Por Que Logs Brutos Não São Suficientes

Na cibersegurança moderna, um único alerta raramente conta a história completa. Atacantes não batem só na porta da frente — eles sondam APIs, inundam a rede com ruído e tentam passar por aplicações usando credenciais roubadas. Para parar esses ataques multi-vetor, você precisa da visão completa.

O Cloudflare Log Explorer agora integra 14 novos datasets cobrindo toda a superfície dos portfólios Application Services e Cloudflare One. Isso dá aos analistas de segurança a capacidade de correlacionar telemetria de requisições HTTP em camada de aplicação, logs de DDoS e Firewall em camada de rede, e eventos de acesso Zero Trust — reduzindo significativamente o Tempo Médio para Detecção (MTTD) e desmascarando ataques sofisticados de múltiplas camadas.

Referência: Esta análise é baseada no post oficial do blog da Cloudflare sobre investigação de ataques multi-vetor no Log Explorer. Veja a fonte original para o anúncio completo e detalhes dos datasets.

Security analyst using Cloudflare Log Explorer dashboard to investigate multi-vector attack traces Algorithm Concept Visual

O Gravador de Voo para Sua Stack Inteira

Pense no Log Explorer como um gravador de voo centralizado. Cada interação — cada requisição HTTP, consulta DNS, bloqueio de firewall e autenticação Zero Trust — é capturada na borda da Cloudflare antes mesmo de chegar à sua infraestrutura.

Datasets Principais para Forense de Segurança

Área de FocoDatasetO Que Revela
Camada de AplicaçãoHTTP RequestsRegistro primário de todo tráfego de aplicação: atividade de sessão, tentativas de exploração, padrões de bot
Firewall EventsAmeaças bloqueadas/desafiadas, regras WAF, hits de reputação de IP
DNS LogsEnvenenamento de cache, sequestro de domínio, reconhecimento de infraestrutura
Camada de RedeNetwork AnalyticsAtaques DDoS volumétricos, picos de tráfego em nível de pacote
Magic IDS DetectionsAlertas baseados em assinatura para padrões de exploração conhecidos (varreduras Nmap, stealth SYN)
Spectrum EventsAnomalias de tráfego L4 para apps não-web (SSH, RDP, jogos)
Zero Trust & InternoAccess RequestsEventos de autenticação baseados em identidade — quem acessou qual app interno
Gateway DNS/HTTP/NetworkShadow IT, callbacks de malware, movimento lateral, anomalias de protocolo
Audit LogsMudanças de configuração no dashboard da Cloudflare
E-mail & EndpointEmail Security AlertsTentativas de phishing, atividade de e-mail maliciosa no gateway
Device Posture ResultsSaúde de segurança dos dispositivos conectados
Browser Isolation LogsAções do usuário em sessões isoladas (copiar-colar, uploads)

Consulta Prática: Identificar Reconhecimento

Atacantes usam scanners para encontrar pontos de entrada. Use esta consulta SQL para detectar sondagem suspeita:

SELECT ClientIP, COUNT(*) AS request_count, ARRAY_AGG(DISTINCT EdgeResponseStatus) AS status_codes
FROM http_requests
WHERE date = '2026-02-22'
  AND EdgeResponseStatus IN (401, 403, 404)
GROUP BY ClientIP
HAVING request_count > 50
ORDER BY request_count DESC

Depois, pivote para magic_ids_detections para assinaturas de varredura em camada de rede:

SELECT SourceIP, SignatureMessage, COUNT(DISTINCT DestinationPort) AS ports_scanned
FROM magic_ids_detections
WHERE date = '2026-02-22'
  AND SourceIP = 'INSERT_SUSPICIOUS_IP'
GROUP BY SourceIP, SignatureMessage

Network topology diagram showing multi-layer attack vectors from DDoS to credential theft System Abstract Visual

Correlacionando Entre Datasets: Cenários Reais de Ataque

O poder real do Log Explorer vem da correlação entre datasets. Aqui estão três cadeias de ataque comuns e como investigá-las.

Cenário 1: Sequestro de Sessão (Roubo de Token)

Um usuário autentica via Cloudflare Access, mas o tráfego HTTP subsequente parece de bot.

Passo 1: Identifique sessões de alto risco em http_requests:

SELECT RayID, ClientIP, ClientRequestUserAgent, BotScore
FROM http_requests
WHERE date = '2026-02-22'
  AND BotScore < 20
LIMIT 100

Passo 2: Copie o RayID e busque em access_requests para ver qual conta de usuário está associada:

SELECT Email, IPAddress, Allowed
FROM access_requests
WHERE date = '2026-02-22'
  AND RayID = 'INSERT_RAY_ID_HERE'

Cenário 2: Comunicação C2 Pós-Phishing

Um funcionário clicou em um link de phishing, e agora sua estação consulta um domínio malicioso conhecido.

Passo 1: Encontre e-mails de phishing:

SELECT Timestamp, ThreatCategories, To, AlertReason
FROM email_security_alerts
WHERE date = '2026-02-22'
  AND ThreatCategories LIKE 'phishing'

Passo 2: Correlacione o e-mail do usuário ao IP via logs de Access:

SELECT Email, IPAddress
FROM access_requests
WHERE date = '2026-02-22'

Passo 3: Encontre IPs internos consultando o domínio malicioso em gateway_dns:

SELECT SrcIP, QueryName, DstIP
FROM gateway_dns
WHERE date = '2026-02-22'
  AND SrcIP = 'INSERT_IP_FROM_PREVIOUS_QUERY'
  AND QueryName LIKE '%malicious_domain_name%'

Cenário 3: Movimento Lateral (Access → Sondagem de Rede)

Um usuário faz login via Zero Trust e tenta escanear a rede interna.

Passo 1: Encontre logins bem-sucedidos de locais inesperados:

SELECT IPAddress, Email, Country
FROM access_requests
WHERE date = '2026-02-22'
  AND Allowed = true
  AND Country != 'US'  -- Substitua pelo país da sua sede

Passo 2: Verifique se esse IP dispara assinaturas de rede:

SELECT SignatureMessage, DestinationIP, Protocol
FROM magic_ids_detections
WHERE date = '2026-02-22'
  AND SourceIP = 'INSERT_IP_ADDRESS_HERE'

Limitações e Cuidados

  • Latência de Ingestão: Mesmo com a melhoria de 55% no P99, os logs não são em tempo real. Ainda há um atraso de segundos a minutos para os dados ficarem consultáveis.
  • Complexidade de Schema: Com 14+ datasets, saber quais campos consultar exige familiaridade. A Cloudflare fornece documentação, mas espere uma curva de aprendizado.
  • Custo: Log Explorer é um add-on pago. Preços baseados em uso podem surpreender times que executam consultas pesadas em grandes datasets.
  • Dados de Terceiros: Embora a arquitetura suporte schemas customizados, a ingestão de logs não-Cloudflare ainda não está disponível geral.

Próximos Passos

  1. Comece com um dataset únicohttp_requests é o mais rico. Crie uma linha de base de padrões de tráfego normais.
  2. Ative os novos datasets no seu dashboard Cloudflare em Logs > Log Explorer.
  3. Pratique consultas entre datasets usando os cenários acima. O recurso de Abas permite executar múltiplas consultas simultaneamente.
  4. Automatize a detecção — A Cloudflare anunciou consultas agendadas (em breve) para rodar essas investigações recorrentemente.

Se você é novo no ecossistema de segurança da Cloudflare, confira este guia relacionado sobre construindo demos interativas com CodePen slideVars — um ângulo diferente sobre ferramentas baseadas em navegador, mas igualmente prático para protótipos de UI de segurança.

E para uma perspectiva mais ampla sobre APIs nativas de navegador que podem melhorar tooltips de segurança, leia nosso insight sobre a Native Popover API.

Cloudflare edge infrastructure logging telemetry for Zero Trust and application security

Conclusão: De Ruído a Narrativa

Ataques multi-vetor são o novo normal. O Cloudflare Log Explorer transforma telemetria bruta de 14+ datasets em uma narrativa coerente de investigação. Correlacionando requisições HTTP, eventos de firewall, consultas DNS, logs de acesso Zero Trust e alertas de segurança de e-mail, analistas podem traçar a cadeia completa do ataque — do reconhecimento à exfiltração — em um único painel.

A mudança arquitetural para ingestão baseada em schema significa que esta plataforma é preparada para o futuro: pronta para aceitar fontes de dados customizadas assim que estiverem disponíveis. Por enquanto, comece com os datasets integrados, pratique as consultas acima e transforme seus logs em uma arma de defesa proativa.

Este conteúdo foi elaborado com o auxílio de ferramentas de IA, com base em fontes confiáveis, e revisado pela nossa equipe editorial antes da publicação. Não substitui o aconselhamento de um profissional especializado.