Notre outil Firewall Analytics permet aux clients d'identifier et d'enquêter rapidement sur les menaces de sécurité à l'aide d'une interface intuitive. Jusqu'à présent, cet outil n'était disponible que pour nos clients Enterprise, qui l'utilisaient pour obtenir des informations détaillées sur leur trafic et mieux adapter leurs configurations de sécurité. Aujourd'hui, nous sommes heureux de mettre Firewall Analytics à la disposition de toutes les offres payantes et de vous communiquer les détails de plusieurs améliorations récentes.

Toutes les offres payantes peuvent maintenant bénéficier de ces capacités et de plusieurs améliorations importantes que nous avons apportées pour améliorer le flux de travail et la productivité de nos clients.

Rétention de données et échantillonnage adaptatif augmentés

Auparavant, les clients Entreprise pouvaient afficher 14 jours d'analyse de pare-feu pour leurs domaines. Nous portons cette durée de rétention à 30 jours aujourd’hui et 90 jours dans les mois à venir. Les zones des offres Business et Professionnal bénéficieront respectivement de 30 et 3 jours de rétention.

En plus de la rétention prolongée, nous introduisons l'échantillonnage adaptatif pour que les résultats de Firewall Analytics soient affichés dans le tableau de bord Cloudflare de manière rapide et fiable, même lorsque vous subissez une attaque massive ou que vous recevez un grand volume de requêtes.

L'échantillonnage adaptatif fonctionne de manière similaire à Netflix : lorsque votre connexion Internet fonctionne à faible débit, vous recevez une version légèrement dégradée du flux vidéo que vous regardez. Lorsque votre bande passante se rétablit, Netflix bascule alors à nouveau vers la plus haute qualité disponible.

Firewall Analytics effectue cet échantillonnage sur chaque requête, ce qui garantit aux clients la meilleure précision disponible dans l’IU, compte tenu de la charge existant sur la zone. Lorsque les résultats sont échantillonnés, le taux d'échantillonnage s'affiche comme indiqué ci-dessous :

Journalisation en fonction des événements

A mesure que l'adoption de notre moteur de Règles de pare-feu expressives se développe, une demande constante exprimée par nos clients consiste à trouver une façon plus rationnelle de voir tous les événements de pare-feu générés par une règle spécifique. Jusqu'à présent, si une requête malveillante correspondait à plusieurs règles, seule la dernière exécutée était affichée dans le journal des activités, ce qui obligeait les clients à cliquer dans la requête pour voir si la règle sur laquelle ils enquêtaient était répertoriée comme une « Correspondance supplémentaire » (Additional match).

Pour rationaliser ce processus, nous avons modifié la façon dont l'IU de Firewall Analytics interagit avec le journal des activités. Les clients peuvent maintenant filtrer par une règle spécifique (ou tout autre critère) et voir une ligne pour chaque événement généré par cette règle. Cette modification facilite également l'examen de toutes les demandes qui auraient été bloquées par une règle, en la créant d'abord en mode Log (Journal) avant de la transformer en Block (Bloquer).

Taux de résolution des tests pour aider à réduire les faux positifs

Lorsque nos clients écrivent des règles pour bloquer le trafic automatisé indésirable, ils veulent s'assurer qu'ils ne bloquent pas ou ne gênent pas le trafic désiré. Par exemple, des personnes qui veulent faire un achat devront être autorisées à le faire, mais pas les bots qui recueillent automatiquement des prix.

Pour aider les clients à déterminer le pourcentage inutile des tests CAPTCHA renvoyés aux utilisateurs, c'est-à-dire les faux positifs, nous indiquons maintenant le taux de résolution des tests (Challenge Solve Rate (CSR) pour chaque règle. Si vous constatez des taux plus élevés que la normale, par exemple pour vos règlesBot Management (gestion des bots), vous pouvez assouplir les critères de la règle. Si le taux que vous voyez est de 0 %, ce qui indique qu'aucun CAPTCHA n'est résolu, vous pouvez directement passer la règle à Block au lieu de tester.

En pointant sur le taux de CSR, on peut voir le nombre de CAPTCHA émis par rapport au nombre de CAPTCHA résolus :

Exportation des événements de pare-feu

Les clients Business et Enterprise peuvent désormais exporter un ensemble de 500 événements à partir du journal des activités (Activity Log). Les données exportées sont les événements qui restent après l'application des filtres sélectionnés.

Personnalisation des colonnes

Parfois, les colonnes affichées dans le journal des activités ne contiennent pas les détails souhaités pour analyser la menace. Si tel est le cas, vous pouvez maintenant cliquer sur « Edit Columns » (Modifier les colonnes) pour sélectionner les champs que vous voulez voir. Par exemple, un client qui diagnostique un problème lié à un bot souhaite probablement également voir l'agent utilisateur et le pays source tandis qu'un client qui enquête sur une attaque DDoS souhaite voir les adresses IP, les ASN, le chemin et d'autres attributs. Vous pouvez maintenant personnaliser ce que vous aimeriez voir comme indiqué ci-dessous.

Nous serions heureux de recevoir vos commentaires et vos suggestions, n'hésitez pas à nous contacter via nos forums de discussion ou par l'intermédiaire de votre équipe Customer Success.

Si vous souhaitez recevoir d'autres informations comme ce post directement dans votre boîte de réception, abonnez-vous à notre Blog !