Por Qué los Logs Crudos No Son Suficientes
En la ciberseguridad moderna, una sola alerta rara vez cuenta toda la historia. Los atacantes no solo tocan la puerta principal — sondean APIs, inundan la red con ruido e intentan colarse a través de aplicaciones usando credenciales robadas. Para detener estos ataques multi-vector, necesitas la imagen completa.
Cloudflare Log Explorer ahora integra 14 nuevos datasets cubriendo toda la superficie de los portafolios Application Services y Cloudflare One. Esto les da a los analistas de seguridad la capacidad de correlacionar telemetría de peticiones HTTP en capa de aplicación, logs de DDoS y Firewall en capa de red, y eventos de acceso Zero Trust — reduciendo significativamente el Tiempo Medio para Detectar (MTTD) y desenmascarando ataques sofisticados de múltiples capas.
Referencia: Este análisis está basado en el post oficial del blog de Cloudflare sobre investigación de ataques multi-vector en Log Explorer. Ve la fuente original para el anuncio completo y detalles de los datasets.
El Grabador de Vuelo para Todo Tu Stack
Piensa en Log Explorer como un grabador de vuelo centralizado. Cada interacción — cada petición HTTP, consulta DNS, bloqueo de firewall y autenticación Zero Trust — se captura en el borde de Cloudflare antes de que llegue a tu infraestructura.
Datasets Clave para Forense de Seguridad
| Área de Enfoque | Dataset | Lo Que Revela |
|---|---|---|
| Capa de Aplicación | HTTP Requests | Registro primario de todo tráfico de aplicación: actividad de sesión, intentos de explotación, patrones de bot |
| Firewall Events | Amenazas bloqueadas/desafiadas, reglas WAF, hits de reputación de IP | |
| DNS Logs | Envenenamiento de caché, secuestro de dominio, reconocimiento de infraestructura | |
| Capa de Red | Network Analytics | Ataques DDoS volumétricos, picos de tráfico a nivel de paquete |
| Magic IDS Detections | Alertas basadas en firma para patrones de explotación conocidos (escaneos Nmap, stealth SYN) | |
| Spectrum Events | Anomalías de tráfico L4 para apps no-web (SSH, RDP, juegos) | |
| Zero Trust & Interno | Access Requests | Eventos de autenticación basados en identidad — quién accedió a qué app interna |
| Gateway DNS/HTTP/Network | Shadow IT, callbacks de malware, movimiento lateral, anomalías de protocolo | |
| Audit Logs | Cambios de configuración en el dashboard de Cloudflare | |
| Correo & Endpoint | Email Security Alerts | Intentos de phishing, actividad de correo maliciosa en la puerta de enlace |
| Device Posture Results | Salud de seguridad de los dispositivos conectados | |
| Browser Isolation Logs | Acciones del usuario en sesiones aisladas (copiar-pegar, subidas) |
Consulta Práctica: Identificar Reconocimiento
Los atacantes usan escáneres para encontrar puntos de entrada. Usa esta consulta SQL para detectar sondeo sospechoso:
SELECT ClientIP, COUNT(*) AS request_count, ARRAY_AGG(DISTINCT EdgeResponseStatus) AS status_codes
FROM http_requests
WHERE date = '2026-02-22'
AND EdgeResponseStatus IN (401, 403, 404)
GROUP BY ClientIP
HAVING request_count > 50
ORDER BY request_count DESC
Luego, pivotea a magic_ids_detections para firmas de escaneo en capa de red:
SELECT SourceIP, SignatureMessage, COUNT(DISTINCT DestinationPort) AS ports_scanned
FROM magic_ids_detections
WHERE date = '2026-02-22'
AND SourceIP = 'INSERT_SUSPICIOUS_IP'
GROUP BY SourceIP, SignatureMessage
Correlacionando Entre Datasets: Escenarios Reales de Ataque
El poder real de Log Explorer viene de la correlación entre datasets. Aquí hay tres cadenas de ataque comunes y cómo investigarlas.
Escenario 1: Secuestro de Sesión (Robo de Token)
Un usuario autentica vía Cloudflare Access, pero el tráfico HTTP subsecuente parece de bot.
Paso 1: Identifica sesiones de alto riesgo en http_requests:
SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore
FROM http_requests
WHERE date = '2026-02-22'
AND BotScore < 20
LIMIT 100
Paso 2: Copia el RayID y busca en access_requests para ver qué cuenta de usuario está asociada:
SELECT Email, IPAddress, Allowed
FROM access_requests
WHERE date = '2026-02-22'
AND RayID = 'INSERT_RAY_ID_HERE'
Escenario 2: Comunicación C2 Post-Phishing
Un empleado hizo clic en un enlace de phishing, y ahora su estación consulta un dominio malicioso conocido.
Paso 1: Encuentra correos de phishing:
SELECT Timestamp, ThreatCategories, To, AlertReason
FROM email_security_alerts
WHERE date = '2026-02-22'
AND ThreatCategories LIKE 'phishing'
Paso 2: Correlaciona el correo del usuario con su IP vía logs de Access:
SELECT Email, IPAddress
FROM access_requests
WHERE date = '2026-02-22'
Paso 3: Encuentra IPs internas consultando el dominio malicioso en gateway_dns:
SELECT SrcIP, QueryName, DstIP
FROM gateway_dns
WHERE date = '2026-02-22'
AND SrcIP = 'INSERT_IP_FROM_PREVIOUS_QUERY'
AND QueryName LIKE '%malicious_domain_name%'
Escenario 3: Movimiento Lateral (Access → Sondeo de Red)
Un usuario inicia sesión vía Zero Trust y luego intenta escanear la red interna.
Paso 1: Encuentra inicios de sesión exitosos desde ubicaciones inesperadas:
SELECT IPAddress, Email, Country
FROM access_requests
WHERE date = '2026-02-22'
AND Allowed = true
AND Country != 'US' -- Reemplaza con el país de tu sede
Paso 2: Verifica si esa IP dispara firmas de red:
SELECT SignatureMessage, DestinationIP, Protocol
FROM magic_ids_detections
WHERE date = '2026-02-22'
AND SourceIP = 'INSERT_IP_ADDRESS_HERE'
Limitaciones y Precauciones
- Latencia de Ingesta: Incluso con la mejora del 55% en P99, los logs no son en tiempo real. Todavía hay un retraso de segundos a minutos para que los datos estén consultables.
- Complejidad de Schema: Con 14+ datasets, saber qué campos consultar requiere familiaridad. Cloudflare proporciona documentación, pero espera una curva de aprendizaje.
- Costo: Log Explorer es un add-on de pago. Los precios basados en uso pueden sorprender a equipos que ejecutan consultas pesadas en datasets grandes.
- Datos de Terceros: Aunque la arquitectura soporta schemas personalizados, la ingesta de logs que no son de Cloudflare aún no está disponible de forma general.
Próximos Pasos
- Empieza con un dataset único —
http_requestses el más rico. Crea una línea base de patrones de tráfico normales. - Activa los nuevos datasets en tu dashboard de Cloudflare en Logs > Log Explorer.
- Practica consultas entre datasets usando los escenarios anteriores. La función de Pestañas te permite ejecutar múltiples consultas simultáneamente.
- Automatiza la detección — Cloudflare anunció consultas programadas (próximamente) para ejecutar estas investigaciones de forma recurrente.
Si eres nuevo en el ecosistema de seguridad de Cloudflare, checa esta guía relacionada sobre construyendo demos interactivas con CodePen slideVars — un ángulo diferente sobre herramientas basadas en navegador, pero igualmente práctico para prototipos de UI de seguridad.
Y para una perspectiva más amplia sobre APIs nativas de navegador que pueden mejorar tooltips de seguridad, lee nuestro insight sobre la Native Popover API.
Conclusión: De Ruido a Narrativa
Los ataques multi-vector son la nueva normalidad. Cloudflare Log Explorer transforma telemetría cruda de 14+ datasets en una narrativa coherente de investigación. Correlacionando peticiones HTTP, eventos de firewall, consultas DNS, logs de acceso Zero Trust y alertas de seguridad de correo electrónico, los analistas pueden trazar la cadena completa del ataque — desde el reconocimiento hasta la exfiltración — en un solo panel.
El cambio arquitectónico hacia la ingesta basada en schema significa que esta plataforma está preparada para el futuro: lista para aceptar fuentes de datos personalizadas tan pronto como estén disponibles. Por ahora, empieza con los datasets integrados, practica las consultas anteriores y convierte tus logs en un arma de defensa proactiva.