Por Bharat Nallan Chakravarthy & Jon Levine
¡Nos complace anunciar una nueva apariencia y nuevas capacidades para los registros de Cloudflare! Los clientes de nuestro plan Enterprise ahora pueden configurar Logpush para eventos de firewall e informes de registros de errores de red directamente desde el panel de control. Además, es más fácil enviar registros directamente a nuestros socios de análisis Microsoft Azure Sentinel, Splunk, Sumo Logic y Datadog. Esta publicación de blog analiza cómo los clientes usan los registros de Cloudflare, cómo hemos facilitado el consumo de registros y recorre la nueva interfaz de usuario.
Nuevos conjuntos de datos para conocer más productos
Los registros de Cloudflare son casi tan antiguos como el propio Cloudflare, pero tenemos algunas mejoras importantes: nuevos conjuntos de datos y nuevos destinos.
Cloudflare tiene una gran cantidad de productos y casi todos pueden generar registros en diferentes conjuntos de datos . Tenemos registros de "solicitud HTTP", o una línea de registro para cada solicitud HTTP L7 que manejamos (ya sea en caché o no). También proporcionamos registros de conexión para Spectrum, nuestro proxy para cualquier aplicación basada en TCP o UDP. Gateway, que forma parte de nuestra suite Cloudflare for Teams, puede proporcionar registros para el tráfico HTTP y DNS .
Hoy presentamos dos nuevos conjuntos de datos:
Firewall Events brinda información sobre el tráfico malicioso manejado por Cloudflare. Proporciona información detallada sobre todo lo que hace nuestro WAF. Por ejemplo, Firewall Events muestra si una solicitud se bloqueó por completo o si emitimos un desafío CAPTCHA. Hace aproximadamente un año presentamos la capacidad de enviar eventos de firewall directamente a su SIEM; a partir de hoy, me complace compartir que puede habilitar esto directamente desde el panel de control.
Los informes de registro de errores de red (NEL) proporcionan información sobre los clientes que no pueden comunicarse con nuestra red. Para habilitar los informes NEL para su zona y comenzar a ver dónde los clientes tienen problemas para comunicarse con nuestra red, comuníquese con su administrador de cuentas.
Lleve sus registros a cualquier lugar con una API compatible con S3
Para comenzar a usar registros, primero debe almacenarlos. Cloudflare ha admitido durante mucho tiempo AWS, Azure y Google Cloud como destinos de almacenamiento. Pero sabemos que los clientes utilizan una gran variedad de infraestructura de almacenamiento, que podría alojarse en las instalaciones o con uno de nuestros socios de Bandwidth Alliance .
A partir de hoy, admitimos cualquier destino de almacenamiento con una API compatible con S3 . Esto incluye:
Espacios oceánicos digitales
Backblaze B2
OSS en la nube de Alibaba
Servicio de almacenamiento de objetos en la nube de JD
Almacenamiento de objetos en la nube de Oracle
Almacenamiento de objetos de linode
Y lo mejor de todo es que es muy fácil introducir datos en estas ubicaciones con nuestra nueva interfaz de usuario.
"Como siempre, nos encanta que nuestra asociación con Cloudflare nos permita ofrecer sin problemas a los clientes nuestra solución de almacenamiento fácil, plug and play, Backblaze B2 Cloud Storage. Aún mejor es que, como miembros fundadores de Bandwidth Alliance, podemos hacerlo todo con salida libre ". - Nilay Patel , cofundadora y vicepresidenta de ingeniería y ventas de soluciones, Backblaze.
Envíe los registros de Cloudflare directamente a nuestros socios de análisis
Si bien a muchos clientes les gusta almacenar los registros por sí mismos, también hemos escuchado que muchos clientes quieren obtener registros directamente en su proveedor de análisis, sin pasar por otra capa. Obtener datos de registro de gran volumen del almacenamiento de objetos y llevarlos a un proveedor de análisis puede requerir la creación y el mantenimiento de una integración frágil, costosa y que requiere mucho tiempo.
Debido a esto, ahora ofrecemos integraciones directas con cuatro plataformas de análisis: Microsoft Azure Sentinel, Sumo Logic, Splunk y Datadog. ¡Y a partir de hoy, puede enviar registros directamente a Sumo Logic, Splunk y Datadog desde la interfaz de usuario! Los clientes pueden agregar Cloudflare a Azure Sentinel mediante Azure Marketplace .
“Las organizaciones se encuentran en un estado de transformación digital en un viaje hacia la nube. La mayoría de nuestros clientes implementan servicios en múltiples nubes y tienen sistemas heredados en sus instalaciones. Splunk proporciona visibilidad de todo esto y, lo que es más importante, con SOAR podemos automatizar la corrección. Estamos entusiasmados con la asociación de Cloudflare y agregar sus datos a Splunk genera los resultados que los clientes necesitan para modernizar sus operaciones de seguridad ".
- Jane Wong , vicepresidenta de gestión de productos, seguridad de Splunk
"Asegurar los entornos de TI empresariales puede ser un desafío, desde los dispositivos hasta los usuarios, las aplicaciones y los centros de datos en las instalaciones o en la nube. En el entorno actual de ataques cibernéticos cada vez más sofisticados, nuestros clientes mutuos confían en Microsoft Azure Sentinel para obtener una solución integral Azure Sentinel permite a los equipos de SecOps recopilar datos a escala de la nube y los capacita con inteligencia artificial y aprendizaje automático para encontrar las amenazas reales en esas señales, lo que reduce la fatiga de las alertas hasta en un 90%. Al integrarnos directamente con los registros de Cloudflare, estamos lo que hace que sea más fácil y rápido para los clientes obtener una visibilidad completa en toda su pila ".
- Sarah Fender , directora de programas del grupo de socios, Azure Sentinel en Microsoft
"Como socio de Cloudflare desde hace mucho tiempo, hemos trabajado juntos para ayudar a los clientes conjuntos a analizar eventos y tendencias de sus sitios web y aplicaciones para proporcionar visibilidad de extremo a extremo para mejorar las experiencias digitales. Estamos entusiasmados de expandir nuestra asociación como parte del Cloudflare Analytics Ecosystem para proporcionar información integral en tiempo real tanto para la observabilidad como para la seguridad de aplicaciones y servicios de misión crítica con nuestra solución Cloud SIEM ".
- John Coyle , vicepresidente de desarrollo comercial de Sumo Logic
"Saber que las aplicaciones funcionan tan bien en el mundo real como en el centro de datos es fundamental para garantizar excelentes experiencias digitales. Combinar los registros de Cloudflare con la telemetría de Datadog sobre el rendimiento de las aplicaciones en un solo panel garantiza que los equipos tengan una visión integral de su aplicación entrega." - Michael Gerstenhaber , director sénior de producto, Datadog
¿Por qué Cloudflare Logs?
La misión de Cloudflare es ayudar a construir una mejor Internet. Lo hacemos proporcionando una red global masiva que protege y acelera la infraestructura de nuestros clientes. Debido a que el tráfico fluye a través de nuestra red antes de llegar a nuestros clientes, significa que tenemos un punto de vista único en ese tráfico. En muchos casos, tenemos una visibilidad que nuestros clientes no tienen, ya sea que les estemos informando sobre el rendimiento de nuestra caché, las solicitudes HTTP maliciosas que dejamos caer en nuestro borde, un aumento en los flujos de datos L3, el rendimiento de su origen. , o la CPU utilizada por sus aplicaciones sin servidor.
Para brindar esta capacidad, contamos con análisis en todo nuestro panel para ayudar a los clientes a comprender el tráfico de su red, firewall, caché, balanceador de carga y mucho más. También proporcionamos alertas que pueden informar a los clientes cuando ven un aumento en los errores o un pico en la actividad DDoS .
Pero algunos clientes quieren más de lo que ofrecemos actualmente con nuestros productos de análisis. Muchos de nuestros clientes empresariales utilizan SIEM como Splunk y Sumo Logic o herramientas de monitoreo en la nube como Datadog. Estos productos pueden ampliar las capacidades de Cloudflare mostrando los datos de Cloudflare en el contexto de la otra infraestructura de los clientes y proporcionando funcionalidad avanzada sobre estos datos.
Para comprender cómo funciona esto, considere un ataque DDoS L7 típico contra uno de nuestros clientes. Muy comúnmente, un ataque como este puede originarse a partir de una pequeña cantidad de direcciones IP y un cliente puede optar por bloquear las IP de origen por completo. Después de bloquear las direcciones IP, los clientes pueden querer:
Busque en sus registros para ver todas las instancias pasadas de actividad de esas direcciones IP.
Busque en los registros de todas sus otras aplicaciones e infraestructura para ver toda la actividad de esas direcciones IP
Comprenda exactamente lo que ese atacante estaba tratando de hacer mirando la carga útil de la solicitud bloqueada en nuestro WAF (¡cifrada de forma segura gracias a HPKE!)
Establezca una alerta para una actividad similar, para recibir una notificación si vuelve a ocurrir algo similar
Todo esto es posible utilizando SIEM y herramientas de monitoreo de infraestructura. Por ejemplo, nuestro cliente NOV usa Splunk para “monitorear nuestra red y aplicaciones alertándonos de diversas anomalías e incidentes de alta fidelidad”.
"Una de las fuentes de datos más valiosas es Cloudflare", dijo John McLeod, director de seguridad de la información de NOV. “Proporciona visibilidad de los ataques a la red y las aplicaciones. Con esta integración, será más fácil llevar los registros de Cloudflare a Splunk, lo que le permitirá ahorrar tiempo y dinero a mi equipo ".
Una nueva interfaz de usuario para nuestra creciente base de productos
Con tantos conjuntos de datos nuevos y destinos nuevos, nos dimos cuenta de que nuestra interfaz de usuario existente no era lo suficientemente buena. Volvimos a la mesa de dibujo para diseñar una experiencia de usuario más intuitiva que le ayude a configurar Logpush de forma rápida y sencilla.
Aún puede configurar Logpush en el mismo lugar en el panel, en la pestaña Análisis> Registros:
La nueva interfaz de usuario primero solicita a los usuarios que seleccionen el conjunto de datos para enviar. ¡Aquí también notará que hemos agregado soporte para eventos de firewall e informes NEL!
Después de configurar detalles como qué campos enviar, los clientes pueden seleccionar a dónde irán los registros. Aquí puede ver nuestros tres nuevos destinos, almacenamiento compatible con S3, Sumo Logic, Datadog y Splunk:
Próximamente, en breve, pronto
¡Por supuesto, aún no hemos terminado! Tenemos más productos de Cloudflare en proceso y más destinos planeados donde los clientes pueden enviar sus registros. Además, estamos trabajando para agregar más flexibilidad a nuestra canalización de registros para que los clientes puedan configurar el envío de registros para toda la cuenta, además de filtrar registros para enviar códigos de error, por ejemplo.
En última instancia, queremos que trabajar con los registros de Cloudflare sea lo más útil posible, ¡en Cloudflare mismo! Trabajamos para ayudar a los clientes a resolver sus desafíos de rendimiento y seguridad con datos a gran escala.
Comments