常時検知:WAFの「ログ記録とブロック」のトレードオフを解消
Cloudflareは従来のWAFの「ログとブロック」のトレードオフを解消する新機能「Attack Signature Detection」と、リクエストとレスポンスを関連付ける「Full-Transaction Detection」を導入し、常に検知を行いながら保護を行うアーキテクチャを提供した。
キーポイント
ログとブロックのトレードオフ解消
従来のWAFは悪意のあるトラフィックを安全にブロックするために手動調整が必要だったが、新機能によりすべてのリクエストに対して検知を実行し、保護を犠牲にすることなく完全な可視性を提供可能になった。
Attack Signature Detectionの仕組み
リクエストごとに悪意のあるペイロードを検査し、アクション前に豊富な検知メタデータを付与する。これにより、過去のトラフィックに基づいて誤検知のリスクを減らした精密な緩和ポリシーを構築できる。
Full-Transaction Detectionの革新性
単なるリクエスト分析を超え、HTTPトランザクション全体(リクエストとレスポンス)を相関させることで、従来のエンジンでは見逃されがちな反射型SQLインジェクションやデータ漏洩パターン、設定ミスなどの脅威を発見する。
Always-onフレームワークの実装
検知と緩和を分離し、トラフィックがプロキシされた瞬間からすべての検知シグネチャを実行してセキュリティアナリティクスにメタデータを提供する。このデータはカスタムポリシー作成にも利用可能。
検出とアクションの分離によるパフォーマンス向上
悪意のあるペイロードの検出とセキュリティルールによる処理を分離することで、ブロックルールが設定されていない場合、オリジンへの送信後に検出を実行でき、レイテンシを追加しない。
Managed Rulesetと同等の検出能力を持つ新フレームワーク
既存のBot ScoreやAttack Scoreと同様に、攻撃シグネチャ検出もこの新しいフレームワーク内で動作し、Managed Rulesetと同等のカバレッジを提供する。
シグネチャの識別とカテゴリ・信頼度の定義
各シグネチャはRef IDで一意に識別され、攻撃ベクトルを示すカテゴリ(SQLi、XSSなど)と、誤検知の可能性を示す信頼度(Highなど)のタグが付与される。
影響分析・編集コメントを表示
影響分析
この発表は、セキュリティ運用の効率化と防御精度の向上に直結する重要な進展である。特に「ログかブロックか」という二択を強いられていた現場の課題を解決し、より精密な脅威検知を実現する技術は業界標準に影響を与える可能性がある。ただし、これはCloudflare独自のプラットフォーム機能であり、他社WAFへの直接的な技術標準化には至らないため、Cloudflareユーザーにとっての競争優位性の強化という側面が強い。
編集コメント
CloudflareはWAFの運用課題を解決するために、検知とブロックを分離するアーキテクチャを採用し、リクエストだけでなくレスポンスも分析する新機能を提供した。これはセキュリティ運用の効率化と防御精度向上に寄与するが、Cloudflareプラットフォーム固有の実装であるため、業界全体への即座な標準化影響は限定的と判断される。
従来の Web アプリケーションファイアウォール(WAF)は、悪意のあるトラフィックを安全にブロックするために、ルールを徹底的に手動で調整する必要があります。新しいアプリケーションがデプロイされると、セキュリティチームは通常、ログ記録モードから始め、どのルールがブロックモードに適しているかをログを精査しながら徐々に評価します。このプロセスは、正当なトラフィックに影響を与えずに誤検知(false positives)を最小限に抑えるために設計されています。しかし、これは手作業であり、時間がかかり、エラーが発生しやすいものです。
チームは、ログモードでの可視性とブロックモードでの保護のどちらかを選択せざるを得ません。ルールがリクエストをブロックすると評価が停止し、他のシグネチャ(signature)がそのリクエストをどのように評価したかという可視性が失われます。これは、防御体制の調整や強化に役立つ貴重な洞察です。
今日、私たちは管理されたルールの次の進化である「攻撃シグネチャ検出(Attack Signature Detection)」を導入することで、この課題を解決します。
これを有効化すると、アクションが実行される前に、すべてのリクエストが悪意のあるペイロードに対して検査され、豊富な検出メタデータが付与されます。保護やパフォーマンスを犠牲にすることなく、すべてのシグネチャマッチに対する完全な可視性が得られます。オンボーディングはシンプルになります:トラフィックが分析され、データが蓄積され、どのシグネチャが発火し、なぜ発火したのかを正確に把握できます。その後、過去のトラフィックに基づいて精密な緩和ポリシーを構築できるため、誤検知のリスクを低減できます。
しかし、私たちはさらに一歩を進めます。リクエスト単体の分析を超え、はるかに強力な「トランザクション全体検出(Full-Transaction Detection)」へと移行します。
単なる着信リクエストのみに注目するのではなく、この新しい検出機能は HTTP トランザクション全体(リクエストとレスポンス)を相関分析します。文脈全体を分析することで、従来のリクエストのみを対象とするシグネチャエンジンと比較して、誤検知を劇的に削減できます。さらに重要なのは、他の手法では見逃される脅威を発見できる点です。具体的には、反射型 SQL インジェクション、微妙なデータ漏洩のパターン、レスポンスにおいて初めて明らかになる危険な設定ミスなどが挙げられます。
攻撃シグネチャ検出機能は現在、早期アクセスプログラムで利用可能です。興味がある場合はこちらから登録してください。フルトランザクション検出(Full-Transaction Detection)は開発中です。準備ができ次第、いち早く試せるよう、こちらから登録してください。
常時稼働フレームワーク
インターネットの速度を低下させることなくトラフィックに対する完全な可視性を提供するためには、リクエストライフサイクルに関する考え方を根本的に変える必要がありました。オプトインした顧客向けに、攻撃シグネチャ検出機能は現在「常時稼働(always on)」となっています。これは、トラフィックがプロキシされた瞬間から、すべての検出シグネチャがあらゆるリクエストに対して実行され、その結果が即座にセキュリティ分析(Security Analytics)で確認できることを意味します。
この「常時稼働」フレームワークは、検出と緩和(mitigation)を分離しています。検出プロセスは継続的に実行され、トリガーされた検出に関するメタデータによって分析を強化します。このメタデータはリクエストに新しいフィールドとして追加され、顧客はこれをセキュリティルール内でカスタムポリシーを作成するために利用できます。

悪意のあるペイロードの検出とセキュリティルールによる対応措置を分離することが、常時オンフレームワークの中核です。このアプローチは分析体験を向上させ、新しい保護機能の導入時の信頼性を高めます。
既存の Bot Score および Attack Score の検出機能もすでにこの手法に従っています。Attack Signature Detection(攻撃シグネチャ検出)は、Managed Rules 製品と同じカバレッジを提供しますが、この新しいフレームワーク内で動作します。
これによりリクエストに追加のレイテンシが発生するのでしょうか?いいえ — このモデルは効率性を重視して設計されています。顧客が検出結果に基づいてブロックルールを作成していない場合、検出処理はリクエストがオリジンサーバーへ送信された後に実行されるため、検出自体がトラフィックに追加のレイテンシをもたらすことはありません。したがって、オンボーディング時には検出機能がデフォルトで有効化されますが、トラフィックパフォーマンスには影響しません。ルールが作成されると、検出処理はリクエストと並列(インライン)に移動し、これにより追加のレイテンシが発生する可能性があります。具体的な値はアプリケーションのトラフィックプロファイルによって異なります。
Attack Signature Detection
従来のルールベースシステムである Cloudflare Managed Ruleset と比較すると、新しい検知機能は Web アプリケーションセキュリティにおいて大幅な進歩をもたらします。このアプローチにより、悪意のある Web ペイロードの特定やセキュリティルールの展開が、これまでよりもはるかにユーザーフレンドリーになりました。
Cloudflare Managed Ruleset は、当社のアナリストチームが SQL インジェクション(SQLi)、クロスサイトスクリプティング(XSS)、リモートコード実行(RCE)、および特定の共通脆弱性・脅威(CVE)を含む一般的な攻撃ベクトルに対する検知を開発する場所です。アナリストは通常、毎週新しいルールをリリースしており、高プロファイルな脆弱性(例えば直近の React2Shell のリリースなど)に対しては緊急リリースが展開されます。現在、Managed Ruleset には 700 を超える管理ルールがアクティブに稼働しています。新しい検知機能は、シグネチャルールまたは単にシグネチャとも呼ばれます。これらは Managed Rules と同じヒューリスティック(推論手法)を採用していますが、トラフィックに対して直接アクションを適用するわけではありません。
各シグネチャは、Managed Ruleset の Rule ID に類似した Ref ID によって一意に識別され、カテゴリと信頼度レベルの両方でタグ付けされます。カテゴリはシグネチャが対象とする攻撃ベクトルを指定し、信頼度レベルは誤検知(正当なトラフィックでのトリガー)の可能性を示します。ルールには信頼度レベルは 1 つのみ設定できますが、複数のカテゴリを持つことができます。
カテゴリは、そのルールが参照する攻撃ベクトルを示します。カテゴリのリストは長く存在しますが、SQLi、XSS、RCE、または番号付きの特定の CVE などのタグが含まれます。
信頼度フィールドは、対応するグループからのシグネチャのうち少なくとも一つがトラフィックに一致するかどうかに基づいて、2 つの値に分割されます。
信頼度
説明
高
これらのシグネチャは、ペイロードを識別可能でありながら正当なトラフィックをブロックしない CVE において典型的であるように、高い真陽性率と低い偽陽性率を目指しています。これは Managed Ruleset のデフォルト設定と同様の機能を果たします。
中
Managed Ruleset ではデフォルトで無効になっているこれらのシグネチャは、お客様のトラフィックに基づいて偽陽性を引き起こす可能性があります。これらのルールに一致するトラフィックをブロックする前に、その潜在的なアプリケーションへの影響を評価してください。
リクエストの分析により、検出機能は 3 つのフィールドに情報を埋め込みます。これらのフィールドは、Security Rules のコアエンジンである Security Analytics および Edge Rules Engine で利用可能です。
フィールド
説明
使用箇所
cf.waf.signature.request.confidence
配列。一致するシグネチャに関連付けられた信頼度スコアを集計します。
Analytics および Security Rules
cf.waf.signature.request.categories
配列。一致するシグネチャに関連付けられるカテゴリを集計します。
Analytics および Security Rules
cf.waf.signature.request.ref
配列。一致するシグネチャの Ref ID を最大 10 件まで集計します。
Analytics および Security Rules
Security Analytics でデータを分析する
セキュリティ分析は、Cloudflare アプリケーションセキュリティツールボックスの中核を成し、シグネチャがウェブトラフィックとどのように相互作用するかについての包括的でデータ駆動型のビューを提供します。これにより、ウェブ保護を理解・測定・最適化するために必要なツールが提供されます。Analytics とシグネチャを組み合わせて使用するための一般的なユースケースには、オンボーディングプロセス中にセキュリティ姿勢を設計する、最も頻繁な攻撃試行を確認し、誤検知(false positives)を処理するための例外を作成することが含まれます。
新しいアプリケーションが Cloudflare を経由してプロキシ化されると、攻撃シグネチャ検出機能によりダッシュボードへのデータ入力が開始されます。最初のステップは、タイプとシグネチャ別に分類された集約された一致を確認し、すべての潜在的な攻撃がブロックされていることを確認することです。アナリストは、シグネチャの上位統計をレビューし、リクエストがブロックされたか、キャッシュから提供されたか、オリジンサーバーへの到達が許可されたかをフィルタリングして表示することでこれを行うことができます。悪意のあるリクエストがオリジンに到達していることが判明した場合、アナリストは迅速にセキュリティルールを実装できます。

攻撃シグネチャに一致する総リクエストボリュームの breakdown(内訳)は、対応するカテゴリまたはシグネチャ別に分類されています。
分析機能は、時間経過に伴うトラフィック量に基づく最も頻繁な CVE などの攻撃パターンに関する洞察を提供します。この機能は、アプリケーションを標的とする支配的な攻撃ペイロードを迅速に特定し、関連する CVE に対する現在の保護の有効性を検証するために設計されています。例えば、アナリストは /api/ といったアプリケーションの特定の部分を標的とした攻撃頻度を監視したり、React2Shell などの既知の悪意のあるペイロードが POST /_next/ Node.js パスのような特定のエンドポイントに到達しているかどうかを確認したりできます。この種の調査には、分析フィルターと攻撃分析ツールの両方を使用することができます。

セキュリティ分析内の可視化機能は、/api/ エンドポイントを標的とする悪意のあるペイロードの時系列ビューを提供します。このビューではデータをグループ化し、ボリューム上位の 5 つの CVE を強調表示しています。
分析機能は、例外の作成や誤検知(false positive)の特定にも役立ちます。例えば、特定のルールに対する一致件数が増加した場合、それはアクティブな悪用ではなく誤検知を示唆している可能性があります。具体的には、ユーザーがリッチ HTML コンテンツ(コンテンツ管理システムやサポートチケットシステムなど)を提出できるアプリケーションでは、より一般的な XSS 署名に一致するマークアップが正当に含まれる場合があります。このようなケースでは、影響を受けるエンドポイントに対してスコープ付きの例外を適用しつつ、アプリケーション全体に対する保護機能は有効なまま維持できます。
このアプローチは、積極的なブロックと誤検知リスクのバランスを取る中程度の信頼度を持つ署名の評価において特に有用です。本ツールを使用すれば、過去のトラフィックに対して「もしも」シナリオを検証し、実環境でのパフォーマンスを実証的に決定することが可能です。このプロセスにより、中程度の信頼度を持つ署名が全体的なトラフィックプロファイルに適しているか、あるいは誤検知率が高すぎるために特定の URL やリクエストタイプへの展開に制限が必要かを判断できます。
一般的に、過去のトラフィックで一致率が非常に低い署名は、正当なトラフィックに大きな支障をきたすことなく、ブロックモードでより安全に展開できます。このレベルの信頼性を確保するために、セキュリティ分析機能は詳細なフォレンジック調査のためのツールを提供しています。
即時検知に加え、防御管理の重要な側面は、セキュリティ姿勢をカスタマイズする能力です。ユーザーインターフェースには、すべてのセキュリティシグネチャを検索可能なカタログとして提供しており、一覧を確認して各シグネチャが対象とする特定の脅威を理解することができます。

シグネチャの検索可能なカタログが利用可能で、重要な検知に関する詳細を提供し、顧客が脅威と修復アクションを理解するのを支援します。
セキュリティルールの作成
データ分析を行い、過去のトラフィックに対するシグネチャのパフォーマンスに確信を持った後、検知に基づいてトラフィックを処理するためのカスタムルールを簡単に作成できます。例えば、高信頼度のシグネチャに一致するリクエストをブロックするポリシーを作成したい場合、以下のルールを作成できます:

高信頼度のシグネチャに一致するリクエストをブロックするためのルール作成。
これは、Cloudflare Managed Ruleset のデフォルト展開と同等です。
少なくとも 1 つのルールに一致するすべてのリクエストをブロックしたい場合は、Medium confidence タグを追加します。これは Cloudflare Managed Ruleset のすべてのルールを有効化することと同等です。あるいは、複数のルールを設定し、High confidence の検出に対してはより厳格なアクション("Block" など)を、Medium confidence の検出に対してはより緩やかなアクション("Challenge" など)を適用することもできます。

High と Medium の両方の信頼度レベルを選択することで、いずれかのシグネチャが一致した場合にルールをトリガーできます。
特定の CVE や攻撃ベクトルをブロックするルールを作成するには、Categories を使用します。ルールビルダーを使用すると、攻撃ベクトルのカテゴリタグと既存のすべての HTTP リクエストデータを組み合わせることができます。これにより、細粒度のルール(または例外)を作成し、アプリケーションの異なる部分に合わせてセキュリティ体制を調整することが可能になります。

顧客は、特定の CVE や攻撃カテゴリに一致するリクエストをブロック(または許可)するためのルールを作成できます。
特定の Signature に基づいてルールを作成するには、Ref ID を使用します。利用可能な Attack Signature ルールを検索することで、ルールビルダー内で適切な Ref ID を見つけることができます。これは、偽陽性を管理するための例外を作成したい場合に特に有用です。

お客様は、ルールビルダーから直接シグネチャルールを閲覧できます。
Cloudflare Managed Ruleset では何が起きるのでしょうか?
すべてのお客様は引き続き、従来の Managed Ruleset にアクセスできます。Attack Signature Detection が広く利用可能になった際、お客様はご自身のニーズに最も適したデプロイモデルを選択できるようになります。それは Attack Signature Detection であっても、Managed Rules であっても構いません。当社のアナリストチームは、新しい検知機能を Managed Ruleset と Attack Signature Detection の両方で同時にリリースするように保証しています。
フルトランザクション検知
従来の Web 攻撃検知は主に「問い」である HTTP リクエストに焦点を当てています。しかし、リクエストだけでは物語の半分しか語られません。攻撃が実際に成功したかどうかを知るには、「答え」である HTTP レスポンスを確認する必要があります。
リクエストとレスポンスのメタデータを単一の検知イベントに組み合わせることで、偽陽性を劇的に削減し、従来のリクエストのみを対象とするシステムでは見逃してしまう成功したエクスプロイトを特定することが可能になります。
例えば、クエリパラメータ内に一般的な SQL インジェクション文字列を含むリクエストを考えてみましょう。
GET /user?id=1' UNION SELECT username, password FROM users--
従来の WAF は UNION SELECT パターンを検知してブロックします。しかし、アプリケーションに実際的な脆弱性が存在しない場合、これは誤検知(false positive)となる可能性があります。例えば、セキュリティ研究者が自社のサイトをテストしているケースなどが該当します。
フルトランザクション検出(Full-Transaction Detection)では、システムはリクエスト内の SQLi 署名を検知しますが、応答を待機します。オリジンサーバーが 500 Internal Server Error または標準的な 404 を返す場合、「成功したエクスプロイト」の確信度は低くなります。一方、オリジンサーバーが 200 OK を返し、かつ「機密データ」署名(ユーザー名のリストなど)に一致する文字列を含むボディを返した場合、システムは「成功したエクスプロイトの確認」としてフラグを立てます。
まず、いくつかの検出カテゴリを展開し、将来的にはこのリストを拡大する予定です。現在注力している 3 つの領域と、表示される一部のフラグは以下の通りです。
エクスプロイト試行。本検出機能は、HTTP リクエストからレスポンスまでの一連のサイクル全体を検査することで、Web アタックを検知します。重点を置くのは 3 つの主要領域です:悪意のある署名を通じて XSS や SQLi などの入力エクスプロイトを特定すること、脆弱性プロービングなど自動化された濫用行為を阻止すること、そして不審なリクエストと異常なサーバー応答を相関させることで成功したエクスプロイトを確認することです。
データ露出および不正転送の兆候。このフレームワークは、入力経路において正当なトラフィックに見えるデータ不正転送も検知することを可能にします。/api/v1/export へのリクエストは標準的な管理操作ですが、その特定のリクエストが応答として 5,000 件のクレジットカード番号(例:ルーンアルゴリズム署名によって識別される)を含む場合、その取引は「データ露出」としてフラグ付けされます。
設定ミス。公開された管理インターフェースはしばしば攻撃のベクトルとなります。従来のセキュリティチェックでは、トラフィック自体が有効に見えるため(実際のエンドポイントや管理ページであるため)、この設定ミスを検知できません。問題となるのはトラフィックそのものではなく、それが公衆にアクセス可能である点です。私たちは、顧客データで確認される一般的な実世界の設定ミスに基づいて検知の優先順位を決定します。具体的には、認証なしで公開されている Elasticsearch クラスター、インターネットから到達可能な管理パネル、および露出した Apache の機密エンドポイントなどが挙げられます。
この検知は「攻撃シグネチャ」と同様、2 つの特定フィールドに結果を保存します。これらのフィールドはダッシュボードでアクセス可能であり、セキュリティ分析(Security Analytics)内でログとして記録されます。
フィールド | 説明 | 使用箇所
---|---|---
cf.waf.signature.response.categories | 配列。一致するシグネチャに関連付けられたカテゴリを集約します。 | セキュリティ分析 (Security Analytics)
cf.waf.signature.response.ref | 配列。一致するシグネチャの Ref ID を最大 10 件まで集約します。 | セキュリティ分析 (Security Analytics)
当初は、分析を通じて一致するリクエストの可視化を提供することに注力しています。潜在的な攻撃に関するイベントを表面化することで、顧客がインフラストラクチャやソフトウェアスタック全体にわたる標的型対策を通じてインシデント対応に活用できる情報を提供します。今後の計画には、セキュリティルールを応答フェーズへ拡張し、ポリシー作成を可能にすることで、これらの検出に基づいて応答をブロックできるようにする顧客への機能強化が含まれています。

攻撃シグネチャ検出とフルトランザクション検出の双方における実行場所と対応して埋められるフィールドを示す図。
アクセス権を取得するにはサインアップしてください。
攻撃シグネチャ検出は早期アクセス版として提供されており、フルトランザクション検出(Full-Transaction Detection)は開発中です。Attack Signature へのアクセス権を取得するにはこちらから、Full-Transaction への関心を表明するにはこちらからサインアップしてください。これらの機能を一般公開(General Availability)に向けて準備する数ヶ月間にわたり、フィードバックを収集していきます。
原文を表示
Traditional Web Application Firewalls typically require extensive, manual tuning of their rules before they can safely block malicious traffic. When a new application is deployed, security teams usually begin in a logging-only mode, sifting through logs to gradually assess which rules are safe for blocking mode. This process is designed to minimize false positives without affecting legitimate traffic. It’s manual, slow and error-prone.
Teams are forced into a trade-off: visibility in log mode, or protection in block mode. When a rule blocks a request, evaluation stops, and you lose visibility into how other signatures would have assessed it — valuable insight that could have helped you tune and strengthen your defenses.
Today, we’re solving this by introducing the next evolution of our managed rules: Attack Signature Detection.
When enabled, this detection inspects every request for malicious payloads and attaches rich detection metadata before any action is taken. You get complete visibility into every signature match, without sacrificing protection or performance. Onboarding becomes simple: traffic is analyzed, data accumulates, and you see exactly which signatures fire and why. You can then build precise mitigation policies based on past traffic, reducing the risk of false positives.
But we’re going one step further. We’re moving beyond request-only analysis to something far more powerful: Full-Transaction Detection.
Instead of looking at just the incoming request, this new detection correlates the entire HTTP transaction: request and response. By analyzing the full context, we dramatically reduce false positives compared to traditional request-only signature engines. More importantly, we uncover threats others miss, such as reflective SQL injection, subtle data exfiltration patterns, and dangerous misconfigurations that only reveal themselves in the response.
Attack Signature Detection is available now in Early Access — sign up here to express interest. Full-Transaction Detection is under development; register here to be among the first to try it when it’s ready.
The always-on framework
To provide full visibility on your traffic without slowing down the Internet, we had to change how we think about the request lifecycle. For customers who opt in, Attack Signature detection is now "always on." This means that as soon as traffic is proxied, all detection signatures are executed on every request, and the results are immediately visible in Security Analytics.
This "always-on" framework separates detection from mitigation. Detections run continuously, enriching analytics with metadata about triggered detections. This metadata is also added to the request as a new field, which customers can use to create custom policies within security rules.
image
Separating the detection of malicious payloads from the actions taken by security rules is the core of the always-on framework. This approach enhances the analytics experience and increases confidence when deploying new protections.
Our existing Bot Score and Attack Score detections already follow this method. Attack Signature Detection provides the same coverage as our Managed Rules product but operates within this new framework.
Does this introduce additional latency to the request? No — this model is designed for efficiency. If a customer has not created a blocking rule based on a detection, the detection can be executed after the request has been sent to the origin server, ensuring that the detection itself introduces no additional latency to the traffic. Therefore, upon onboarding, the detection is enabled by default but does not impact traffic performance. When a rule is created, the detection is moved in-line with the request that might experience additional latency. The exact value depends on the traffic profile of the application.
Attack Signature Detection
Compared to traditional, rule-based systems like the Cloudflare Managed Ruleset, the new detection offers a substantial advancement in web application security. This approach makes identifying malicious web payloads and deploying security rules significantly more user-friendly.
The Cloudflare Managed Ruleset is where our analyst team develops detections for common attack vectors, including SQL injection (SQLi), Cross Site Scripting (XSS), Remote Code Execution (RCE), and specific Common Vulnerabilities and Exposures (CVEs). Analysts typically release new rules weekly, with emergency releases deployed for high-profile vulnerabilities (such as the recent React2Shell release). Currently, over 700 managed rules are active in our Managed Ruleset. The new detections are also known as signature rules or simply signatures. They employ the same heuristics as Managed Rules but do not directly apply actions to traffic.
Each signature is uniquely identified by a Ref ID (similar to the Rule ID for the Managed Ruleset) and is tagged with both category and confidence. The category specifies the attack vectors the signature targets, while the confidence level indicates the likelihood of a false positive (a trigger on legitimate traffic). A rule can have only one confidence level but may have multiple categories.
Category indicates what attack vector the rule refers to. The list of categories is long, but includes tags like SQLi, XSS, RCE or specific CVE with its number.
The confidence field is divided into two values, based on whether at least one signature from the corresponding group matches the traffic.
Confidence
Description
High
These signatures aim for high true positives and low false positives, typical for CVEs where payloads are identifiable without blocking legitimate traffic. They function like the Managed Ruleset’s default configuration.
Medium
These signatures, which are turned off by default in the Managed Ruleset, may cause false positives based on your traffic. Before blocking traffic matching these rules, assess their potential application impact.
The detection's analysis of a request populates three fields. These fields are accessible in Security Analytics and Edge Rules Engine, our core engine for Security Rules.
Field
Description
Where can be used
cf.waf.signature.request.confidence
Array. Aggregate the confidence scores associated with the matching signatures.
Analytics and Security Rules
cf.waf.signature.request.categories
Array. Aggregate the categories associated with the matching signatures.
Analytics and Security Rules
cf.waf.signature.request.ref
Array. Aggregates the Ref IDs of the matching signatures, up to 10.
Analytics and Security Rules
Analyzing your data in Security Analytics
Security Analytics is at the core of the Cloudflare Application Security toolbox, providing a comprehensive, data-driven view of how signatures interact with your web traffic. It gives you the tools necessary to understand, measure, and optimize your web protection. Common use cases for combining Analytics with signatures include: design a security posture during the onboarding process, verify the most frequent attack attempts and create exceptions to handle false positives.
Once a new application is proxied through Cloudflare, Attack Signature Detection begins populating your dashboard with data. The initial step is to examine the aggregated matches, categorized by type and signature, to confirm that all potential attacks are being blocked. Analysts can do this by reviewing the top statistics for signatures, filtering the data to show whether requests were blocked, served from the cache, or permitted to reach the origin server. If any malicious requests are found to have reached the origin, analysts can quickly implement security rules.
image
A breakdown of the total request volume matching attack signatures, categorized by their corresponding Category or Signature.
Analytics provides insights into attack patterns, such as the most frequent CVEs based on traffic volume over time. This capability is designed for quickly identifying the dominant attack payloads targeting applications and verifying the efficacy of current protections against related CVEs. For example, analysts can monitor the attack frequency targeting a specific part of the application, like /api/, or confirm if known malicious payloads, such as React2Shell, are reaching a particular endpoint, such as the POST /_next/ Node.js path. Both the Analytics filters and the Attack Analysis tool can be used to perform this type of investigation.
image
A visualization within Security Analytics offers a time-series view of malicious payloads targeting the /api/ endpoint. This view groups the data to highlight the top five CVEs by volume.
Analytics also help create exceptions and identifying false positives. An increase in matches for a specific rule, for instance, may suggest false positives rather than active exploitation. For example, an application that allows users to submit rich HTML content (such as a Content Management Systems or support ticketing system) may legitimately include markup that matches more generic XSS signatures. In these cases, a scoped exception can be applied to the affected endpoint, while keeping the protection enabled across the rest of the application.
This approach is especially useful for evaluating medium-confidence signatures, which balance aggressive blocking with false-positive risk. The tool allows "what-if" scenarios against historical traffic to empirically determine production performance. This process helps determine if a medium-confidence signature is appropriate for the overall traffic profile, or if a high rate of false positives requires limiting its deployment to specific URLs or request types.
Generally, signatures that have a very low match rate on historical traffic can be more safely deployed in block mode without significant disruption to legitimate traffic. To achieve this level of confidence, Security Analytics provides the tools for in-depth forensics investigations.
Beyond immediate detection, a crucial aspect of defense management is the ability to customize your security posture. The user interface offers a searchable catalog of all security signatures, allowing you to browse the full list and understand the specific threat each is designed to address.
image
A searchable catalog of signatures is available, providing more detail on critical detections to help customers understand the threats and the remediation actions.
Creating security rules
After analyzing your data and establishing confidence in how the signatures performed against your past traffic, you can easily create custom rules to handle traffic based on the detections. For example, if you want to create a policy that blocks requests matching high confidence signatures you can create the following rule:
image
Creating a rule to block requests matching with high confidence signatures.
This is equivalent to the Cloudflare Managed Ruleset default deployment.
If you want to block all requests matching at least one rule, you will add the Medium confidence tag. This is equivalent to enabling all rules of Cloudflare Managed Ruleset. Alternatively, you can configure multiple rules, applying a more stringent action (like "Block") for detections with High confidence and a less strict action (such as "Challenge") for those with Medium confidence.
image
By selecting both High and Medium confidence you can trigger a rule if any signature matches.
To create a rule blocking a specific CVE or attack vector, you will use Categories. The rule builder allows you to combine attack vector category tags with all existing HTTP request data. This enables you to create granular rules (or exceptions) and tailor your security posture to different parts of your application.
image
Customers can create rules to block (or allow) requests matching specific CVEs or attack categories.
To create rules based on a specific Signature, you can use Ref ID. You can find the right Ref ID within the rule builder by exploring the available Attack Signature rules. This is especially useful if you want to create exceptions to manage false positives.
image
Customers can browse signature rules directly from the rule builder.
What happens to Cloudflare Managed Ruleset?
All customers continue to have access to our classic Managed Ruleset. When Attack Signature Detection is broadly available, customers will be able to choose the deployment model that best suits their needs, whether that is Attack Signature Detection or Managed Rules. Our analyst teams ensure that new detections are released simultaneously across both the Managed Ruleset and Attack Signature Detection.
Full-Transaction Detection
Traditional web attack detection primarily focuses on the "ask": the HTTP request. However, the request only tells half the story. To know if an attack actually succeeded, you have to look at the "answer": the HTTP response.
By combining request and response metadata into a single detection event, we can dramatically reduce false positives and identify successful exploits that request-only systems miss.
For example, consider a request containing a common SQL injection string in a query parameter.
GET /user?id=1' UNION SELECT username, password FROM users--
A traditional WAF will see the UNION SELECT pattern and block it. However, if the application isn't actually vulnerable, this might be a false positive — for instance a security researcher testing their own site.
With Full-Transaction Detection, the system notes the SQLi signature in the request but waits for the response. If the origin responds with a 500 Internal Server Error or a standard 404, the confidence of a "successful exploit" is low. If the origin responds with a 200 OK and a body containing a string that matches a "sensitive data" signature (like a list of usernames), the system flags a Successful Exploit Confirmation.
To start, we are rolling out a few detection categories and plan to expand this list over time. Here are the three areas we are currently focused on, and some of the flags you’ll see:
Exploit attempts. The detection provides web attack detections by inspecting the entire HTTP request-to-response cycle. It focuses on three key areas: identifying input exploitation like XSS and SQLi via malicious signatures, stopping automated abuse such as vulnerability probing, and confirming successful exploits by correlating suspicious requests with unusual server responses.
Data exposure and exfiltration signals. This framework also allows us to catch data exfiltration that looks like legitimate traffic on the way in. A request for /api/v1/export is a standard administrative action. But if that specific request triggers a response containing 5,000 credit card numbers (for example identified via Luhn algorithm signatures), the transaction is flagged as Data Exposure.
Misconfigurations. Exposed admin interfaces are often attack vectors. Traditional security checks miss this misconfiguration because the traffic itself looks valid (real endpoints or admin pages). The issue isn't the traffic but its public accessibility. We prioritize detection based on common real-world misconfigurations seen in customer data, such as public unauthenticated Elasticsearch clusters, Internet reachable admin panels, and exposed Apache sensitive endpoints.
The detection, much like Attack Signatures, will store the results in two specific fields. These fields are accessible in our dashboard and logged within Security Analytics.
Field
Description
Where can be used
cf.waf.signature.response.categories
Array. Aggregate the categories associated with the matching signatures.
Security Analytics
cf.waf.signature.response.ref
Array. Aggregates the Ref IDs of the matching signatures, up to 10.
Security Analytics
Initially, we are focused on offering visibility into matching requests via analytics. By surfacing events on potential exploits, we provide customers information that can be used for incident response through targeted remediations across their infrastructure and software stack. Our future plans include extending Security Rules to the response phase, which will empower customers to block responses based on these detections by allowing policy creation.
image
A diagram illustrating the execution locations and corresponding populated fields for both Attack Signature Detection and Full-Transaction Detection.
Sign up to get access
Attack Signature detection is in Early Access while Full-Transaction Detection is under development. Sign up here to get access to Attack Signature, and here to express interest for Full-Transaction. We’ll gather feedback in the coming months as we prepare these features for General Availability.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み