Cloudflareの脅威インテリジェンスプラットフォームの進化:実用的でスケーラブル、ETL不要
Cloudflareは、ETLパイプラインを不要としGraphQLとエッジコンピューティングを活用した次世代脅威インテリジェンスプラットフォーム「Cloudforce One」を公開し、リアルタイムの脅威可視化と自動防御を実現した。
キーポイント
ETL不要のアーキテクチャ革新
従来の複雑なETLパイプラインを排除し、シャーディングされたSQLiteバックエンドとGraphQLをエッジで直接実行することで、サブ秒単位のクエリレイテンシを実現した。
脅威ライフサイクルの統合管理
グローバルなテレメトリデータとアナリストの手動調査を統合し、アクターからマルウェア、ケースからインジケーターまで脅威の全ライフサイクルを一元化されたエコシステムで管理可能にした。
SOC向けの自動化されたコマンドセンター
単なるデータアクセスを超え、SOC(セキュリティ運用センター)向けの完全に統合されたビジュアルかつ自動化されたコマンドセンターを提供し、脅威の観察から予防的ブロックまでのプロセスを加速させた。
Cloudflare Workersを活用したリアルタイムかつスケーラブルなインフラ構築
GraphQLエンドポイントをThreat Eventsプラットフォームと同じWorkerで運用し、データ取得から利用までの遅延を排除。Smart PlacementやHyperdriveの活用により、エッジでの高速なクエリ処理とパフォーマンスを維持している。
SIEMを補完する長期保存と敵対者追跡のための知能層
SIEMがリアルタイムのログ集約に特化するのに対し、TIPは敵対者のパターンを特定し長期間保持する専用インテリジェンス層として機能。技術的なテレメトリーと経営陣への洞察をつなぐために、エッジでインデックス付けされた構造化データを提供している。
SOCとインテリジェンス分析チームによる相乗効果のあるフィードバックループ
SOCはTIPから即座に文脈(攻撃者の履歴やリスクスコア)を得て対応を加速し、インテリジェンスチームが発見した新しいIOC(侵害指標)はTIPにフィードバックされて自動化防御を強化する。この継続的なループにより、受動的な対応から能動的な防衛へ移行が可能になる。
SQLite搭載Durable Objectsによるシャーディングアーキテクチャ
高カードinalityのDurable Objects fleetに脅威イベントを分散させ、各シャードがプライベートなSQLiteデータベースを持つことで、高負荷時の単一障害点を排除し低レイテンシを実現している。
影響分析・編集コメントを表示
影響分析
この発表は、セキュリティ運用におけるデータ処理のボトルネックであるETLプロセスを解消する画期的なアプローチを示しており、大規模なテレメトリデータを扱う組織にとって運用効率と防御速度の向上に直結する。Cloudflareのエッジネットワーク特性を活かしたアーキテクチャは、業界標準の脅威インテリジェンスプラットフォームの設計思想に新たな基準をもたらす可能性がある。
編集コメント
ETLプロセスの排除はデータエンジニアリングのコストと複雑さを大幅に削減する可能性があり、セキュリティチームがインフラ維持から分析業務へリソースを集中させる上で重要な進展である。
保存された設定とリアルタイム通知により、当社のテレメトリがお客様のカスタムフィルターに一致した瞬間に通知を受け取り、エッジの速度で対応できます。効果的な脅威ハンティングには、特定の技術的属性でグローバルテレメトリをフィルタリングする能力が必要です。このプラットフォームは、IPアドレス、ファイルハッシュ、ドメイン、JA3フィンガープリントを含むデータセット全体での高カーディナリティ検索をサポートし、通常数秒で結果を返します。
手動検索を超えるために、これらのクエリパラメータを保存された設定として永続化できます。これらの設定はリアルタイム通知エンジンのトリガーとして機能します。新しい受信テレメトリが定義されたフィルターに一致すると、プラットフォームは設定されたエンドポイントにアラートをプッシュします。プルベースの検索からプッシュベースのアラートへのこの移行により、セキュリティスタックがグローバルネットワークに取り込まれた瞬間に一致に対して応答できるようになります。
image
自動化されたルールとSTIX2エクスポート
脅威インテリジェンスは、攻撃対象領域が減少した場合にのみ「実用的」となります。当社はTIPを構築し、生のテレメトリとセキュリティポリシーの適用との間の変換を自動的に処理します。
サードパーティまたは社内のSIEM(Security Information and Event Management)またはSOAR(Security Orchestration, Automation and Response)プラットフォームを使用する組織にとって、相互運用性は必要条件です。しかし、異なる内部データスキーマをSTIX2(Structured Threat Information eXpression)標準にマッピングすることは、従来は高遅延のETL(Extract, Transform, Load)タスクでした。当社はこの変換をエッジに移行しました。
ユーザーがSTIX2エクスポートを要求すると、Workerが内部のSQLiteレコードをSTIX2 JSONスキーマに動的にマッピングします。これは、まず生のIPアドレス、ファイルハッシュ、ドメイン名を標準化されたSTIXサイバー観測可能オブジェクトに変換することを意味します。次に、プラットフォームの内部マッピングを使用して関係オブジェクトを定義し、インジケーターオブジェクトを脅威アクターまたはマルウェアオブジェクトにリンクさせ、調査のコンテキストを保持します。最後に、変更および作成されたタイムスタンプをUTCで自動的に管理し、下流ツールが脅威の進化を追跡できるようにします。
ファイアウォールAPIによる即時保護
エクスポートを超えて、このプラットフォームは発見と防御の間のループを閉じることを可能にします。サンキーダイアグラムまたは特定のアクターキャンペーンで悪意のあるパターンを特定した場合、ワンクリックでセキュリティルールを生成できます。
内部では、TIPはCloudflare Firewall Rules APIと直接対話します。調査のフィルタリングされた属性(例えば、特定のJA3フィンガープリントと既知の悪意のあるASNのリストの組み合わせ)を取り込み、数秒でグローバルネットワーク全体に展開されるワイヤプロトコルルールにコンパイルします。
人間参加型インテリジェンス
自動化がテレメトリの大部分を処理する一方で、最も複雑な脅威には人間の直観が必要です。当社はRequests for Information(RFI)ポータルをプラットフォームに直接統合し、ユーザーがCloudforce Oneアナリストに詳細調査を依頼できるようにしました。
技術的な観点から、RFIシステムは単なるチケットポータルではありません。データエンリッチメントパイプラインです。購読者が「トークン」を使用してリクエストを開始すると、ワークフローは一連のイベントをトリガーします:
RFI WorkerはシャーディングされたSQLiteストレージからクエリに関連する特定のThreat Event IDを取得し、アナリストに関連テレメトリをパッケージ化します
Cloudforce OneアナリストはTIPの内部バージョンを使用してリバースエンジニアリングを実行したり、グローバルデータセット間でピボットしたりします
調査が完了すると、調査結果(新しいIOC、アクター帰属、キャンペーンノート)がグローバルインテリジェンスフィードに書き戻されます
これにより、「人間」の洞察が単にPDFレポートに留まらないようになります。代わりに、結果のメタデータは関連する場合に脅威イベントとしてエッジにプッシュバックされ、既に設定したWAFまたはファイアウォールルールで使用できます。当社は静的な「レポート」モデルから動的な「インテル・アズ・コード」モデルに移行し、人間の分析がリアルタイムでプラットフォームの自動検出ロジックを直接改善します。
image
データ管理からアクティブハンティングへ
ETLパイプラインの管理からアクティブな脅威ハンティングへの移行は、単なる新しいインターフェースではなく、コンピューティングがどこで行われるかに関するものです。ストレージ、集約、可視化レイヤーをCloudflareグローバルネットワークに移行することで、通常SOCを遅くする「データ重力」を排除しました。防御者は、「このIPは既知のキャンペーンに関連していますか?」と尋ねる前に、ログが中央リポジトリに同期されるのを待つ必要がなくなりました。答えは現在、トラフィックがフィルタリングされている同じ環境で、エッジで利用可能です。
このインテリジェンスがチームの規模や特定の要件に関係なくアクセス可能であることを確保するために、当社はCloudforce Oneアクセスを3つの機能レベルに構造化しました:
Cloudforce One Essentialsは、顧客が脅威イベントのデフォルトデータセットにアクセスし、インジケーターを検索し、脅威ハンティング調査を実施できるようにします。
Cloudforce One Advantageは、顧客がRequests for Informationを介して当社の脅威インテリジェンスアナリストのカスタムインサイトにアクセスできるようにします。
Cloudforce One Eliteは、完全なパッケージであり、ブランド保護、多数のRequests for Information、およびすべての脅威イベントデータセットへのアクセスを含みます。
インターネットは速く動き、敵対者が使用するインフラストラクチャはさらに速く動きます。テレメトリと応答ロジックを1つの統合プラットフォームに集中させることで、パイプラインを構築するのをやめ、ネットワークの防御を開始できます。
[Threat Landscape Report 2026] [Explore the Threat Intelligence Platform] | [Contact Sales for a Demo]
原文を表示
For years, the cybersecurity industry has suffered from a "data gravity" problem. Security teams are buried under billions of rows of telemetry, yet they remain starved for actionable insights.
A Threat Intelligence Platform (TIP) is a centralized security system that collects, aggregates, and organizes data about known and emerging cyber threats. It serves as the vital connective tissue between raw telemetry and active defense.
The underlying architecture of Cloudflare’s Threat Intelligence Platform sets it apart from other solutions. We have evolved our Threat Intelligence Platform to eliminate the need for complex ETL (Extract, Transform, Load) pipelines by using a sharded, SQLite-backed architecture. By running GraphQL directly on the edge, security teams can now visualize and automate threat response in real time. Instead of one massive database, we distribute Threat Events across thousands of logical shards — meaning sub-second query latency, even when aggregating millions of events across global datasets.
By unifying our global telemetry with the manual investigations performed by our analysts, our intelligence platform creates a single source of truth that allows security teams to move from observing a threat to preemptively blocking it across the Cloudflare network. We believe your intelligence platform shouldn't just tell you that something is "bad"; it should tell you why it’s happening, who is behind it, and automatically prevent it from happening again.
In this post, we’ll explore some of the features that make the Cloudforce One experience powerful and effective.
Why are we launching a Threat Intelligence Platform?
When we announced the Cloudforce One team in 2022, we quickly realized that tracking adversary infrastructure required tools that didn't yet exist. So we built our own.
What began as an internal project has evolved into a cloud-first, agentic-capable Threat Intelligence Platform (TIP) designed for our users. We have moved from conceptualizing "observable" events across various datasets to building a platform that maps the entire lifecycle of a threat. Today, the Cloudflare TIP allows you to correlate actors to malware, link cases to indicators, and store everything in one unified ecosystem.
We are moving beyond simple data access to provide a fully integrated, visual, and automated command center for your SOC. Our motivation behind building this TIP stems from the core tenets of effective threat intelligence: relevance, accuracy, and actionability. We needed a highly extensible system that can integrate multiple datasets, support multi-tenancy, enable group-based and tenant-to-tenant sharing, and scale efficiently on the edge.
By using Cloudflare Workers, we’ve built a next-generation developer stack that ensures rapid innovation. We can now synthesize millions of threat events into real-time graphs and diagrams and instantly answer the critical questions: What happened? And what does it mean?
Because our GraphQL endpoint is built in the same Worker that is driving the Threat Events platform, your data is always live and there are no delays between ingestion and availability. Whether you are applying complex analysis or drilling down into a specific event, the platform responds instantly. As Workers runtime evolves, our TIP inherits these optimizations automatically. For example, Smart Placement ensures our query-handling Workers are physically located near the Durable Objects they are fanning out to, minimizing tail latency. And the ability to use larger CPU limits and Hyperdrive allows us to maintain higher performance connection pooling directly at the edge, rather than backhauling the logic to a single datacenter.
Beyond the SIEM: historical context and intelligence enrichment
While a SIEM (Security Information and Event Management) is designed for real-time log aggregation and immediate alerting, it often lacks the specialized schema and long-term retention needed for deep adversary tracking. Our TIP fills this gap by acting as a dedicated intelligence layer that enriches raw logs with historical actor patterns. The goal of our platform isn’t to replace a SIEM, but to complement it. Our TIP provides the long-term, structured storage for Threat Events — retained and indexed at the edge — needed to bridge the gap between technical telemetry and executive insight.
The Cloudflare Managed Defense and Threat Intelligence Platform are designed to operate in a symbiotic loop, creating a powerful force multiplier for threat detection and response. By integrating the TIP directly with the SOC, analysts gain immediate, rich context for any alert or event. Instead of just seeing an anomalous IP address or a suspicious file hash, the SOC team can instantly see its history, its association with known threat actors, its role in broader campaigns, and its risk score as determined by the TIP's analytics. This immediate context eliminates time-consuming manual research and enables faster, more accurate decision-making.
Conversely, as the intel analyst team investigates incidents and hunts for new threats, their findings become a crucial source of new intelligence.
Newly discovered indicators of compromise (IOCs) are fed back into the TIP, enriching the platform for all users and enhancing its automated defenses. This continuous feedback loop ensures the intelligence is always current and grounded in real-world observations, providing unparalleled visibility into the threat landscape and allowing security teams to shift from a reactive to a proactive defense posture.
An architecture that eliminates bottlenecks
To ensure every piece of Cloudforce One telemetry is actionable, we had to solve a fundamental storage problem: how do you provide low-latency, complex queries over billions of events without the overhead of a traditional centralized database?
We chose a sharded architecture built on SQLite backed Durable Objects. By distributing Threat Events across this high-cardinality fleet of storage units, we ensure that no single database becomes a point of contention during high-volume ingestion. Each shard is a Durable Object, providing a consistent, transactional interface to its own private SQLite database.
This architecture allows us to use the full Cloudflare developer stack. We use Cloudflare Queues to ingest and distribute incoming telemetry asynchronously, ensuring that high-volume attack spikes don't saturate our write throughput. Once ingested, data is stored in R2 for long-term retention, while the "hot" index remains in the Durable Object's SQLite storage for instant retrieval.
Parallel execution at the edge
The real power of this approach is visible during a search. When a user queries our GraphQL endpoint — which also runs in a Worker — the platform doesn't query a single table. Instead, it fans out the request to multiple Durable Objects in parallel. Because Durable Objects are distributed across our global network, we can aggregate results with minimal latency. After we verify the user’s permissions and eliminate the shards that would not contain our events (by date), here is a simplified look at how the Worker handles a multi-shard fan-out:
// A conceptual look at fanning out a query to multiple shards
async function fetchFromShards(shards, query) {
const promises = shards.map(shardId => {
const stub = TELEMETRY_DO.get(shardId);
return stub.querySQLite(query); // Calling the DO's storage method
});
// Parallel execution across the Cloudflare network
const results = await Promise.all(promises);
return results.flat();
}
This parallelism ensures a fluid experience whether you are auditing a single dataset for a year of history or synthesizing a month of activity across every dataset in your account. By moving the compute — the SQL execution — to where the data lives, we eliminate the bottleneck of a single, monolithic database.
Visualize the Adversary with dynamic graphs and diagrams
Numbers on a spreadsheet don't tell stories; patterns do. We’ve introduced dynamic visualizations to help you "see" the threat landscape.
Sankey Diagrams to trace the flow of attacks from origin to target, identifying which regions are being hit hardest and where the infrastructure resides.
Industry and dataset distribution of attacks, for users to instantly pivot your view to see if a specific campaign is targeting your sector (e.g., Finance or Retail) or if it's a broad-spectrum commodity attack.
Correlating telemetry through attribute mapping
A single indicator, such as an IP address, provides limited utility without historical and relational context. We have structured our Threat Insights to act as a pivot point, allowing you to correlate disparate threat events across multiple datasets into a single, cohesive campaign or exploit.
Instead of manual cross-referencing, the platform automatically maps our internal actor nomenclature to recognized industry aliases — such as linking our internal tracking to "Fancy Bear" or "APT28." This ensures that your local environment's telemetry is instantly interoperable with broader global research and threat intelligence feeds.
Search, filters, and alerts
Saved configurations and real-time notifications help you get notified the second our telemetry matches your custom filters, allowing you to react at the speed of the edge. Effective threat hunting requires the ability to filter global telemetry by specific technical attributes. The platform supports high-cardinality searches across our entire dataset — including IP addresses, file hashes, domains, and JA3 fingerprints — with results typically returned in seconds.
To move beyond manual searching, you can persist these query parameters as saved configurations. These configurations act as triggers for our real-time notification engine; when new incoming telemetry matches your defined filters, the platform pushes an alert to your configured endpoints. This transition from pull-based searching to push-based alerting ensures that your security stack can respond to matches as soon as they are ingested by our global network.
image
Automated rules and STIX2 Exports
Intelligence is only "actionable" if it results in a reduced attack surface. We’ve built the TIP to handle the translation between raw telemetry and security enforcement automatically.
For organizations using third-party or in-house SIEM or SOAR platforms, interoperability is a requirement. However, mapping disparate internal data schemas to the STIX2 (Structured Threat Information eXpression) standard is traditionally a high-latency ETL task. We’ve moved this translation to the edge.
When a user requests a STIX2 export, a Worker dynamically maps our internal SQLite records to the STIX2 JSON schema. This means we are first converting raw IP addresses, file hashes, and domain names into standardized STIX cyber observables. Then we define relationship objects using our platform's internal mapping to link indicator objects to threat-actor or malware objects, preserving the context of the investigation. Finally, we automatically manage the modified and created timestamps in UTC to ensure your downstream tools can track the evolution of the threat.
Instant Protection via the Firewall API
Beyond exports, the platform allows you to close the loop between discovery and defense. When you identify a malicious pattern in a Sankey diagram or a specific Actor campaign, you can generate a security rule with one click.
Under the hood, the TIP interacts directly with the Cloudflare Firewall Rules API. It takes the filtered attributes of your investigation (e.g., a specific JA3 fingerprint combined with a list of known malicious ASNs) and compiles them into a wire-protocol rule that is deployed across our global network in seconds.
Human-in-the-loop intelligence
While automation handles the bulk of telemetry, the most complex threats require human intuition. We’ve integrated a Requests for Information (RFI) Portal directly into the platform, allowing users to task Cloudforce One analysts with deep-dive investigations.
From a technical perspective, the RFI system isn't just a ticketing portal; it's a data-enrichment pipeline. When a subscriber uses a number of "tokens" to initiate a request, the workflow triggers a series of events:
The RFI Worker pulls the specific Threat Event IDs related to the query from the sharded SQLite storage, packaging the relevant telemetry for the analyst
Cloudforce One analysts use an internal version of the TIP to perform reverse engineering or pivot across global datasets
Once the investigation is complete, the findings (new IOCs, actor attributions, or campaign notes) are written back into our global intelligence feed
This ensures that the "human" insight doesn't just sit in a PDF report. Instead, the resulting metadata is pushed back to the edge as a threat event where relevant, where it can be used by the WAF or Firewall rules you’ve already configured. We’ve moved from a static "report" model to a dynamic "intel-as-code" model, where human analysis directly improves the platform's automated detection logic in real time.
image
From data management to active hunting
The shift from managing ETL pipelines to active threat hunting isn't just about a new interface but about where the compute happens. By moving the storage, aggregation, and visualization layers to the Cloudflare global network, we’ve removed the "data gravity" that typically slows down a SOC. Defenders no longer need to wait for logs to sync to a central repository before they can ask, "Is this IP related to a known campaign?" The answer is now available at the edge, in the same environment where the traffic is being filtered.
To ensure this intelligence is accessible regardless of your team's size or specific requirements, we’ve structured our Cloudforce One access into three functional levels:
Cloudforce One Essentials allows customers to access the default datasets in threat events, search for indicators, and conduct threat hunting investigations.
Cloudforce One Advantage allows customers to access our Threat Intelligence Analyst custom insights via requests for information.
Cloudforce One Elite, the complete package, includes brand protection, a high number of requests for information, and access to all threat events datasets.
The Internet moves fast, and the infrastructure used by adversaries moves even faster. By centralizing your telemetry and your response logic in one integrated platform, you can stop building pipelines and start defending your network.
[Threat Landscape Report 2026] [Explore the Threat Intelligence Platform] | [Contact Sales for a Demo]
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み