Unser Tool Firewall Analytics erlaubt unseren Kunden, Sicherheitsbedrohungen über eine intuitive Benutzeroberfläche schnell zu erkennen und zu untersuchen. Bisher stand dieses Tool nur unseren Enterprise-Kunden zur Verfügung. Diese konnten damit detaillierte Erkenntnisse über ihren Traffic gewinnen und ihre Sicherheitskonfigurationen noch besser anpassen. Heute können wir bekanntgeben, dass Firewall Analytics nun bei allen kostenpflichtigen Tarifen verfügbar ist, und mehrere Verbesserungen vorstellen, die wir vorgenommen haben.

Die Möglichkeiten von Firewall Analytics können jetzt bei allen kostenpflichtigen Tarifen genutzt werden, zusammen mit den neuesten wichtigen Erweiterungen für die Verbesserung der Arbeitsabläufe und der Produktivität unserer Kunden.

Längere Datenaufbewahrung und Adaptive Sampling

Bisher konnten Enterprise-Kunden für ihre Domains die Firewall Analytics für die letzten 14 Tage aufrufen. Heute verlängern wir die Aufbewahrungsdauer der Daten auf 30 Tage und in den kommenden Monaten noch einmal auf 90 Tage. Zonen im Business und Professional Plan bekommen 30 bzw. 3 Tage Aufbewahrungsdauer.

Neben der verlängerten Aufbewahrungsdauer führen wir Adaptive Sampling ein. Dadurch wird gewährleistet, dass die Ergebnisse der Firewall Analytics schnell und zuverlässig im Cloudflare-Dashboard angezeigt werden, selbst wenn Sie von einem massiven Angriff betroffen sind oder aus anderen Gründen ein großes Anfrageaufkommen erleben.

Adaptives Sampling funktioniert ähnlich wie Netflix: Wenn die Bandbreite Ihrer Internetverbindung eingeschränkt ist, erhalten Sie eine leicht herunterskalierte Version des Videostreams, den Sie gerade ansehen. Wenn sich Ihre Bandbreite erholt, skaliert Netflix wieder auf die höchste verfügbare Qualität hoch.

Firewall Analytics macht solche Stichproben bei jeder Abfrage und bietet dem Kunden die beste in der Benutzeroberfläche erreichbare Genauigkeit angesichts der aktuellen Last für die Zone. Wenn die Ergebnisse nur in Stichproben geliefert werden, wird eine solche Stichprobe in folgender Form dargestellt:

Ereignisbasierte Protokollierung

Die Akzeptanz unserer Firewall-Regel-Engine hat zugenommen, und unsere Kunden wünschen sich immer wieder eine effizientere Möglichkeit, alle Firewall Events zu sehen, die durch eine bestimmte Regel ausgelöst werden. Wenn eine böswillige Anfrage mehreren Regeln entspricht, war es bisher so, dass nur die letzte ausgeführte Regel im Aktivitätsprotokoll angezeigt wurde. Die Kunden mussten erst auf die Anfrage klicken, um zu sehen, ob die gerade betrachtete Regel als „zusätzlicher Treffer“ aufgeführt wurde.

Um diesen Prozess zu optimieren, haben wir die Interaktion der Oberfläche für Firewall Analytics mit dem Aktivitätsprotokoll geändert. Kunden können jetzt nach einer bestimmten Regel (oder anderen Kriterien) filtern und bekommen eine Zeile für jedes Ereignis, das von dieser Regel ausgelöst wird. Durch diese Änderung ist es auch einfacher, alle Anfragen zu überprüfen, die von einer Regel blockiert worden wären. Dazu wird die Regel zuerst im Protokollmodus erstellt und erst danach in den Blockiermodus geändert.

Mit der Challenge Solve Rate weniger falsch-positive Ergebnisse erreichen

Wenn unsere Kunden Regeln schreiben, um unerwünschten, automatisierten Traffic zu blockieren, möchten sie natürlich sichergehen, dass erwünschter Traffic nicht blockiert bzw. durch Challenges beeinträchtigt wird. Menschen, die etwas kaufen möchten, sollen natürlich zugelassen werden – im Unterschied zu Bots, die nur Preise auslesen möchten (Scraping).

Damit Kunden ermitteln können, wie hoch der Prozentsatz möglicherweise unnötiger CAPTCHA-Aufgaben für Nutzer war, es also zu falsch-positiven Ergebnissen kam, zeigen wir jetzt die Challenge Solve Rate (CSR, der Anteil gelöster Aufgaben) für jede Regel an. Wenn Sie höhere Prozentsätze bekommen als erwartet, z. B. für Ihre Bot-Management-Regeln, sollten Sie die Kriterien der Regel vielleicht lockern. Wenn eine Rate von 0 % angezeigt wird, bedeutet das, dass keine CAPTCHAs gelöst werden. Dann sollten Sie die Regel vielleicht gleich von Challenge auf Blockierung umstellen.

Wenn Sie mit dem Mauszeiger über die CSR fahren, wird die Anzahl der erzeugten CAPTCHAs im Vergleich zu den gelösten angezeigt:

Firewall Events exportieren

Business- und Enterprise-Kunden können jetzt einen Satz von bis zu 500 Ereignissen aus dem Aktivitätsprotokoll exportieren. Bei den exportierten Daten handelt es sich um Ereignisse, die nach der Anwendung ausgewählter Filter übrig bleiben.

Spaltenanpassung

Manchmal enthalten die im Aktivitätsprotokoll angezeigten Spalten nicht die Details, die Sie sehen möchten, um die Bedrohung zu analysieren. In diesem Fall können Sie jetzt auf „Spalten bearbeiten“ klicken und die gewünschten Felder auswählen. Beispielsweise möchte ein Kunde, der ein Bot-Problem untersucht, vielleicht auch den User Agent und das Ausgangsland anzeigen lassen. Ein Kunde, der einen DDoS-Angriff untersucht, möchte dagegen möglicherweise Informationen über IP-Adressen, ASNs, Pfade und andere Attribute. Sie können nun wie unten gezeigt einstellen, was Sie sehen möchten.

Wir würden uns über Ihr Feedback und Ihre Vorschläge freuen. Melden Sie sich doch über unsere Community-Foren oder über Ihr Customer Success Team bei uns.

Wenn Sie weitere Neuigkeiten wie diese direkt in Ihren Posteingang erhalten möchten, abonnieren Sie bitte unseren Blog!