare 的第 7 层分布式拒绝服务 ( L7 DDoS ) 保护可检测和缓解针对网络应用程序应用层的攻击。 这些攻击的目的是通过大量 HTTP 请求淹没应用程序或其基础设施，使其不堪重负。

• Cloudflare - WAF - Multiple Unknown Actions From Unique IPs:当 Cloudflare 的 Web 应用程序防火墙 (WAF) 在短时间内记录到来自单个 IP 地址的多个不同的“未知”操作时，就会触发此警报。

  您需要根据环境的流量模式对阈值进行微调。

DNS 警报

• Cloudflare - DNS - Excessive REFUSED Response Code Returned:当 DNS 查询返回大量 REFUSED 响应代码时，该警报会进行检测。 REFUSED 响应代码表示 DNS 查询失败，因为服务器拒绝回答查询。 这可能是由于政策原因。

• Cloudflare - DNS - Excessive SERVFAIL Response Code Returned:当 DNS 查询返回大量 SERVFAIL 响应代码时，该警报会进行检测。 SERVFAIL 响应代码表示服务器出现故障。 这可能是 DNS 服务器出现了技术问题。

• Cloudflare - DNS - High Number of NXDOMAIN Responses Returned:当 DNS 查询返回大量 NXDOMAIN 响应代码时，该警报会进行检测。 NXDOMAIN 响应代码表示查询的域不存在。

• Cloudflare - DNS - Anomalous Number of Uncommon DNS Record Types Observed:当发现来自主机的 DNS 查询数量较多且记录类型不常见（如 TXT、PTR 和 NULL ）时，该警报会进行检测。

  TXT:表示文本记录。 这些记录通常用于电子邮件安全。 PTR: 在反向查询中提供域名。 NULL: 表示空资源记录。

审计警报

• Cloudflare - Audit - No Logs From Cloudflare in The Last 10 Minutes:当 Cloudflare 在过去 10 分钟内未向用户账户发送任何日志时，该警报会进行检测。

• Cloudflare - Audit - API Key Viewed:该警报会在查看整个帐户的 API 令牌时进行检测。 API 密钥是与 Cloudflare API 交互的先前/传统授权方案。 Cloudflare 建议尽可能使用 API 标记而不是 API 密钥。 Cloudflare 提供两种类型的 API 密钥：

  • 全局 API 密钥：作为您的主 API 密钥。
  • 源 CA 密钥：仅在使用 API 创建源证书时使用。

• Cloudflare - Audit - API Token Rolled:此警报可在 Cloudflare 用户 API 令牌滚动时进行检测。 如果令牌丢失或被盗，您可以创建一个新令牌或滚动令牌生成一个新的密文。 将您的 API 令牌转换为新令牌后，先前的令牌将失效，但访问权限和权限将与先前的 API 令牌相同。

• Cloudflare - Audit - API Token Created:此警报会在 Cloudflare 用户 API 标记创建时进行检测。 使用 Cloudflare API 需要进行身份验证，以便 Cloudflare 知道谁在发出请求以及您拥有哪些权限。

• Cloudflare - Audit - A Worker Was Updated:该警报会在每次更新现有 Cloudflare Worker 时进行检测。 Cloudflare Worker 是一个使无服务器功能尽可能接近终端用户运行的平台。

• Cloudflare - Audit - A Worker Was Created:该警报会在每次创建新 Worker 时进行检测。 Cloudflare Worker 是一个使无服务器功能尽可能接近终端用户运行的平台。

• Cloudflare - Audit - Account password changed:当用户在账户登录页面选择 "忘记密码？

• Cloudflare - Audit - Certificate Pack Created:如果用户创建了新的 Cloudflare 证书包，则会触发此警报。 证书包是一组共享同一组主机名的 SSL/TLS 证书。

• Cloudflare - Audit - A Firewall Rule Created or Updated:该警报检测 Cloudflare 防火墙规则的创建或更新。

• Cloudflare - Audit - Certificate Pack Expired:当 Cloudflare 证书包即将过期或已经过期时会触发此警报。 证书包是一组共享同一组主机名的 SSL/TLS 证书。

• Cloudflare - Audit - Firewall Rule Deleted:当用户请求删除 Cloudflare 证书包时触发该警报。 证书包是一组共享同一组主机名的 SSL/TLS 证书。

• Cloudflare - Audit - DNS A Record Deleted:该警报检测 A 记录是否被删除。

  A 记录主要用于 IPv4 地址查询。 通过 A 记录，网络浏览器可以加载使用该域名的网站。

• Cloudflare - Audit - DNS NS Record Deleted:该警报检测 NS 记录是否被删除。

  域名服务器 (NS) 记录指定了域名的权威 DNS 服务器。 NS 记录可帮助互联网应用程序（如网络浏览器）找到域名的 IP 地址。 通常会为一个域指定多个名称服务器。

• Cloudflare - Audit - DNS AAAA Record Deleted:该警报检测 AAAA 记录是否被删除。

  AAAA 记录的主要用途是 IPv6 地址查询。 通过 AAAA 记录，网络浏览器可以加载使用该域名的网站。

  通过 AAAA 记录，攻击者可以创建自定义域或将现有域指向攻击者控制的 IP。

• Cloudflare - Audit - DNS PTR Record Deleted:该警报检测 PTR 记录是否被删除。

  指针记录 (PTR) 提供与 IP 地址相关的域名。 DNS PTR 记录与 A 记录相反，后者提供与域名相关的 IP 地址。

  DNS PTR 记录用于 DNS 反向查询。 当用户试图通过浏览器访问域名时，DNS 会进行查询，将域名与 IP 地址匹配。 DNS 反向查询与此过程相反：它是以 IP 地址为起点，查询域名。

• Cloudflare - Audit - DNS TXT Record Deleted:该警报检测 TXT 记录是否被删除。

  TXT 记录是一种 DNS 记录，其中包含您的域外来源的文本信息。 您可以将这些记录添加到域名设置中。

  您可以将 TXT 记录用于各种用途，如验证域名所有权或电子邮件安全性（如 DKIM 和 SPF 记录）。

• Cloudflare - Audit - DNS MX Record Deleted:该警报检测 MX 记录是否被删除。

  邮件交换 (MX) 记录是一种 DNS 记录类型，用于显示某个域名的电子邮件应该发送到哪里。 换句话说，MX 记录可以将电子邮件直接发送到邮件服务器。

• Cloudflare - Audit - DNS CAA Record Deleted:该警报检测 CAA 记录是否被删除。

  CAA 记录允许域名所有者声明允许哪些证书颁发机构为该域名颁发证书。 它们还提供了一种说明通知规则的方法，以防有人向未经授权的证书颁发机构申请证书。 如果没有 CAA 记录，则允许任何 CA 为该域签发证书。 如果存在 CAA 记录，则只允许记录中列出的 CA 为该主机名签发证书。

• Cloudflare - Audit - DNS CNAME Record Deleted:该警报检测 CNAME 记录是否被删除。

  CNAME (别名）是将一个域名（别名）指向另一个域名的 DNS 记录。 在 CNAME 记录中，别名不指向 IP 地址。 别名指向的域名就是规范名称。

• Cloudflare - Audit - DNS AAAA Record Added or Updated:该警报检测 AAAA 记录的创建或更新。

  AAAA 记录的主要用途是 IPv6 地址查询。 通过 AAAA 记录，网络浏览器可以加载使用该域名的网站。

• Cloudflare - Audit - DNS TXT Record Added or Updated:该警报检测 TXT 记录的创建或更新。

  TXT 记录是一种 DNS 记录，其中包含您的域外来源的文本信息。 您可以将这些记录添加到域名设置中。

  您可以将 TXT 记录用于各种用途，如验证域名所有权或电子邮件安全性（如 DKIM 和 SPF 记录）。

• Cloudflare - Audit - DNS MX Record Added or Updated:该警报检测 MX 记录的创建或更新。

  邮件交换 (MX) 记录是一种 DNS 记录类型，用于显示某个域名的电子邮件应该发送到哪里。 通过 MX 记录，可以将电子邮件直接发送到邮件服务器。

• Cloudflare - Audit - DNS PTR Record Added or Updated:该警报检测 PTR 记录的创建或更新。

  指针记录 (PTR) 提供与 IP 地址相关的域名。 DNS PTR 记录与 A 记录正好相反，后者提供与域名相关的 IP 地址。

  DNS PTR 记录用于 DNS 反向查询。 当用户试图通过浏览器访问域名时，DNS 会进行查询，将域名与 IP 地址匹配。 DNS 反向查询与此过程相反：它是以 IP 地址为起点，查询域名。

• Cloudflare - Audit - DNS CNAME Record Added or Updated:该警报检测 CNAME 记录的创建或更新。

  CNAME (别名）是将一个域名（别名）指向另一个域名的 DNS 记录。 在 CNAME 记录中，别名不指向 IP 地址。 别名指向的域名就是规范名称。

• Cloudflare - Audit - DNS NS Record Added or Updated:该警报检测 NS 记录的创建或更新。

  Nameerver (NS) 记录指定了域名的权威 DNS 服务器。 NS 记录指向互联网应用程序（如网络浏览器）查找域名 IP 地址的位置。 通常会为一个域指定多个名称服务器。

• Cloudflare - Audit - DNS CAA Record Added or Updated:该警报检测 CAA 记录的创建或更新。

  CAA 记录允许域名所有者声明允许哪些证书颁发机构为该域名颁发证书。 它们还提供了一种说明通知规则的方法，以防有人向未经授权的证书颁发机构申请证书。 如果没有 CAA 记录，则允许任何 CA 为该域签发证书。 如果存在 CAA 记录，则只允许记录中列出的 CA 为该主机名签发证书。

• Cloudflare - Audit - DNS A Record Added:添加 DNS A 记录时触发该警报。