FAQ

Häufig gestellte Fragen zur F5 Distributed Cloud Clientseitigen Abwehr, zusammengestellt aus Demo-Sitzungen und Kundengesprächen.

Generiert CSD Warnmeldungen, wenn Verstöße erkannt werden?

Ja, jedoch müssen CSD-spezifische Warnregeln explizit konfiguriert werden. CSD erstellt automatisch einen Alert Receiver unter Verwendung der bei der Einrichtung angegebenen Konto-E-Mail-Adresse. Sie können Auslöser für Warnmeldungen konfigurieren für:

• Neu erkannte verdächtige Domain
• Überschreitung des Risikoschwellenwerts
• Neues Skript auf einer geschützten Seite erkannt
• Verhaltensänderung bei einem zuvor bekannten Skript

Warnmeldungen können pro Domain oder global für alle geschützten Domains festgelegt werden. Weitere Informationen zur Einrichtung finden Sie im Abschnitt CSD-Konsole — Warnungskonfiguration.

Hinweis

Warnregeln werden im CSD-Dashboard konfiguriert, nicht über die Automatisierungs-API. Die API-Endpunkte (/scripts, /detected_domains) liefern Erkennungsdaten, lösen jedoch selbst keine Warnmeldungen aus.

Kann ich HTTP-Anforderungsprotokolle für CSD-Ereignisse anzeigen?

CSD arbeitet über clientseitige JavaScript-Telemetrie — es gibt keine serverseitigen HTTP-Protokolle für Skripterkennungen oder die Durchsetzung von Gegenmaßnahmen. Die Erkennungspipeline funktioniert wie folgt:

1. Das CSD-JavaScript-Tag (vom Load Balancer eingefügt) wird im Browser des Besuchers ausgeführt
2. Es überwacht das Laden von Skripten, DOM-Mutationen und den Zugriff auf Formularfelder
3. Telemetrie-Beacons werden zur Analyse an das F5-Backend gesendet
4. Erkennungsergebnisse erscheinen in der CSD-API und im Dashboard

Die Load-Balancer-Zugriffsprotokolle (/api/data/namespaces/\{ns\}/access_logs) enthalten ein csd_js_injection-Feld, das bestätigt, ob das CSD-Skript-Tag in eine Antwort eingefügt wurde. Für CSD-Erkennungsdaten verwenden Sie die API-Endpunkte: /scripts, /detected_domains und /formFields.

Weitere Informationen finden Sie im Diagnose-Leitfaden für die vollständigen Überprüfungstests auf Schicht 7 (HTTP) und Schicht 8 (CSD-Telemetrie).

Lässt sich CSD mit SIEM-Werkzeugen (Splunk, Datadog usw.) integrieren?

Für CSD ist keine native SIEM-Webhook- oder Syslog-Integration dokumentiert. Die CSD-Erkennungsdaten sind über die REST-API-Endpunkte verfügbar:

• /scripts — erkannte Skripte mit Risikostufen
• /detected_domains — kategorisierte Domains (CDN, Exfiltration usw.)
• /formFields — von Skripten zugegriffene Formularfelder mit Klassifizierung der Sensitivität

Kunden können diese API-Endpunkte planmäßig abfragen und Erkennungsdaten an ihr SIEM weiterleiten. Endpunktdetails und Authentifizierungsinformationen finden Sie in der API-Referenz.

Tipp

Die F5 Distributed Cloud Plattform unterstützt Global Log Receiver-Konfigurationen zum Streamen von HTTP-Zugriffsprotokollen an externe Systeme (Splunk, Datadog, S3 usw.). Obwohl dies die Zugriffsprotokolle des Load Balancers abdeckt (einschließlich des csd_js_injection-Felds), sind CSD-Erkennungsereignisse nicht enthalten. Für Erkennungsdaten verwenden Sie den oben beschriebenen API-Abfrageansatz.

Was blockiert die CSD-Gegenmaßnahme tatsächlich?

Die CSD-Gegenmaßnahme blockiert das Laden von <script>-Tags aus abgesicherten Domains, indem das src-Attribut abgefangen wird — das CSD-JavaScript setzt src auf eine leere Zeichenkette zurück und verhindert so die Netzwerkanforderung vollständig. Dies zielt auf den Supply-Chain-Vektor: bösartige Drittanbieter-Skripte, die über <script>-Tags in die Seite eingefügt werden.

Die CSD-Gegenmaßnahme fängt nicht ab:

• fetch()-Aufrufe
• XMLHttpRequest-Aufrufe
• Ladevorgänge von <img>- oder <link>-Tags
• WebSocket-Verbindungen

Dieses Design ist beabsichtigt — CSD konzentriert sich auf den Skript-Lademechanismus, den Supply-Chain-Angriffe (Magecart, Formjacking, Skimming) verwenden, um bösartigen Code einzuschleusen. Anwendungsseitige API-Aufrufe über fetch() oder XMLHttpRequest liegen außerhalb des Zuständigkeitsbereichs von CSD und werden von anderen F5 XC-Sicherheitsfunktionen behandelt (Web-App-Firewall (WAF), Bot-Abwehr, API-Schutz).

Einen Vorher-Nachher-Nachweis des Skript-Blockierungsverhaltens finden Sie unter Phase 3 — Gegenmaßnahmen.

Wie lange dauert es, bis Erkennungen nach einem Angriff angezeigt werden?

Die Erkennungszeiten variieren je nach Endpunkt:

Endpunkt	Typische Zeitdauer	Hinweise
/detected_domains	Minuten	Wird zuerst befüllt — dies ist der primäre Indikator dafür, dass die CSD-Pipeline verarbeitet
/scripts	10–30 Minuten	Verwendet einen langsameren Backend-Verarbeitungsplan
/formFields	20–30 Minuten	Die ML-Sensitivitätsklassifizierung (Sensitive vs. Not Sensitive) erfordert zusätzliche Verarbeitung

Erkennungen bleiben nach dem Abbau und Neuaufbau der Infrastruktur erhalten, wenn dieselbe geschützte Domain im selben Mandanten erneut registriert wird. Fragen Sie nach einem Abbau und Neuaufbau einmal /detected_domains ab — wenn die Antwort Einträge enthält, sind frühere Erkennungen weiterhin verfügbar und es ist keine Wartezeit erforderlich.

Weitere Informationen zum empfohlenen Abfrageprotokoll finden Sie im Abschnitt Phase 2 — Erkennungsverifizierung.