CSD Konsolen-Rundgang

Dashboard

Navigieren Sie zum Clientseitige Abwehr-Dashboard in der XC-Konsole.

Die Zusammenfassungskarten zeigen bearbeitete Skript-Domains:

• Aktion erforderlich — Skript-Domains (sowohl Erst- als auch Drittanbieter), die zur Überprüfung markiert, aber noch nicht bearbeitet wurden
• Gefunden & Entschärft — Domains, bei denen Skripte zur Entschärfungsliste hinzugefügt wurden (ändert sich nur nach Administratoraktion)
• Gefunden & Erlaubt — Domains, die explizit zur Erlaubnisliste hinzugefügt wurden (ändert sich nur nach Administratoraktion)
• Gesamt gefunden — alle im aktuellen Zeitraum erkannten Skript-Domains (wird automatisch mit neuen Erkennungen aktualisiert)
• Verbrauchte Transaktionen — in diesem Monat verarbeitete CSD-Telemetrieereignisse (bestätigt, dass CSD aktiv ist)

Die Domain-Tabelle listet alle Domains auf, die CSD erkannt hat — einschließlich Erstanbieter- und Drittanbieter-Skriptquell-Domains sowie Fetch/XHR-Ziel-Domains. Jede Zeile zeigt den Domain-Status, den Zeitstempel der letzten Erkennung, die Domain-Kategorie und die Orte (URLs), an denen Aktivitäten dieser Domain beobachtet wurden.

Der obige Screenshot zeigt Domains, die im Demo-Tenant erkannt wurden, alle mit dem Status Aktion erforderlich. Die angezeigten Domains hängen davon ab, welche Simulationen ausgeführt wurden:

Domain	Kategorie	Ursprung
botdemo.sales-demo.f5demos.com	Computer- und Internetinformationen	Geschützte Anwendungs-Domain
dnslog.cn	Malware-Websites	Skript zur Datenexfiltrations-Simulation
canarytokens.com	Computer- und Internetsicherheit	Skript zur Datenexfiltrations-Simulation

Nach dem Ausführen der kombinierten Simulation und dem Bearbeiten der injizierten CDN-Domains (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) über das Aktionsmenü erscheinen diese Domains ebenfalls in der Tabelle mit dem Status Gefunden & Erlaubt oder Gefunden & Entschärft.

Hinweis

Domains erscheinen im Dashboard erst, nachdem CSD das Laden von Skripten aus diesen Domains erkannt hat. Die Anzahl unter Aktion erforderlich spiegelt Domains wider, die zur Administratorüberprüfung markiert wurden. Neue Erkennungen aus der kombinierten Simulation können 5–10 Minuten benötigen, um in der Skriptliste zu erscheinen, bevor sie hier angezeigt werden.

Klicken Sie auf das …-Aktionsmenü in einer Domain-Zeile, um die verfügbaren Aktionen anzuzeigen: Zur Erlaubnisliste hinzufügen und Zur Entschärfungsliste hinzufügen.

Skript-Inventar

Öffnen Sie die Skriptliste über die linke Navigation, um alle erkannten Skripte anzuzeigen.

Feld	Beschreibung
Skriptname	Vollständige URL der JavaScript-Datei
Status	AN (Aktion erforderlich) oder NA (Keine Aktion erforderlich)
Risikostufe	Kein Risiko, Geringes Risiko oder Hohes Risiko
Begründung	Warum CSD das Skript markiert hat
Zuletzt gesehen	Zeitstempel der aktuellsten Erkennung
Gefundene Orte	Anzahl der Seiten, auf denen das Skript beobachtet wurde
Netzwerkinteraktionen	Anzahl der vom Skript ausgeführten Netzwerkaufrufe
Formularfelder	Anzahl der vom Skript gelesenen Formularfelder
Betroffene Clients	Anzahl der eindeutigen Benutzer/Sitzungen, die vom Skript betroffen sind

Nach dem Ausführen der kombinierten Simulation sollten Sie Folgendes sehen:

• Anwendungsskripte (z. B. main.js, vendor.js) als Hohes Risiko / Aktion erforderlich markiert, weil sie sensible Formularfelder (E-Mail, Passwort) lesen
• 4 neue Drittanbieter-Skripte von cdn.jsdelivr.net, esm.sh, unpkg.com und ga.jspm.io erscheinen als neue Einträge in der Liste

1. Nach Risikostufe sortieren (Hohes Risiko zuerst)

2. Auf ein Hochrisiko-Skript klicken (z. B. main.js), um dessen Detailseite anzuzeigen

3. Die Registerkarte Übersicht zeigt ein Diagramm Verhaltensänderungen über Zeit, das die Risikostufe, die Quell-Domain und den Typ des Skripts im Zeitverlauf verfolgt

   

4. Auf die Registerkarte Formularfelder klicken, um zu sehen, welche spezifischen Felder das Skript liest

5. Auf die Registerkarte Betroffene Benutzer klicken, um zu sehen, welche Benutzer betroffen waren (siehe den Abschnitt „Betroffene Benutzer” unten)

Formularfelder

Die Ansicht Formularfelder zeigt alle Formularfelder, bei denen CSD erkannte, dass Skripte diese über die überwachte Website hinweg lesen.

CSD klassifiziert Felder automatisch nach Sensitivität:

Formularfeld	Analyse	Beschreibung
email	Sensibel (durch das System)	Anmelde-E-Mail-Feld — hohes Risiko, wenn von nicht autorisierten Skripten gelesen
password	Sensibel (durch das System)	Anmelde-Passwortfeld — hohes Risiko, wenn von nicht autorisierten Skripten gelesen

Hinweis

Es werden nur Felder verfolgt, die im ursprünglichen Seiten-DOM vorhanden sind. Die genauen Feldnamen hängen von der Angular-Formularimplementierung des Juice Shop ab — prüfen Sie den obigen Screenshot für die aktuellen Feldbezeichner.

Jedes Feld zeigt die Anzahl der zugehörigen Skripte, die es lesen, die Orte, an denen Lesevorgänge beobachtet wurden, und den Zeitstempel des letzten Lesevorgangs. Durch einen Drilldown in ein Feld sehen Sie genau, welche Skripte darauf zugreifen.

Netzwerk

Öffnen Sie die Netzwerk-Ansicht, um alle Domains anzuzeigen, von denen Skripte geladen werden (keine Fetch/XHR-Ziele).

Die Registerkarte Alle Domains listet jede Domain mit folgenden Informationen auf:

• Zuletzt gesehen-Zeitstempel
• Domain-Kategorie (z. B. Computer- und Internetinformationen)
• Status Zur Erlaubnisliste/Entschärfungsliste hinzugefügt (Nicht aufgeführt, Erlaubt oder Entschärft)

Nach dem Ausführen der kombinierten Simulation sollten die gleichen vier CDN-Domains, die im Dashboard-Abschnitt aufgeführt sind, als neue Einträge erscheinen, da die injizierten <script>-Tags JavaScript von diesen CDNs geladen haben.

Verwenden Sie die Registerkarten Entschärfungsliste und Erlaubnisliste, um Domains zu überprüfen, die bereits bearbeitet wurden.

Betroffene Benutzer

Die Registerkarte Betroffene Benutzer (erreichbar über die Detailseite eines Skripts) zeigt die vom ausgewählten Skript betroffenen Benutzer.

Jeder Eintrag enthält:

Feld	Beschreibung
IP-Adresse	Quell-IP des betroffenen Benutzers
Geräte-ID	Eindeutiger Gerätebezeichner-Hash
Geolokalisierung	Land, abgeleitet aus der IP (mit Flaggensymbol angezeigt)
Kanal	Zugriffskanal (z. B. Web)
User Agent	Browsername, Version und Betriebssystem
Zuletzt gesehen	Zeitstempel der aktuellsten Erkennung für diesen Benutzer

Diese Ansicht demonstriert den Umfang eines erkannten Angriffs — wie viele Benutzer betroffen waren, aus welchen Regionen und auf welchen Plattformen. Verwenden Sie diese Daten, um die Auswirkungen eines Formjacking-Vorfalls zu bewerten und die Entschärfung zu priorisieren.

Alarmkonfiguration

Öffnen Sie den Abschnitt Benachrichtigungen über die linke Navigation, um die Seite Alarme anzuzeigen.

Die Alarmseite zeigt Plattform- und CSD-Alarme für den Namespace an. Infrastrukturalarme (z. B. Fehler bei Endpunkt-Integritätsprüfungen) werden automatisch angezeigt, aber CSD-spezifische Alarmregeln müssen von einem Administrator explizit konfiguriert werden, bevor Skripterkennungs-Benachrichtigungen ausgelöst werden. Konfigurierbare Auslösebedingungen umfassen:

• Neue verdächtige Skript-Domain erkannt
• Skript-Risikowert überschreitet Schwellenwert
• Neues Skript auf einer überwachten Seite erkannt
• Skriptverhalten geändert (z. B. neue Formularfeld-Lesevorgänge)

Alarme können pro Domain oder global begrenzt werden, und E-Mail-Benachrichtigungen werden an den konfigurierten Alarmempfänger gesendet.

Achtung

Wenn keine CSD-spezifischen Alarmregeln auf dem Demo-Tenant konfiguriert sind, werden hier nur Infrastrukturalarme (falls vorhanden) angezeigt. Dies ist zu erwarten — die CSD-Erkennung (Skriptliste, Dashboard, Formularfelder) funktioniert unabhängig von der Alarmkonfiguration. Präsentatoren sollten erklären, dass Alarme eine optionale Benachrichtigungsebene zusätzlich zur kontinuierlichen Überwachung durch CSD sind.

Entschärfung

Klicken Sie im Dashboard auf das …-Aktionsmenü bei einer markierten Domain und wählen Sie Zur Entschärfungsliste hinzufügen. Alternativ können Sie in der Skriptliste die Aktionen für einzelne Skripte verwenden.

1. Eine verdächtige Domain oder ein Skript auswählen
2. Auf Zur Entschärfungsliste hinzufügen klicken
3. Die Aktion bestätigen — der Domain-Status wird in der Aktionsspalte aktualisiert
4. Die Domain wechselt von Aktion erforderlich zu Gefunden & Entschärft

Das Aktionsmenü ist dasselbe, das im Dashboard-Abschnitt oben gezeigt wird.

Entschärfte Skripte werden beim nächsten Seitenaufruf von der Ausführung blockiert. Die Entschärfung ist reversibel — durch das Entfernen der Domain aus der Entschärfungsliste wird die Skriptausführung wiederhergestellt.

Für die programmatische Entschärfung über die API siehe API-Referenz — Entschärfung.