Cloudflare 延伸

Cloudflare WAF 洞察

此儀表板提供 Cloudflare WAF 深入瞭解的概覽。 儀表板包括

• WAF 歷年事件
• WAF 按主要來源 IP 分類的流量
• WAF 按要求最多的主機顯示的流量
• WAF 按最常被要求的 URL 計算的流量
• 採取的安全行動 WAF
• 最高 WAF 規則
• 頂尖使用者代理
• 邊緣來源回應代碼
• 來源國家/地區
• WAF 攻擊分數分布
• WAF RCE 攻擊分數分布
• WAF XSS 攻擊分數分布
• WAF SQLi 攻擊分數分布

Cloudflare - DNS - 總覽

此儀表板提供 Cloudflare DNS 深入瞭解的概覽。 儀表板包括

• DNS 活動超過平局 - 依據專線代管
• DNS 按查詢類型劃分的隨時間變化的活動
• DNS 隨時間改變的活動 - 依回應代碼
• DNS 查詢回應碼分布
• DNS 查詢類型分佈
• 查詢量最高的 DNS 網域
• 最高來源 IP
• 在選取的時間範圍內，所有 DNS 查詢的最高來源 IP
• 最新的 DNS 查詢
• 查詢的最高 A 記錄
• 查詢的最高 AAAA 記錄
• 查詢的最高 NS 記錄
• 查詢的最高 CNAME 記錄
• 查詢的最高 MX 記錄
• 查詢的最高 TXT 記錄

Cloudflare - 審計 - 總覽儀表板

此儀表板提供 Cloudflare 稽核洞察的概覽。 儀表板包括

• 稽核記錄 - 依資源類型
• 頂級演員
• 資源類型分佈
• 最新使用者活動
• 最新的用戶端裝置活動
• 最新證書包活動

WAF 警報

Enterprise- 具有此標籤的警報要求您的 Cloudflare 計劃至少為企業級。 Cloudflare 企業級以下的計劃不會觸發這些警示。

• Cloudflare - WAF - A New Client Request Host Detected:當用戶端要求新主機時，此警報會偵測到。 此警報將在設定的警報時間視窗（7 天）後生效（部署後）。 這是為了讓演算法可以在追蹤關鍵的新值上進行訓練、捕捉基線，並防止錯誤通知。

• Cloudflare - WAF - High error ratio of 5xx origin response, over 5% in 30min:當 5xx 起源回應錯誤代碼在 30 分鐘內超過起源回應狀態代碼總計數的 5% 時，此警報會偵測到。 此警報將計算 30 分鐘內錯誤代碼 5xx 與整體回應代碼數量的比率。 如果比率超過 5%，就會啟動。 origin 回應表示錯誤回應是由您的 origin 網站伺服器產生。

• Cloudflare - WAF - More than usual 5xx edge response errors (at least 10):當 5xx 邊緣回應錯誤產生的次數超過一般次數時，此警報會偵測到。 如果狀態代碼超過臨界值 10 以上，則會觸發警報。 常數」是演算法根據前 7 天的資料模式動態計算出來的。 該演算法需要一個星期來學習交通模式。 邊緣回應狀態代碼是 Cloudflare 發送給用戶端 (最終用戶) 的 HTTP 回應代碼。

  由於此警報會在部署 1 週後才開始警示，因此使用者也可以利用類似的警報 Cloudflare - High error ratio of 5xx edge response, over 5% in 30min。 此警報會在部署後立即開始警示異常。

• Cloudflare - WAF - More than usual 4xx origin response errors (at least 10):當 4xx 起源回應錯誤產生的次數超過一般次數時，此警報會偵測到。 如果狀態代碼超過臨界值 10 以上，則會觸發警報。 常數」是演算法根據前 7 天的資料模式動態計算出來的。 該演算法需要一個星期來學習交通模式。 原始回應狀態代碼是從原始伺服器傳送至 Cloudflare 的 HTTP 回應代碼。

• Cloudflare - WAF - More than usual 4xx edge response errors (at least 10):當 4xx 邊緣回應錯誤產生的次數超過一般次數時，此警報會偵測到。 如果狀態代碼超過臨界值 10 以上，則會觸發警報。 常數」是演算法根據前 7 天的資料模式動態計算出來的。 該演算法需要一個星期來學習交通模式。 邊緣回應狀態代碼是 Cloudflare 發送給用戶端 (最終用戶) 的 HTTP 回應代碼。

  由於此警報會在部署 1 週後才開始警示，因此使用者也可以利用類似的警報 Cloudflare - High error ratio of 4xx edge response, over 15% in 30min。 此警報會在部署後立即開始警示異常。

• Cloudflare - WAF - More than usual 5xx origin response errors (at least 10):當 5xx 起源回應錯誤產生的次數超過一般次數時，此警報會偵測到。 如果狀態代碼超過臨界值 10 以上，就會觸發警報。 常數」是演算法根據前 7 天的資料模式動態計算出來的。 該演算法需要一個星期來學習交通模式。 origin 回應表示錯誤回應是由您的 origin 網站伺服器產生。

  由於此警報會在部署 1 週後才開始警示，因此使用者也可以利用類似的警報 Cloudflare - High error ratio of 5xx origin response, over 5% in 30min。 此警報會在部署後立即開始警示異常。

• Cloudflare - WAF - High Volume of Bot Requests:此警報會偵測到大量的殭屍請求。 機器人是網路中的自主程式，可與電腦系統或使用者互動，模仿或取代人類使用者的行為，並執行重複性任務。

• 企業 Cloudflare - WAF - Potential SQLi Attack：當大量包含 Cloudflare WAF SQLi Attack Score 值的日誌顯示有攻擊（分數介於 1 到 20 之間）時，此警報將被觸發。 有關 Cloudflare WAF 攻擊得分的詳細資訊，請參閱 WAF 攻擊得分。

• Cloudflare - WAF - Possible Information Disclosure:當成功的 HTTP GET 請求 ( 2XX 回應) 以 URL 為目標時，此警報會偵測到 結尾有一組特定的檔案副檔名 (例如 txt 檔案)，這些檔案副檔名可能包含不應直接向網際網路揭露的資訊。

  本警報會偵測下列檔案副檔名：

  • 組態檔案：.env、.config、.ini、.conf
  • 備份檔案：.bak、.old、.zip
  • 日誌格式：.log、.txt、.txt 檔案。log.txt
  • 原始碼檔案：.java、.py、.rb
  • 資料庫轉儲檔案：.sql、.dump
  • 備份指令碼：.sh、.bat、.ps1
  • 私密金鑰和憑證：.pem、.key、.p12,.crt

  此警報可能需要根據 Web 應用程式的使用情況進行調整 (也就是說，如果它提供任何上述的檔案副檔名)。 可以新增或移除檔案副檔名，並將匹配條件調整為較低或較高的發生率，以符合 Web 應用程式的運作。

• Cloudflare - WAF - XSS Attack:此警報會偵測可能發生的跨網站指令碼 (XSS) 攻擊。 警示以觸發的 Cloudflare WAF 規則為基礎，這些規則包含代表 XSS 攻擊的特定關鍵字集，在一段確定的時間內，以單一 IP 位址為上下文。

• Cloudflare - WAF - SQLi Attack:此警報會偵測 SQL 注入 (SQLi) 攻擊可能發生的時間。 警示以觸發的 Cloudflare WAF 規則為基礎，這些規則包含代表 SQLi 攻擊的特定關鍵字集，在一段確定的時間內，以單一 IP 位址為上下文。

• Cloudflare - WAF - Remote Code Execution Attack:此警報會偵測何時可能發生遠端程式碼執行 (RCE) 攻擊 警報是基於觸發的 Cloudflare WAF 規則，這些規則包含代表 RCE 攻擊的特定關鍵字集，在一段確定的時間內，並以單一 IP 位址為背景。

• 企業 Cloudflare - WAF - Possible Bypass：此警報依據特定邏輯偵測，可能顯示 Cloudflare WAF 並未封鎖潛在的惡意請求。 此警報依據 Cloudflare WAF 攻擊得分顯示攻擊。

  如果 WAF 動作為「未知」且非「模擬」，以及 WAF 攻擊得分介於 1 和 50 之間，表示受到攻擊或可能受到攻擊，則會觸發警報。

  有關 Cloudflare WAF 攻擊得分的詳細資訊，請參閱 WAF 攻擊得分。

• Cloudflare - WAF - Potential XSS Attack:當大量日誌包含顯示攻擊的 Cloudflare WAF XSS Attack Score 值（分數介於 1 到 20 之間）時，此警報將被觸發。

  有關 Cloudflare WAF 攻擊得分的詳細資訊，請參閱 WAF 攻擊得分。

• Cloudflare - WAF - Potential RCE Attack:當大量日誌包含顯示攻擊的 Cloudflare WAF RCE Attack Score 值（分數介於 1 到 20 之間）時，此警報將被觸發。

  有關 Cloudflare WAF 攻擊得分的詳細資訊，請參閱 WAF 攻擊得分。

• Cloudflare - WAF - Common Vulnerability Attack:當包含已觸發 Cloudflare WAF 規則的日誌在單一 IP 位址的特定時間內提到 CVE 時，即會觸發此警示。

• Cloudflare - WAF - Brute Force on Login URLs:當登入頁面受到可能的暴力攻擊時，就會觸發此警示。

  登入頁面的暴力攻擊包括有系統地嘗試使用者名稱和密碼的多重組合，直到成功登入為止。 此技術所依賴的假設是，弱憑證或常用憑證可以透過徹底的嘗試和錯誤來猜測。

• Cloudflare - WAF - DDoS Attack Detected:此警報會在 Cloudflare 偵測到第 7 層 DDoS ( L7 DDoS ) 攻擊時觸發。 Cloudflare 的第 7 層分散式阻斷服務 ( L7 DDoS ) 保護可偵測並 減緩針對 Web 應用程式應用層的攻擊。 這些攻擊的目的是透過大量的 HTTP 請求來淹沒應用程式或其基礎架構。

• Cloudflare - WAF - Multiple Unknown Actions From Unique IPs:當 Cloudflare 的 Web 應用程式防火牆 (WAF) 在短時間內從單一 IP 位址記錄多個不同的「未知」動作時，即會觸發此警示。

  您需要根據環境的流量模式來微調臨界值。

DNS 警報

• Cloudflare - DNS - Excessive REFUSED Response Code Returned:當 DNS 查詢結果傳回大量 REFUSED 回應碼時，此警報會偵測到。 REFUSED 回應代碼表示 DNS 查詢失敗，因為伺服器拒絕回答查詢。 這可能是由於政策原因。

• Cloudflare - DNS - Excessive SERVFAIL Response Code Returned:當 DNS 查詢結果傳回大量 SERVFAIL 回應碼時，此警報會偵測到。 SERVFAIL 回應代碼表示伺服器故障。 這可能是由於 DNS 伺服器的技術問題。

• Cloudflare - DNS - High Number of NXDOMAIN Responses Returned:當 DNS 查詢結果傳回大量 NXDOMAIN 回應碼時，此警報會偵測到。 NXDOMAIN 回應代碼表示查詢的網域不存在。

• Cloudflare - DNS - Anomalous Number of Uncommon DNS Record Types Observed:此警報會偵測是否有大量 DNS 查詢來自具有不常見記錄類型 (例如 TXT, PTR, 和 NULL) 的主機。

  TXT:表示文字記錄。 這些記錄通常用於電子郵件安全。 PTR: 在反向查詢中提供網域名稱。 NULL: 表示空資源記錄。

稽核警示

• Cloudflare - Audit - No Logs From Cloudflare in The Last 10 Minutes:當 Cloudflare 在過去 10 分鐘內沒有看到使用者帳戶的日誌時，此警報會偵測到。

• Cloudflare - Audit - API Key Viewed:當檢視整個帳戶的 API 令牌時，此警報會偵測到。 API 金鑰是與 Cloudflare API 互動的先前/傳統授權方案。 Cloudflare 建議儘可能使用 API 令牌而非 API 金鑰。 Cloudflare 提供兩種類型的 API 金鑰：

  • 全球 API 金鑰：作為您的主要 API 金鑰。
  • 來源 CA 金鑰：僅在使用 API 建立原始憑證時使用。

• Cloudflare - Audit - API Token Rolled:此警報會在 Cloudflare 使用者 API 令牌滾動時偵測。 如果您的令牌遺失或洩密，您可以建立新的令牌或捲動令牌以產生新的秘密。 將您的 API 令牌滾動到新的令牌會使先前的令牌失效，但存取權限和權限將與先前的 API 令牌相同。

• Cloudflare - Audit - API Token Created:此警報會在 Cloudflare 使用者 API 令牌建立時偵測。 使用 Cloudflare API 需要進行身份驗證，以便 Cloudflare 知道誰在提出請求以及您擁有哪些權限。

• Cloudflare - Audit - A Worker Was Updated:每次更新現有 Cloudflare Worker 時，此警報會偵測到。 Cloudflare Worker 是一個讓無伺服器功能盡可能靠近終端使用者執行的平台。

• Cloudflare - Audit - A Worker Was Created:此警報會在每次建立新 Worker 時偵測。 Cloudflare Worker 是一個讓無伺服器功能盡可能靠近終端使用者執行的平台。

• Cloudflare - Audit - Account password changed:當使用者在帳號登入頁面上選擇「忘記密碼？

• Cloudflare - Audit - Certificate Pack Created:當使用者建立新的 Cloudflare 憑證包時，會觸發此警示。 憑證包是一組共用相同主機名稱的 SSL/TLS 憑證。

• Cloudflare - Audit - A Firewall Rule Created or Updated:此警報會偵測 Cloudflare Firewall 規則是否已建立或更新。

• Cloudflare - Audit - Certificate Pack Expired:當 Cloudflare 憑證封包即將過期或已過期時會觸發此警示。 憑證包是一組共用相同主機名稱的 SSL/TLS 憑證。

• Cloudflare - Audit - Firewall Rule Deleted:當使用者要求刪除 Cloudflare 憑證包時，會觸發此警示。 憑證包是一組共用相同主機名稱的 SSL/TLS 憑證。

• Cloudflare - Audit - DNS A Record Deleted:當 A 記錄被刪除時，此警報會偵測到。

  A 記錄的主要用途是 IPv4 地址查詢。 使用 A 記錄，網路瀏覽器就可以載入使用該網域名稱的網站。

• Cloudflare - Audit - DNS NS Record Deleted:此警報會偵測 NS 記錄是否被刪除。

  名稱伺服器 (NS) 記錄指定網域的權威 DNS 伺服器。 NS 記錄有助於指出網際網路應用程式 (例如網頁瀏覽器) 可在何處找到網域名稱的 IP 位址。 通常會為一個網域名稱指定多個名稱伺服器。

• Cloudflare - Audit - DNS AAAA Record Deleted:當 AAAA 記錄被刪除時，此警報會偵測到。

  AAAA 記錄的主要用途是 IPv6 地址查詢。 使用 AAAA 記錄，網路瀏覽器就可以載入使用該網域名稱的網站。

  透過 AAAA 記錄，攻擊者可以建立自訂網域或將現有網域指向攻擊者控制的 IP。

• Cloudflare - Audit - DNS PTR Record Deleted:當 PTR 記錄被刪除時，此警報會偵測到。

  指標記錄 (PTR) 提供與 IP 位址相關的網域名稱。 DNS PTR 記錄與 A 記錄相反，後者提供與網域名稱相關的 IP 位址。

  DNS PTR 記錄用於 DNS 反向查詢。 當使用者嘗試在瀏覽器中連線到網域名稱時，就會進行 DNS 查詢，將網域名稱與 IP 位址相匹配。 DNS 反向查詢與此過程相反：它是從 IP 位址開始查詢，然後查詢網域名稱。

• Cloudflare - Audit - DNS TXT Record Deleted:當 TXT 記錄被刪除時，此警報會偵測到。

  TXT 記錄是一種 DNS 記錄類型，包含您網域以外來源的文字資訊。 您可以將這些記錄新增到網域設定中。

  您可以將 TXT 記錄用於各種用途，例如驗證網域所有權或 Email 安全性 (如 DKIM 和 SPF 記錄)。

• Cloudflare - Audit - DNS MX Record Deleted:當 MX 記錄被刪除時，此警報會偵測到。

  郵件交換 (MX) 記錄是一種 DNS 記錄類型，可顯示網域的電子郵件應該傳送到何處。 換句話說，MX 記錄可將電子郵件導向郵件伺服器。

• Cloudflare - Audit - DNS CAA Record Deleted:當 CAA 記錄被刪除時，此警報會偵測到。

  CAA 記錄允許網域名稱擁有者聲明允許哪些證書簽發機構為該網域簽發證書。 如果有人向未經授權的憑證授權機構請求憑證，這些憑證授權機構也會提供指示通知規則的方法。 如果沒有 CAA 記錄，則允許任何 CA 為該網域簽發證書。 如果有 CAA 記錄，則只允許記錄中列出的 CA 為該主機名稱簽發憑證。

• Cloudflare - Audit - DNS CNAME Record Deleted:此警報會偵測 CNAME 記錄是否被刪除。

  CNAME (canonical name) 是將網域名稱 (別名) 指向另一個網域名稱的 DNS 記錄。 在 CNAME 記錄中，別名不會指向 IP 位址。 別名指向的網域名稱為正統名稱。

• Cloudflare - Audit - DNS AAAA Record Added or Updated:當 AAAA 記錄被建立或更新時，此警報會偵測到。

  AAAA 記錄的主要用途是 IPv6 地址查詢。 使用 AAAA 記錄，網路瀏覽器就可以載入使用該網域名稱的網站。

• Cloudflare - Audit - DNS TXT Record Added or Updated:當 TXT 記錄被建立或更新時，此警報會偵測到。

  TXT 記錄是一種 DNS 記錄類型，包含您網域以外來源的文字資訊。 您可以將這些記錄新增到網域設定中。

  您可以使用 TXT 記錄來達到各種目的，例如驗證網域所有權或電子郵件安全性 (如 DKIM 和 SPF 記錄)。

• Cloudflare - Audit - DNS MX Record Added or Updated:當 MX 記錄被建立或更新時，此警報會偵測到。

  郵件交換 (MX) 記錄是一種 DNS 記錄類型，可顯示網域的電子郵件應該傳送到何處。 MX 記錄可將電子郵件導向郵件伺服器。

• Cloudflare - Audit - DNS PTR Record Added or Updated:當 PTR 記錄被建立或更新時，此警報會偵測到。

  指標記錄 (PTR) 提供與 IP 位址相關的網域名稱。 DNS PTR 記錄與 A 記錄正好相反，後者提供與網域名稱相關的 IP 位址。

  DNS PTR 記錄用於 DNS 反向查詢。 當使用者嘗試在瀏覽器中連線到網域名稱時，就會進行 DNS 查詢，將網域名稱與 IP 位址相匹配。 DNS 反向查詢與此過程相反：它是從 IP 位址開始查詢，然後查詢網域名稱。

• Cloudflare - Audit - DNS CNAME Record Added or Updated:當 CNAME 記錄被建立或更新時，此警報會偵測到。

  CNAME (canonical name) 是將網域名稱 (別名) 指向另一個網域名稱的 DNS 記錄。 在 CNAME 記錄中，別名不會指向 IP 位址。 而別名指向的網域名稱就是正統名稱。

• Cloudflare - Audit - DNS NS Record Added or Updated:當 NS 記錄被建立或更新時，此警報會偵測到。

  名稱伺服器 (NS) 記錄指定網域的權威 DNS 伺服器。 NS 記錄指向網路瀏覽器等網際網路應用程式可以找到網域名稱 IP 位址的位置。 通常會為一個網域名稱指定多個名稱伺服器。

• Cloudflare - Audit - DNS CAA Record Added or Updated:當 CAA 記錄被建立或更新時，此警報會偵測到。

  CAA 記錄允許網域名稱擁有者聲明允許哪些證書簽發機構為該網域簽發證書。 如果有人向未經授權的憑證授權機構請求憑證，這些憑證授權機構也會提供指示通知規則的方法。 如果沒有 CAA 記錄，則允許任何 CA 為該網域簽發證書。 如果存在 CAA 記錄，則只允許記錄中列出的 CA 為該主機名稱簽發憑證。

• Cloudflare - Audit - DNS A Record Added:此警報會在新增 DNS A 記錄時觸發。