Recorrido por la Consola de CSD

Panel de control

Navegue al panel de Defensa del lado del cliente en la F5 XC Consola.

Las tarjetas de resumen muestran los dominios de scripts sobre los que se ha tomado acción:

• Acción necesaria — dominios de scripts (tanto de primera como de terceros) marcados para revisión pero sin acción tomada aún
• Encontrado y mitigado — dominios cuyos scripts han sido añadidos a la lista de mitigación (solo cambia tras la acción del administrador)
• Encontrado y permitido — dominios añadidos explícitamente a la lista de permitidos (solo cambia tras la acción del administrador)
• Total encontrado — todos los dominios de scripts detectados en el período actual (se actualiza automáticamente con nuevas detecciones)
• Transacciones consumidas — eventos de telemetría de CSD procesados este mes (confirma que CSD está activo)

La tabla de dominios lista todos los dominios que CSD ha detectado — incluyendo dominios de origen de scripts de primera y terceros, así como dominios de destino de fetch/XHR. Cada fila muestra el estado del dominio, la marca de tiempo de la última vez visto, la categoría del dominio y las ubicaciones (URLs) donde se observó actividad de ese dominio.

La captura de pantalla anterior muestra los dominios detectados en el tenant de demostración, todos en estado Acción necesaria. Los dominios específicos visibles dependen de qué simulaciones se hayan ejecutado:

Dominio	Categoría	Origen
botdemo.sales-demo.f5demos.com	Información de computadoras e internet	Dominio de la aplicación protegida
dnslog.cn	Sitios de malware	Script de simulación de exfiltración de datos
canarytokens.com	Seguridad informática e internet	Script de simulación de exfiltración de datos

Después de ejecutar la simulación combinada y tomar acción sobre los dominios CDN inyectados (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) mediante el menú de acciones, esos dominios también aparecerán en la tabla con estado Encontrado y permitido o Encontrado y mitigado.

Nota

Los dominios aparecen en el Panel de control solo después de que CSD detecta scripts cargándose desde ellos. El recuento de Acción necesaria refleja los dominios marcados para revisión del administrador. Las nuevas detecciones de la simulación combinada pueden tardar entre 5 y 10 minutos en aparecer en la Lista de scripts antes de mostrarse aquí.

Haga clic en el menú de acciones … de una fila de dominio para ver las acciones disponibles: Añadir a la lista de permitidos y Añadir a la lista de mitigación.

Inventario de scripts

Abra la Lista de scripts desde la navegación izquierda para ver todos los scripts detectados.

Campo	Descripción
Nombre del script	URL completa del archivo JavaScript
Estado	AN (Acción necesaria) o NA (Sin acción necesaria)
Nivel de riesgo	Sin riesgo, riesgo bajo o riesgo alto
Justificación	Por qué CSD marcó el script
Última vez visto	Marca de tiempo de la detección más reciente
Ubicaciones encontradas	Número de páginas donde se observó el script
Interacciones de red	Recuento de llamadas de red realizadas por el script
Campos de formulario	Número de campos de formulario que lee el script
Clientes afectados	Número de usuarios/sesiones únicos afectados por el script

Después de ejecutar la simulación combinada, debería ver:

• Scripts de aplicación (p. ej., main.js, vendor.js) marcados como Riesgo alto / Acción necesaria porque leen campos de formulario sensibles (correo electrónico, contraseña)
• 4 nuevos scripts de terceros de cdn.jsdelivr.net, esm.sh, unpkg.com y ga.jspm.io apareciendo como nuevas entradas en la lista

1. Ordene por Nivel de riesgo (Riesgo alto primero)

2. Haga clic en un script de alto riesgo (p. ej., main.js) para ver su página de detalles

3. La pestaña Resumen muestra un gráfico de Comportamientos a lo largo del tiempo que registra el nivel de riesgo, dominio de origen y tipo del script a lo largo del tiempo

   

4. Haga clic en la pestaña Campos de formulario para ver qué campos específicos está leyendo el script

5. Haga clic en la pestaña Usuarios afectados para ver qué usuarios se vieron impactados (consulte la sección Usuarios afectados más abajo)

Campos de formulario

La vista Campos de formulario muestra todos los campos de formulario que los scripts detectados por CSD están leyendo en todo el sitio supervisado.

CSD clasifica automáticamente los campos por sensibilidad:

Campo de formulario	Análisis	Descripción
email	Sensible (por el sistema)	Campo de correo electrónico de inicio de sesión — alto riesgo si es leído por scripts no autorizados
password	Sensible (por el sistema)	Campo de contraseña de inicio de sesión — alto riesgo si es leído por scripts no autorizados

Nota

Solo se rastrean los campos presentes en el DOM de la página original. Los nombres exactos de los campos dependen de la implementación del formulario Angular de Juice Shop — consulte la captura de pantalla anterior para los identificadores de campo actuales.

Cada campo muestra el número de scripts asociados que lo leen, las ubicaciones donde se observaron las lecturas y la marca de tiempo de la última lectura. Explore un campo para ver exactamente qué scripts están accediendo a él.

Red

Abra la vista Red para ver todos los dominios desde los que los scripts se cargan (no los destinos de fetch/XHR).

La pestaña Todos los dominios lista cada dominio con:

• Marca de tiempo de Última vez visto
• Categoría del dominio (p. ej., Información de computadoras e internet)
• Estado de Añadido a la lista de permitidos/mitigación (Sin listar, Permitido o Mitigado)

Después de ejecutar la simulación combinada, los mismos cuatro dominios CDN listados en la sección Panel de control deberían aparecer como nuevas entradas porque las etiquetas <script> inyectadas cargaron JavaScript desde estas CDN.

Use las pestañas Lista de mitigación y Lista de permitidos para revisar los dominios sobre los que ya se han tomado acciones.

Usuarios afectados

La pestaña Usuarios afectados (accesible desde la página de detalles de un script) muestra los usuarios impactados por el script seleccionado.

Cada entrada incluye:

Campo	Descripción
Dirección IP	IP de origen del usuario afectado
ID de dispositivo	Hash identificador único del dispositivo
Geolocalización	País derivado de la IP (mostrado con ícono de bandera)
Canal	Canal de acceso (p. ej., Web)
Agente de usuario	Nombre del navegador, versión y sistema operativo
Última vez visto	Marca de tiempo de la detección más reciente para este usuario

Esta vista demuestra el alcance de un ataque detectado — cuántos usuarios estuvieron expuestos, desde qué ubicaciones y en qué plataformas. Use estos datos para evaluar el impacto de un incidente de formjacking y priorizar la mitigación.

Configuración de alertas

Abra la sección Notificaciones desde la navegación izquierda para ver la página de Alertas.

La página de Alertas muestra las alertas de plataforma y de CSD para el namespace. Las alertas de infraestructura (como fallos en la verificación de estado de endpoints) aparecen automáticamente, pero las reglas de alerta específicas de CSD deben ser configuradas explícitamente por un administrador antes de que se activen las notificaciones de detección de scripts. Las condiciones de activación configurables incluyen:

• Nuevo dominio de script sospechoso detectado
• La puntuación de riesgo del script supera el umbral
• Nuevo script detectado en una página supervisada
• Cambio de comportamiento del script (p. ej., nuevas lecturas de campos de formulario)

Las alertas pueden estar delimitadas por dominio o de forma global, y las notificaciones por correo electrónico se envían al receptor de alertas configurado.

Precaución

Si no se han configurado reglas de alerta específicas de CSD en el tenant de demostración, solo aparecerán aquí las alertas de infraestructura (si las hay). Esto es esperado — la detección de CSD (Lista de scripts, Panel de control, Campos de formulario) funciona de forma independiente a la configuración de alertas. Los presentadores deben explicar que las alertas son una capa de notificación opcional sobre la supervisión continua de CSD.

Mitigación

Desde el Panel de control, haga clic en el menú de acciones … de un dominio marcado y seleccione Añadir a la lista de mitigación. Alternativamente, desde la Lista de scripts, use las acciones sobre scripts individuales.

1. Seleccione un dominio o script sospechoso
2. Haga clic en Añadir a la lista de mitigación
3. Confirme la acción — el estado del dominio se actualiza en la columna de Acciones
4. El dominio pasa de Acción necesaria a Encontrado y mitigado

El menú de acciones es el mismo que se muestra en la sección Panel de control anterior.

Los scripts mitigados son bloqueados de ejecutarse en la siguiente carga de página. La mitigación es reversible — eliminar el dominio de la Lista de mitigación restaura la ejecución del script.

Para la mitigación programática a través de la API, consulte Referencia de API — Mitigación.