الأسئلة الشائعة
الأسئلة الشائعة حول F5 Distributed Cloud الدفاع من جهة العميل، مُجمَّعة من جلسات العرض التوضيحي ومحادثات العملاء.
هل يُولِّد CSD تنبيهات عند اكتشاف الانتهاكات؟
Section titled “هل يُولِّد CSD تنبيهات عند اكتشاف الانتهاكات؟”نعم، ولكن يجب تكوين قواعد التنبيه الخاصة بـ CSD بشكل صريح. يقوم CSD تلقائيًا بإنشاء جهة استقبال تنبيهات باستخدام عنوان البريد الإلكتروني للحساب المُقدَّم أثناء الإعداد. يمكنك تكوين مشغّلات التنبيه من أجل:
- اكتشاف نطاق مشبوه جديد
- تجاوز حد درجة المخاطرة
- اكتشاف نص برمجي جديد على صفحة محمية
- تغيّر سلوك نص برمجي تمت مشاهدته مسبقًا
يمكن تحديد نطاق التنبيهات لكل نطاق أو تطبيقها على نطاق عالمي عبر جميع النطاقات المحمية. راجع قسم وحدة تحكم CSD — تكوين التنبيهات للاطلاع على تفاصيل الإعداد.
هل يمكنني عرض سجلات طلبات HTTP لأحداث CSD؟
Section titled “هل يمكنني عرض سجلات طلبات HTTP لأحداث CSD؟”يعمل CSD عبر قياسات عن بُعد لـ JavaScript من جهة العميل — لا توجد سجلات HTTP من جهة الخادم لاكتشافات النصوص البرمجية أو تطبيق التخفيف. تعمل مسار الكشف على النحو التالي:
- يعمل وسم JavaScript الخاص بـ CSD (المُحقَن بواسطة موازن التحميل) في متصفح الزائر
- يراقب تحميل النصوص البرمجية وتعديلات DOM والوصول إلى حقول النماذج
- يتم إرسال إشارات القياس عن بُعد إلى الواجهة الخلفية لـ F5 للتحليل
- تظهر نتائج الكشف في واجهة برمجة تطبيقات CSD ولوحة التحكم
تتضمن سجلات وصول موازن التحميل (/api/data/namespaces/\{ns\}/access_logs) حقل csd_js_injection الذي يؤكد ما إذا كان وسم النص البرمجي لـ CSD قد تم حقنه في استجابة. للحصول على بيانات كشف CSD، استخدم نقاط نهاية API: /scripts، و/detected_domains، و/formFields.
راجع دليل التشخيصات للاطلاع على اختبارات التحقق الكاملة للطبقة 7 (HTTP) والطبقة 8 (قياسات CSD عن بُعد).
هل يتكامل CSD مع أدوات SIEM (Splunk وDatadog وغيرها)؟
Section titled “هل يتكامل CSD مع أدوات SIEM (Splunk وDatadog وغيرها)؟”لا يوجد تكامل محلي مع webhook أو syslog لـ SIEM موثَّق بشكل خاص لـ CSD. تتوفر بيانات كشف CSD عبر نقاط نهاية REST API:
/scripts— النصوص البرمجية المكتشفة مع مستويات المخاطر/detected_domains— النطاقات المصنَّفة (CDN، استخراج البيانات، إلخ)/formFields— حقول النماذج التي تصل إليها النصوص البرمجية مع تصنيف الحساسية
يمكن للعملاء استطلاع نقاط نهاية API هذه بصفة دورية وإعادة توجيه بيانات الكشف إلى نظام SIEM الخاص بهم. راجع مرجع API للاطلاع على تفاصيل نقاط النهاية والمصادقة.
ما الذي يحجبه تخفيف CSD فعليًا؟
Section titled “ما الذي يحجبه تخفيف CSD فعليًا؟”يحجب تخفيف CSD تحميل وسوم <script> من النطاقات المخففة عن طريق اعتراض خاصية src — يقوم JavaScript الخاص بـ CSD بمسح src إلى سلسلة فارغة، مما يمنع طلب الشبكة كليًا. يستهدف ذلك ناقل سلسلة التوريد: النصوص البرمجية الخبيثة لجهات خارجية التي يتم حقنها في الصفحة عبر وسوم <script>.
تخفيف CSD لا يعترض:
- استدعاءات
fetch() - استدعاءات
XMLHttpRequest - تحميلات وسوم
<img>أو<link> - اتصالات WebSocket
هذا التصميم مقصود — يركز CSD على آلية تحميل النصوص البرمجية التي تستخدمها هجمات سلسلة التوريد (Magecart وformjacking والاستخراج) لحقن التعليمات البرمجية الخبيثة. استدعاءات API على مستوى التطبيق المُجراة عبر fetch() أو XMLHttpRequest تقع خارج نطاق CSD ويتم التعامل معها بواسطة ميزات أمان F5 XC الأخرى (جدار حماية تطبيقات الويب (WAF)، ودفاع Bot، وحماية API).
راجع المرحلة 3 — التخفيف للاطلاع على إثبات ما قبل وما بعد يوضح سلوك حجب النصوص البرمجية.
كم من الوقت يستغرق ظهور الاكتشافات بعد تنفيذ هجوم؟
Section titled “كم من الوقت يستغرق ظهور الاكتشافات بعد تنفيذ هجوم؟”يتفاوت توقيت الكشف حسب نقطة النهاية:
| نقطة النهاية | التوقيت المعتاد | ملاحظات |
|---|---|---|
/detected_domains | دقائق | يُعبَّأ أولًا — وهو المؤشر الرئيسي على أن مسار CSD يعالج البيانات |
/scripts | 10–30 دقيقة | يستخدم جدول معالجة خلفية أبطأ |
/formFields | 20–30 دقيقة | يتطلب تصنيف الحساسية بالتعلم الآلي (Sensitive مقابل Not Sensitive) معالجة إضافية |
تظل الاكتشافات قائمة عبر إيقاف/إعادة بناء البنية التحتية عند إعادة تسجيل النطاق المحمي ذاته على نفس المستأجر. بعد الإيقاف وإعادة البناء، استعلم /detected_domains مرة واحدة — إذا احتوت الاستجابة على عناصر، فإن الاكتشافات السابقة لا تزال متاحة ولا حاجة إلى الانتظار.
راجع قسم المرحلة 2 — التحقق من الكشف للاطلاع على بروتوكول الاستطلاع الموصى به.