DocsDigest
Back to listLanguage: JA
ClaudeCloudflareMar 10, 2026, 1:00 PM

Investigating multi-vector attacks in Log Explorer

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-sonnet-4-20250514

Cloudflare Log Explorer Enhances Multi-Vector Attack Investigation with 14 New Datasets

log-explorersecurity-forensicsmulti-vector-attackscloudflarethreat-detectionzero-trustincident-response

Key Points

  • 14 new integrated datasets for comprehensive security visibility
  • Cross-dataset correlation to detect multi-stage attack chains
  • Reduced MTTD through unified forensics interface

Summary

Cloudflare Log Explorer now integrates 14 new datasets providing comprehensive visibility across Application Services and Cloudflare One portfolios. This enhancement enables security analysts to investigate sophisticated multi-vector attacks by correlating telemetry from application-layer HTTP requests, network-layer DDoS/Firewall logs, and Zero Trust Access events, significantly reducing Mean Time to Detect (MTTD).

Key Points

  • Zone-Scoped Logs: HTTP Requests, Firewall Events, DNS Logs, NEL Reports, Spectrum Events, Page Shield, and Zaraz Events for website traffic and edge security
  • Account-Scoped Logs: Access Requests, Audit Logs, CASB Findings, Magic Transit/IPSec, Browser Isolation, Device Posture, DEX metrics, DNS Firewall, Email Security, Gateway logs, Magic IDS, Network Analytics, Sinkhole HTTP, WARP changes, and Zero Trust Network Sessions
  • Multi-Stage Attack Detection: Identify reconnaissance through 401/403/404 patterns, detect diversions via volumetric attacks, analyze malicious payloads using WAF scores, audit compromised identities, and stop data exfiltration through DNS tunneling
  • Cross-Dataset Correlation: New Tabs feature enables simultaneous queries across multiple datasets to detect sophisticated attack chains from reconnaissance to exfiltration
  • Practical Investigation Workflows: Includes specific SQL queries and field mappings for session hijacking, post-phishing C2 beaconing, and other common attack scenarios

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-sonnet-4-20250514

Log Explorerでマルチベクター攻撃を調査する

Log Explorerでマルチベクター攻撃を調査する

2026-03-10
Jen Sells、Claudio Jolowicz、Nico Gutierrez
8分で読める

サイバーセキュリティの世界では、単一のデータポイントが全体像を表すことはほとんどありません。現代の攻撃者は正面玄関をノックするだけでなく、APIを調査し、チームの注意をそらすために「ノイズ」でネットワークを氾濫させ、盗んだ認証情報を使用してアプリケーションやサーバーを通り抜けようと試みます。これらのマルチベクター攻撃を阻止するには、全体像が必要です。

Cloudflare Log Explorerを使用してセキュリティフォレンジックを実施することで、CloudflareのApplication ServicesとCloudflare One製品ポートフォリオの全面をカバーする14の新しいデータセットの統合により、360度の可視性を得ることができます。アプリケーション層のHTTPリクエスト、ネットワーク層のDDoSとFirewallログ、Zero Trust Accessイベントからのテレメトリを関連付けることで、セキュリティアナリストは平均検出時間(MTTD)を大幅に短縮し、洗練された多層攻撃を効果的に暴くことができます。

Log Explorerがセキュリティチームに迅速で詳細なフォレンジックのための究極の環境をどのように提供するかについて詳しく学んでください。

スタック全体のフライトレコーダー

現代のデジタル環境では、複数の攻撃ベクターを使用する敵対者から防御するために、深く関連付けられたテレメトリが必要です。生ログはアプリケーションの「フライトレコーダー」として機能し、すべての相互作用、攻撃の試み、パフォーマンスのボトルネックを記録します。そして、Cloudflareはユーザーとサーバーの間のエッジに位置するため、これらのイベントはすべて、リクエストがインフラストラクチャに到達する前にログに記録されます。

Cloudflare Log Explorerは、これらのログを迅速な調査のための統一されたインターフェースに集約します。

サポートされるログタイプ

ゾーンスコープログ

焦点: ウェブサイトトラフィック、セキュリティイベント、エッジパフォーマンス

HTTP Requests
最も包括的なデータセットとして、すべてのアプリケーション層トラフィックの「主要記録」として機能し、セッション活動、エクスプロイトの試み、ボットパターンの再構築を可能にします。

Firewall Events
ブロックまたはチャレンジされた脅威の重要な証拠を提供し、アナリストが攻撃を阻止した特定のWAFルール、IP評価、またはカスタムフィルターを特定できるようにします。

DNS Logs
権威エッジで解決されたすべてのクエリを追跡することで、キャッシュポイズニングの試み、ドメインハイジャック、インフラストラクチャレベルの偵察を特定します。

NEL (Network Error Logging) Reports
クライアント側のブラウザエラーを追跡することで、協調的なLayer 7 DDoS攻撃と正当なネットワーク接続の問題を区別します。

Spectrum Events
非ウェブアプリケーションの場合、これらのログはL4トラフィック(TCP/UDP)への可視性を提供し、SSH、RDP、またはカスタムゲーミングトラフィックなどのプロトコルに対する異常やブルートフォース攻撃を特定するのに役立ちます。

Page Shield
JavaScript、アウトバウンド接続など、サイトのクライアント側環境への不正な変更を追跡および監査します。

Zaraz Events
サードパーティツールやトラッカーがユーザーデータとどのように相互作用しているかを調査します。これはプライバシーコンプライアンスの監査と不正なスクリプト動作の検出に重要です。

アカウントスコープログ

焦点: 内部セキュリティ、Zero Trust、管理変更、ネットワーク活動

Access Requests
アイデンティティベースの認証イベントを追跡し、どのユーザーが特定の内部アプリケーションにアクセスしたか、およびそれらの試みが承認されたかどうかを判断します。

Audit Logs
Cloudflareダッシュボード内の設定変更の証跡を提供し、不正な管理アクションや変更を特定します。

CASB Findings
SaaSアプリケーション(Google DriveやMicrosoft 365など)内のセキュリティ設定ミスとデータリスクを特定し、不正なデータ露出を防ぎます。

Magic Transit / IPSec Logs
ネットワークエンジニアがトンネルの健全性の確認やBGPルーティング変更の表示などのネットワークレベル(L3)監視を実行するのに役立ちます。

Browser Isolation Logs
分離されたブラウザセッション内でのユーザーアクション(コピー&ペースト、印刷、ファイルアップロードなど)を追跡し、信頼できないサイトでのデータ漏洩を防ぎます。

Device Posture Results
ネットワークに接続するデバイスのセキュリティ健全性とコンプライアンス状況を詳述し、侵害されたまたは非準拠のエンドポイントを特定するのに役立ちます。

DEX Application Tests
ユーザーの視点からアプリケーションパフォーマンスを監視し、セキュリティ関連の停止と標準的なパフォーマンス低下を区別するのに役立ちます。

DEX Device State Events
ユーザーデバイスの物理的状態に関するテレメトリを提供し、ハードウェアやOSレベルの異常と潜在的なセキュリティインシデントを関連付けるのに有用です。

DNS Firewall Logs
DNS Firewallを通じてフィルタリングされたDNSクエリを追跡し、既知の悪意のあるドメインやコマンド&コントロール(C2)サーバーとの通信を特定します。

Email Security Alerts
ゲートウェイで検出された悪意のあるメール活動とフィッシングの試みをログに記録し、メールベースの侵入ベクターの起源を追跡します。

Gateway DNS
ネットワーク上のユーザーが行うすべてのDNSクエリを監視し、シャドウIT、マルウェアコールバック、またはドメイン生成アルゴリズム(DGA)を特定します。

Gateway HTTP
暗号化および非暗号化ウェブトラフィックへの完全な可視性を提供し、隠されたペイロード、悪意のあるファイルダウンロード、または不正なSaaS使用を検出します。

Gateway Network
L3/L4ネットワークトラフィック(非HTTP)を追跡し、不正なポート使用、プロトコル異常、またはネットワーク内の横方向の移動を特定します。

IPSec Logs
暗号化されたサイト間トンネルのステータスとトラフィックを監視し、セキュアなネットワーク接続の整合性と可用性を確保します。

Magic IDS Detections
侵入検知シグネチャとのマッチを表面化し、ネットワークを通過する既知のエクスプロイトパターンやマルウェア動作を調査者に警告します。

Network Analytics Logs
パケットレベルデータへの高レベルの可視性を提供し、特定のインフラストラクチャを標的とする大容量DDoS攻撃や異常なトラフィックスパイクを特定します。

Sinkhole HTTP Logs
「シンクホール」されたIPアドレスに向けられたトラフィックをキャプチャし、どの内部デバイスが既知のボットネットインフラストラクチャとの通信を試みているかを確認します。

WARP Config Changes
エンドユーザーデバイス上のWARPクライアント設定への変更を追跡し、セキュリティエージェントが改ざんまたは無効化されていないことを確認します。

WARP Toggle Changes
ユーザーがセキュア接続を有効または無効にした時を具体的にログに記録し、デバイスが保護されていない可能性がある期間を特定するのに役立ちます。

Zero Trust Network Session Logs
認証されたユーザーセッションの期間とステータスをログに記録し、保護された境界内でのユーザーアクセスの完全なライフサイクルをマッピングします。

Log Explorerはあらゆる段階で悪意のある活動を特定可能

  • HTTP RequestsFirewall EventsDNS logsで詳細なアプリケーション層の可視性を取得し、トラフィックが公開プロパティにどのように到達しているかを正確に確認
  • Access RequestsGateway logsAudit logsで内部移動を追跡。認証情報が侵害された場合、どこに行ったかがわかります
  • Magic IDSNetwork Analytics logsを使用して、プライベートネットワーク内の大容量攻撃と「East-West」横方向移動を発見

偵察の特定

攻撃者はスキャナーやその他のツールを使用して、エントリーポイント、隠されたディレクトリ、またはソフトウェアの脆弱性を探します。これを特定するために、Log Explorerを使用して、単一のIPからの401、403、または404のEdgeResponseStatusコード、または機密パス(例:/.env/.git/wp-admin)へのリクエストについてhttp_requestsをクエリできます。

さらに、magic_ids_detectionsログを使用してネットワーク層でのスキャンを特定することもできます。これらのログは、ネットワークを標的とする脅威へのパケットレベルの可視性を提供します。標準のHTTPログとは異なり、これらのログはネットワークおよびトランスポート層(IP、TCP、UDP)でのシグネチャベースの検出に焦点を当てています。

単一のSourceIPが短時間で広範囲のDestinationPort値にわたって複数の固有の検出をトリガーしているケースを発見するクエリを実行してください。Magic IDSシグネチャは、Nmapスキャンやステルスscanなどの活動を具体的にフラグできます。

陽動作戦の確認

攻撃者が偵察を行っている間、同時にネットワークフラッドでこれを偽装しようとする可能性があります。network_analytics_logsにピボットして、大容量攻撃が煙幕として使用されているかどうかを確認してください。

アプローチの特定

攻撃者が潜在的な脆弱性を特定すると、武器の作成を開始します。攻撃者は悪意のあるペイロード(SQLインジェクションや大きな/破損したファイルアップロードなど)を送信して脆弱性を確認します。

http_requestsおよび/またはfw_eventsを確認して、トリガーされたCloudflare検出ツールを特定してください。Cloudflareは、WAFAttackScoreWAFSQLiAttackScoreFraudAttackContentScanJobResultsなどのフィールドを使用して悪意のあるペイロードを持つリクエストを簡単に特定するために、これらのデータセットにセキュリティシグナルをログに記録します。これらのフィールドの完全な理解については、ドキュメントを確認してください。

fw_eventsログは、actionsourceruleIDフィールドを調べることで、これらのリクエストがCloudflareの防御を通過したかどうかを判断するために使用できます。Cloudflareの管理ルールは、デフォルトでこれらのペイロードの多くをブロックします。アプリケーションが保護されているかどうかを知るには、Application Security Overviewを確認してください。

アイデンティティの監査

その疑わしいIPはログインに成功しましたか?ClientIPを使用してaccess_requestsを検索してください。機密の内部アプリに対して「Decision: Allow」が表示される場合、アカウントが侵害されていることがわかります。

漏洩の阻止(データ流出)

攻撃者は時々、機密データ(パスワードやSSHキーなど)をDNSクエリにエンコードしてファイアウォールをバイパスするためにDNSトンネリングを使用します。google.comのような通常のリクエストの代わりに、ログには長いエンコードされた文字列が表示されます。

以下のフィールドを調べて、固有で長く、高エントロピーのサブドメインに対する異常に大量のクエリを探してください:

  • QueryName: h3ldo293js92.example.comのような文字列を探す
  • QueryType: 多くの場合、ペイロードを運ぶためにTXT、CNAME、またはNULLレコードを使用
  • ClientIP: 単一の内部ホストがこれらの固有のリクエストを数千件生成しているかを特定

さらに、攻撃者は標準的なファイアウォールをバイパスするために、非標準プロトコル内に機密データを隠したり、一般的なプロトコル(DNSやICMPなど)を異常な方法で使用したりして機密データを漏洩させようとする可能性があります。

magic_ids_detectionsログをクエリして、SignatureMessage内の「ICMPトンネリング」や「DNSトンネリング」検出など、プロトコル異常をフラグするシグネチャを探すことでこれを発見してください。

ゼロデイ脆弱性を調査している場合でも、洗練されたボットネットを追跡している場合でも、必要なデータが手の届くところにあります。

データセット間の関連付け

新しいTabsフィーチャーにより、Log Explorerで複数のクエリを同時に操作できるようになりました。複数の同時検索間をピボットして、複数のデータセットにわたる悪意のある活動を調査してください。タブを切り替えて異なるデータセットをクエリしたり、クエリ結果を通じてフィルタリングを使用してクエリをピボットおよび調整したりできます。

複数のCloudflareログソース間でデータを関連付けることで、単独で見ると良性に見える洗練された多段階攻撃を検出できます。このクロスデータセット分析により、偵察から流出まで完全な攻撃チェーンを見ることができます。

セッションハイジャック(トークン盗難)

シナリオ: ユーザーがCloudflare Access経由で認証したが、その後のHTTP_requestトラフィックがボットのように見える。

ステップ1: http_requestsで高リスクセッションを特定。

SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore 
FROM http_requests 
WHERE date = '2026-02-22' 
AND BotScore < 20 
LIMIT 100

ステップ2: RayIDをコピーしてaccess_requestsを検索し、その疑わしいボット活動に関連付けられているユーザーアカウントを確認。

SELECT Email, IPAddress, Allowed 
FROM access_requests 
WHERE date = '2026-02-22' 
AND RayID = 'INSERT_RAY_ID_HERE'

フィッシング後のC2ビーコニング

シナリオ: 従業員がフィッシングメール内のリンクをクリックし、ワークステーションが侵害された。このワークステーションは既知の悪意のあるドメインに対してDNSクエリを送信し、その直後にIDS警告をトリガーする。

ステップ1: 以下を調べてフィッシング攻撃を発見