Moderne Cyberangriffe verlaufen selten geradlinig. Angreifer kombinieren heute routinemäßig mehrere Angriffsvektoren: Sie scannen APIs nach Schwachstellen, überfluten Netzwerke mit Scheindatenverkehr, um Sicherheitsteams abzulenken, und schleusen sich mit gestohlenen Zugangsdaten durch Anwendungen und Server. Cloudflare reagiert auf diese Entwicklung und hat seinen Log Explorer um 14 neue Datensätze erweitert, die eine tiefergehende Korrelation von Sicherheitsereignissen über alle Produktbereiche hinweg ermöglichen sollen.

Zonenbasierte und kontobezogene Logs

Die Neuerung integriert Protokollquellen aus zwei zentralen Bereichen: zonenbasierte Logs für Website-Traffic und Sicherheitsereignisse sowie kontobezogene Logs für Zero-Trust-Umgebungen und Netzwerkaktivitäten. Zu den neu hinzugekommenen Datensätzen zählen unter anderem CASB-Befunde, die Sicherheitslücken in SaaS-Anwendungen wie Google Drive oder Microsoft 365 aufdecken, Browser-Isolation-Logs, die Nutzeraktionen in isolierten Browsersitzungen nachverfolgen, sowie E-Mail-Security-Alerts, die Phishing-Versuche am Gateway protokollieren. Gateway-DNS-Logs dokumentieren dabei sämtliche DNS-Anfragen im Netzwerk und helfen, Malware-Callbacks oder sogenannte Domain Generation Algorithms (DGAs) zu identifizieren.

Schlau durch Korrelation

Ein zentrales Einsatzszenario ist die Untersuchung mehrstufiger Angriffe, bei denen einzelne Ereignisse isoliert betrachtet unverdächtig wirken. Durch die Korrelation von Daten aus verschiedenen Quellen lässt sich die vollständige Angriffskette nachvollziehen – vom ersten Reconnaissance-Scan bis zur Datenexfiltration.

Cloudflare beschreibt dazu konkrete Abfragebeispiele in SQL: Um eine Session-Übernahme zu untersuchen, können Analysten zunächst HTTP-Anfragen mit niedrigem Bot-Score identifizieren und die zugehörige Ray-ID anschließend in den Access-Logs nachschlagen, um herauszufinden, welches Nutzerkonto betroffen ist. Ähnlich lässt sich ein Post-Phishing-Szenario rekonstruieren: ausgehend von einem E-Mail-Security-Alert über die Nutzer-IP bis hin zu DNS-Anfragen an bekannte Malware-Domains in den Gateway-Logs.

Verbesserter Unterbau

Neben der inhaltlichen Erweiterung hat Cloudflare nach eigenen Angaben auch an der technischen Infrastruktur des Log Explorers gearbeitet. Durch Optimierungen im Ingestion-Pfad – konkret eine erhöhte Parallelverarbeitung – soll die um bis zu 55 Prozent gesunken sein. Das reduziert die Zeit, die vergeht, bis ein Ereignis am Edge als SQL-Abfrage verfügbar ist. Architektonisch setzt Cloudflare auf JSON-Schema-basierte Datensatzdefinitionen, was laut Unternehmen die Grundlage dafür schafft, künftig auch Logs aus Drittquellen in denselben Explorer zu integrieren – ein "Single Pane of Glass" für hybride Umgebungen.

Als nächsten Schritt kündigt Cloudflare die Möglichkeit an, Erkennungsabfragen auf einem nutzerdefinierten Zeitplan auszuführen - eine Funktion, die sich aktuell in der Entwicklung befindet. Der Log Explorer ist über den Cloudflare-Dashboard direkt buchbar oder für Enterprise-Kunden über den Account Manager zugänglich.