このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
サイバーセキュリティの世界では、単一のデータポイントがすべてになることはほとんどありません。最新の攻撃者は、玄関を玄関を開けるだけではありません。 APIを探り、ネットワークを「ノイズ」であふれさせてチームの注意をそらし、盗んだ資格情報を使ってアプリケーションやサーバーをすり抜けようとします。
こうしたマルチベクトル型攻撃を阻止するには、全体像が必要です。Cloudflare Log Explorerを使用してセキュリティフォレンジックを行うと、14の新しいデータセットを統合し、CloudflareのアプリケーションサービスとCloudflare One製品ポートフォリオの全体をカバーする360度の可視性が得られます。セキュリティアナリストは、アプリケーション層のHTTPリクエスト、ネットワーク層のDDoSおよびファイアウォールログ、Zero Trustアクセスイベントのテレメトリを相関させることで、平均検出時間(MTTD)を大幅に短縮し、高度な多層攻撃を効果的に明らかにすることができます。
以下では、Log Explorerがセキュリティチームに、迅速で詳細なフォレンジックのための究極の環境を提供する方法について詳しく解説します。
現代のデジタル環境では、複数の攻撃ベクトルを使用する敵から防御するために、深く関連付けられたテレメトリが必要です。未加工ログは、アプリケーションの「フライト従量課金」のような役割を果たし、すべてのインタラクション、攻撃の試み、パフォーマンスのボトルネックを捕捉します。また、Cloudflareはユーザーとサーバーの間のエッジに位置しているため、こうしたイベントはすべて、リクエストがインフラストラクチャに到達する前に記録されます。
Cloudflare Log Explorerは、これらのログを統一されたインターフェースに集約し、迅速に調査できるようにします。
焦点:Webサイトトラフィック、セキュリティイベント、エッジパフォーマンス
HTTPリスクエスト数 | 最も包括的なデータセットとして、すべてのアプリケーション層トラフィックの「プライマリレコード」として機能し、セッションアクティビティ、悪用の試行、ボットパターンの再構築を可能にします。 |
ファイアウォールイベント | ブロックされた、またはチャレンジが必要な脅威の重要な証拠を提供するため、アナリストは攻撃を傍受した特定のWAFルール、IPレピュテーション、またはカスタムフィルターを特定することができます。 |
DNSログ | 権威エッジで解決されたすべてのクエリを追跡することで、キャッシュポイズニングの試み、ドメインハイジャック、インフラストラクチャレベルの偵察を特定します。 |
NEL(ネットワークエラーログ)レポート | クライアント側のブラウザエラーを追跡することで、協調的なアプリケーション層 DDoS攻撃と正当なネットワーク接続の問題を区別します。 |
Spectrumイベント | 非Webアプリケーションの場合、これらのログはL4トラフィック(TCP/UDP)を可視化し、SSH、RDP、またはカスタムゲーミングトラフィックなどのプロトコルに対する異常や総当たりパスワード攻撃を特定するのに役立ちます。 |
Page Shield | JavaScript、アウトバウンド接続など、サイトのクライアントサイド環境への不正変更を追跡し、監査します。 |
Zaraz イベント | サードパーティのツールや追跡者がユーザーデータとどのようにやり取りしているかを調査します。これは、プライバシーコンプライアンスの監査や無許可のスクリプトの動作の検出に不可欠です。 |
焦点:内部セキュリティ、Zero Trust、管理変更、ネットワークアクティビティ
アクセスリクエスト | IDベースの認証イベントを追跡して、どのユーザーが特定の内部アプリケーションにアクセスしたか、そしてそれらの試みが承認されるかどうかを判断します。 |
監査ログ | Cloudflareダッシュボード内の設定変更の証跡を提供し、無許可の管理アクションや変更を特定します。 |
CASBの発見事項 | SaaSアプリケーション(Google DriveやMicrosoft 365など)内のセキュリティ設定ミスやデータリスクを特定し、不正なデータ漏洩を防止します。 |
Magic Transit / IPSecログ | ネットワークエンジニアが、トンネルの健全性の確認やBGPルーティング変更の表示など、ネットワークレベル(L3)の監視を行うのに役立ちます。 |
ブラウザ分離ログ | 信頼できないサイトでのデータ漏洩を防ぐため、分離されたブラウザセッションの内部でユーザーアクション(コピー&ペースト、印刷、ファイルのアップロードなど)を追跡する |
デバイスポスチャー結果 | ネットワークに接続したデバイスのセキュリティの健全性とコンプライアンスステータスを詳細に確認し、侵害されたエンドポイントや非準拠のエンドポイントを特定するのに役立ちます。 |
DEXアプリケーションテスト | ユーザーの視点からアプリケーションパフォーマンスを監視することで、セキュリティ関連の障害と通常的なパフォーマンス低下を区別することができます。 |
DEXデバイス状態イベント | ユーザーデバイスの物理的な状態に関するテレメトリを提供し、ハードウェアまたはOSレベルの異常と潜在的なセキュリティインシデントを関連付けるのに役立ちます。 |
DNSファイアウォールログ | DNSファイアウォールを介してフィルタリングされたDNSクエリを追跡し、既知の悪意のあるドメインまたはコマンド&コントロール(C2)サーバーとの通信を特定します。 |
Email Securityアラート | ゲートウェイで検出された悪意あるメール活動やフィッシング試行をログに記録し、メールベースの侵入ベクトルの送信元を追跡します。 |
Gateway DNS | ネットワーク上のユーザーが行ったすべてのDNSクエリを監視し、シャドーIT、マルウェアコールバック、ドメイン生成アルゴリズム(DGA)を特定します。 |
ゲートウェイHTTP | 暗号化されたWebトラフィックと暗号化されていないWebトラフィックを完全に可視化し、隠れた悪意のあるペイロードや悪意のあるファイルのダウンロード、SaaSの不正使用を検出します。 |
ゲートウェイネットワーク | L3/L4ネットワークトラフィック(非HTTP)を追跡し、不正なポートの使用、プロトコルの異常、ネットワーク内のラテラルムーブメントを特定します。 |
IPSecログ | 暗号化されたサイト間トンネルのステータスとトラフィックを監視し、安全なネットワーク接続の完全性と可用性を確保します。 |
Magic IDS検出 | 侵入検知シグネチャとの一致を表面化し、調査者に既知のエクスプロイトパターンやネットワークを通過するマルウェアの動作を警告します。 |
ネットワーク分析ログ | パケットレベルのデータをハイレベルで可視化し、帯域幅消費型DDoS攻撃や特定のインフラストラクチャを標的とした異常なトラフィックスパイクを特定します。 |
シンクホールHTTPログ | 「シンクホール化」されたIPアドレスに向けられたトラフィックをキャプチャし、どの内部デバイスが既知のボットネットインフラストラクチャと通信しようとしているかを確認します。 |
WARP設定変更 | エンドユーザーデバイスのWARPクライアント設定の変更を追跡し、セキュリティエージェントが改ざんされたり、無効化されていないことを確認します。 |
WARPのトグル変更 | 具体的には、ユーザーが安全な接続を有効または無効にしたときのログを記録し、デバイスが保護されていない期間を特定するのに役立ちます。 |
Zero Trustネットワークセッションログ | 認証されたユーザーセッションの期間とステータスを記録し、保護された境界内でのユーザーアクセスの全ライフサイクルをマッピングします。 |
Log Explorerは、各段階で悪意のあるアクティビティを特定できます
HTTPリクエスト、ファイアウォールイベント、DNSログでアプリケーション層を詳細に可視化し、トラフィックがどのように公開プロパティに到達しているかを正確に把握します。アクセス要求、Gatewayログ、および監査ログで内部的な移動を追跡します。認証情報が侵害された場合、その行き先を確認できます。Magic IDSとネットワーク分析のログを使用して、帯域幅消費型攻撃やプライベートネットワーク内の「East-West」ラテラルムーブメントを特定します。
攻撃者は、スキャナーやその他のツールを使用して、侵入口、隠れたディレクトリ、またはソフトウェアの脆弱性を探します。これを特定するには、Log Explorer を使用して、単一の IP からの 401、403、または 404 の EdgeResponseStatus コード、または機密パス (例: http_requests) のリクエストをクエリできます。/.env, /.git, /wp-admin)。
さらに、magic_ids_detections ログも、ネットワーク層でのスキャンを特定するために使用することができます。これらのログは、ネットワークを標的とする脅威をパケットレベルで可視化します。標準的なHTTPログとは異なり、これらのログは、ネットワーク層およびトランスポート層(IP、TCP、UDP)におけるシグネチャベースの検出に重点を置いています。単一のSourceIPが短時間の時間枠で幅広いDestinationPort値にわたる複数のユニーク検出をトリガーするケースを検出するクエリー。Magic IDS署名は、特にNmapスキャンやSYNステルススキャンなどのアクティビティにフラグを立てることができます。
攻撃者は偵察を行っている間も、同時にネットワークフラッドを仕掛けてこれを偽装しようとするかもしれません。network_analytics_logs にピボットして、ボリューメトリック攻撃が煙幕として使用されているかどうかを確認します。
攻撃者が潜在的な脆弱性を特定すると、武器を作り始めます。攻撃者は、悪意のあるペイロード(SQLインジェクションや大きなファイル、破損したファイルのアップロードなど)を使用して脆弱性を確認するよう求められます。http_requestsやfw_eventsを確認して、トリガーされたCloudflare検出ツールを特定します。Cloudflareは、これらのデータセットのセキュリティシグナルをログに記録し、WAFAttackScore、WAFSQLiAttackScore、FraudAttack、ContentScanJobResultsなどのフィールドを使って、悪意のあるペイロードを持つリクエストを容易に識別します。これらのフィールドを十分に理解するには、当社のドキュメントをご覧ください。fw_eventsログは、action、source、およびruleIDフィールドを調べることで、これらのリクエストがCloudflareの防御を通過したかどうかを判断するために使用できます。Cloudflareのマネージドルールは、デフォルトでこれらの悪意のあるペイロードの多くをブロックします。アプリケーションセキュリティの概要を確認して、アプリケーションが保護されているかどうかを確認します。
現在のゾーンでマネージドルールが有効になっていない場合、セキュリティの概要に表示されるマネージドルールインサイトを表示する
その不審なIPはログインに成功したのでしょうか?ClientIPを使用してaccess_requestsを検索します。機密性の高い内部アプリに対して"決定:許可"と表示されれば、アカウントが侵害されていることがわかります。
攻撃者は、DNSトンネリングを使用して、機密データ(パスワードやSSHキーなど)をDNSクエリにエンコードすることにより、ファイアウォールを回避することがあります。google.comのような通常のリクエストではなく、ログにはエンコードされた長い文字列が表示されます。フィールドを調べて、独自で長い、高エントロピーのサブドメインに対する異常に多いクエリを探しましょう: QueryName: h3ldo293js92.example.com のような文字列を探します。QueryType: 悪意のあるペイロードの転送にTXT、CNAME、またはNULLレコードを使用することが多く、ClientIP: 単一の内部ホストが数千の固有リクエストを生成しているかどうかを識別します。
さらに、攻撃者は、非標準のプロトコル内に機密データを隠したり、一般的なプロトコル(DNSやICMPなど)を使用して標準的なファイアウォールをバイパスすることで、機密データを漏えいさせようとすることがあります。magic_ids_detectionsログをクエリして、SignatureMessageの「ICMPトンネリング」や「DNSトンネリング」など、プロトコルの異常にフラグを立てるシグネチャを探して、これを見つけてください。
ゼロデイ脆弱性を調査する場合でも、高度なボットネットを追跡する場合でも、必要なデータがすぐ利用できるようになっています。
複数の同時検索を切り替えて、複数のデータセットにわたる悪意のあるアクティビティを調査します。Log Explorerでは、新しいタブ機能で複数のクエリーを同時に操作できるようになりました。タブを切り替えてデータセットをクエリしたり、クエリ結果を介してフィルタリングしてクエリを調整したりすることもできます。
複数のCloudflareログソースのデータを相関させると、分離して表示すると良性に見える高度な複数段階の攻撃を検出することができます。このデータセット横断的な分析により、偵察から流出まで、攻撃の連鎖の全体像を把握できます。
シナリオ: ユーザーがCloudflare Accessを介して認証しますが、後続のHTTP_requestトラフィックはボットのように見えます。
ステップ1: http_requests内の高リスクセッションを特定します。
SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore
FROM http_requests
WHERE date = '2026-02-22'
AND BotScore < 20
LIMIT 100
ステップ2: RayIDをコピーし、access_requestsを検索して、その不審なボットアクティビティに関連付けられているユーザーアカウントを確認します。
SELECT Email, IPAddress, Allowed
FROM access_requests
WHERE date = '2026-02-22'
AND RayID = 'INSERT_RAY_ID_HERE'
シナリオ:従業員がフィッシングメールのリンクをクリックした結果、ワークステーションが侵害されました。このワークステーションは、既知の悪意のあるドメインに対してDNSクエリーを送信し、その後すぐにIDSアラートをトリガーします。
ステップ1: email_security_alertsの違反を調べて、フィッシング攻撃を見つけます。
SELECT Timestamp, Threatcategories, To, Alertreason
FROM email_security_alerts
WHERE date = '2026-02-22'
AND Threatcategories LIKE 'phishing'
ステップ2:アクセスログを使用して、ユーザーのメール(To)をIPアドレスと関連付けます。
SELECT Email, IPAddress
FROM access_requests
WHERE date = '2026-02-22'
ステップ3: gateway_dnsログで、特定の悪意のあるドメインにクエリを実行している内部IPを見つけます。
SELECT SrcIP, QueryName, DstIP,
FROM gateway_dns
WHERE date = '2026-02-22'
AND SrcIP = 'INSERT_IP_FROM_PREVIOUS_QUERY'
AND QueryName LIKE '%malicious_domain_name%'
ラテラルムーブメント(Access → ネットワークプロービング)
シナリオ:ユーザーはZero Trust経由でログインし、内部ネットワークをスキャンしようとします。
ステップ1:
SELECT IPAddress, Email, Country
FROM access_requests
WHERE date = '2026-02-22'
AND Allowed = true
AND Country != 'US' -- Replace with your HQ country
ステップ2:そのIPアドレスがmagic_ids_detectionsでネットワークレベルの署名をトリガーしているかどうかを確認します。
SELECT SignatureMessage, DestinationIP, Protocol
FROM magic_ids_detections
WHERE date = '2026-02-22'
AND SourceIP = 'INSERT_IP_ADDRESS_HERE'
Log Explorerは、最初から拡張性を念頭に設計されています。すべてのデータセットスキーマは、JSONデータの構造とタイプを記述するための広く採用されている標準であるJSONスキーマを使用して定義されます。この設計上の決定により、HTTPリクエストとファイアウォールイベントを超えて、Cloudflareの幅広いテレメトリに容易に拡張できるようになりました。初期のデータセットを支えていたのと同じスキーマ駆動型のアプローチは、Zero Trustログ、ネットワーク分析、メールセキュリティアラート、そしてその間のあらゆる機能に対応するために、自然に拡張することができました。
さらに重要なのは、この標準化により、Cloudflareのネイティブのテレメトリを超えたデータ取り込みが可能になることです。当社の取り込みパイプラインはハードコードされていないスキーマ駆動型であるため、JSON形式で表現できるどのような構造化データでも受け付けることができます。これは、ハイブリッド環境を管理するセキュリティチームにとって、Log Explorerは最終的には単一の管理画面として機能し、Cloudflareのエッジテレメトリとサードパーティソースからのログを相関させ、すべて同じSQLインターフェースを介してクエリーを可能にすることを意味します。本日のリリースは、Cloudflareの製品ポートフォリオを網羅することに焦点を当てていますが、アーキテクチャ上の基盤は、お客様がカスタムスキーマで独自のデータソースを持ち込める将来に向けたものです。
より迅速なデータ、より迅速なレスポンス:アーキテクチャのアップグレード
マルチベクトル型攻撃を効果的に調査するには、タイミングがすべてです。ログの可用性が数分遅れるだけでも、事前予防的な防御と事後対応型の被害制御の違いにつながる可能性があります。
そこで、取り込みを最適化して、速度と耐障害性を向上させました。取り込みパスの一部でコンカレンシーを高めることで、「うるさい隣人」問題を引き起こす可能性のあるボトルネックを排除し、あるクライアントのデータ急増が別のクライアントの可視性を低下させないようにしました。このアーキテクチャ作業により、P99の取り込み遅延が約55%、P50は25%短縮され、エッジのイベントがSQLクエリに利用できるようになるまでの時間を短縮することができました。
アーキテクチャのアップグレード後の取り込み遅延の減少を示すGrafanaグラフ
これは始まりにすぎません。当社は、カスタム定義スケジュールでこれらの検出クエリを実行する機能など、Log Explorerエクスペリエンスをさらに向上させるために、さらに強力な機能の開発に積極的に取り組んでいます。
今後のLog Explorerのスケジュールされたクエリー機能の設計モックアップ
ブログの配信登録を行い、変更ログでLog Explorerのさらなる更新情報にまもなくご注目ください。
Log Explorerにアクセスするには、ダッシュから直接セルフサービスを購入するか、契約顧客の場合はコンサルテーションをご依頼いただくか、アカウントマネージャーにご連絡ください。詳細は開発者向けドキュメントをご覧ください。