2023-02-01 - セキュリティフィールドの更新
Cloudflareは、Cloudflare Logsのセキュリティ関連フィールドにいくつかの更新を展開します。これらの更新は、以下のデータセットに影響を与えます:
顧客の既存のSIEM構成への影響を最小限に抑えるため、これらの更新は以下のタイムラインに従って2つのフェーズで行われます:
追加されるログフィールドについて、Cloudflareは徐々にそれらをログデータセットに追加し始めます。
名前が変更されるログフィールドについて、Cloudflareは:
- 新しいフィールドを追加します。これらのフィールドは、フェーズ2で削除されるフィールド(この文書では古いフィールドと説明されています)と同じデータを持ちます。これらの新しいフィールドは徐々に利用可能になります。詳細については次のセクションを参照してください。
- 古いフィールドの非推奨を発表します。Cloudflareは、2023年8月1日にこれらのフィールドをログデータセットから削除します。
削除されるログフィールドについて、Cloudflareはそれらを非推奨として発表しています。これらのフィールドの削除は2023年8月1日に行われます。
これらのCloudflare Logsの変更に加えて、Cloudflareは以下のGraphQLデータセットに新しいセキュリティ関連フィールドを追加します:
httpRequestsAdaptivehttpRequestsAdaptiveGroupsfirewallEventsAdaptivefirewallEventsAdaptiveGroupsfirewallEventsAdaptiveByTimeGroups
名前が変更されるログフィールドについて、Cloudflareは古いフィールドをCloudflareログデータセットから削除します。2023年8月1日以降は、新しいフィールドのみが利用可能になります。
削除されるログフィールドについて、CloudflareはそれらをCloudflareログデータセットからも削除します。2023年8月1日以降、これらのフィールドはもはや利用できなくなります。
以下の概念は、レビューされたフィールドの説明で使用されます:
-
終了アクション: 次のいずれかのアクション:
blockjs_challengemanaged_challengechallenge(インタラクティブチャレンジ)
これらのアクションに関する詳細は、ルール言語のドキュメントにあるアクションのリファレンスを参照してください。
-
セキュリティルール: 次のいずれかのルールタイプ:
以下のフィールドは、HTTPリクエストデータセットで、タイムラインに示された2フェーズ戦略に従って名前が変更されます:
| 新しいフィールド名 | タイプ | 説明 | 古いフィールド名 (2023年8月1日に非推奨) |
|---|---|---|---|
SecurityRuleID | String | 終了アクションを引き起こしたセキュリティルールのルールID(該当する場合)。 | WAFRuleID |
SecurityRuleDescription | String | 終了アクションを引き起こしたセキュリティルールのルール説明(該当する場合)。 | WAFRuleMessage |
SecurityAction | String | 終了アクションを引き起こしたセキュリティルールのルールアクション(該当する場合)。 | WAFAction |
SecurityRuleIDs | String Array | リクエストに一致したセキュリティルールのIDの配列。 | FirewallMatchesRuleIDs |
SecurityActions | String Array | Cloudflareセキュリティ製品がリクエストに対して実行したアクションの配列。 | FirewallMatchesActions |
SecuritySources | String Array | リクエストに一致したCloudflareセキュリティ製品の配列。 | FirewallMatchesSources |
以下のフィールドは現在非推奨であり、2023年8月1日にHTTPリクエストデータセットから削除されます:
| 非推奨フィールド名 | ノート |
|---|---|
WAFProfile | 以前のバージョンのWAF管理ルールで使用されていました(現在は非推奨)。 |
EdgeRateLimitAction | 以前のバージョンのレート制限ルールで使用されていました(現在は非推奨)。 |
EdgeRateLimitID | 以前のバージョンのレート制限ルールで使用されていました(現在は非推奨)。 |
SecurityLevel | N/A |
以下のフィールドがファイアウォールイベントデータセットに追加されます:
| フィールド名 | タイプ | 説明 |
|---|---|---|
Description | String | リクエストによってトリガーされたルールの説明。 |
Ref | String | リクエストによってトリガーされたルールのユーザー定義識別子。 |
Cloudflareは、httpRequestsAdaptive およびhttpRequestsAdaptiveGroups データセットに以下のフィールドを追加します:
| フィールド名 | タイプ | 説明 |
|---|---|---|
securityAction | String | 終了アクションを引き起こしたセキュリティルールのアクション(該当する場合)。 |
securitySource | String | 終了アクションを引き起こしたセキュリティルールのソース(該当する場合)。 |
Cloudflareは、firewallEventsAdaptive、firewallEventsAdaptiveGroups、およびfirewallEventsAdaptiveByTimeGroupsデータセットにも以下のフィールドを追加します:
| フィールド名 | タイプ | 説明 |
|---|---|---|
description | String | リクエストによってトリガーされたルールの説明。 |
これらの新しいフィールドは徐々に利用可能になります。
利用可能なデータセットに関する詳細は、GraphQLデータセットを参照してください。
Cloudflareは、名前が変更されたフィールドを使用するように既存のLogpushジョブを更新しません。以下の指示に従ってジョブを更新する必要があります。
Logpushジョブを更新した後、ログフィールドの変更を反映するために、SIEMシステム内の外部フィルターやレポートを更新する必要があるかもしれません。
- Cloudflareダッシュボード ↗にログインし、アカウントとドメインを選択します。
- 分析とログ > ログに移動します。
- 編集したいLogpushジョブの横にある編集を選択します。
- データフィールドを選択の下で、ジョブ内のフィールドを更新します。新しいセキュリティログフィールドは一般の下にあります。
- 変更を保存を選択します。
Update output_optionsの指示に従って、Logpushジョブ内のフィールドを更新します。
すでにTerraformを介してLogpushジョブを管理している場合は、既存のcloudflare_logpush_job ↗ Terraformリソース内のlogpull_optionsを更新します。例えば:
resource "cloudflare_logpush_job" "example_job" { enabled = true zone_id = "<ZONE_ID>" name = "My-logpush-job" logpull_options = "fields=RayID,ClientIP,EdgeStartTimestamp,WAFAction,WAFProfile×tamps=rfc3339" logpull_options = "fields=RayID,ClientIP,EdgeStartTimestamp,SecurityAction×tamps=rfc3339" destination_conf = "r2://cloudflare-logs/http_requests/date={DATE}?account-id=${var.account_id}&access-key-id=${cloudflare_api_token.logpush_r2_token.id}&secret-access-key=${sha256(cloudflare_api_token.logpush_r2_token.value)}" dataset = "http_requests"}