Ir al contenido
Defensa del lado del cliente

Preguntas frecuentes

Preguntas frecuentes sobre F5 Distributed Cloud Defensa del lado del cliente, recopiladas de sesiones de demostración y conversaciones con clientes.

¿CSD genera alertas cuando se detectan infracciones?

Sección titulada «¿CSD genera alertas cuando se detectan infracciones?»

Sí, pero las reglas de alerta específicas de CSD deben configurarse explícitamente. CSD crea automáticamente un receptor de alertas utilizando la dirección de correo electrónico de la cuenta proporcionada durante la configuración. Puede configurar disparadores de alerta para:

  • Nuevo dominio sospechoso detectado
  • Umbral de puntuación de riesgo superado
  • Nuevo script detectado en una página protegida
  • Cambio de comportamiento en un script visto anteriormente

Las alertas pueden definirse por dominio o aplicarse globalmente a todos los dominios protegidos. Consulte la sección F5 XC Consola de CSD — Configuración de alertas para obtener detalles de configuración.

¿Puedo ver los registros de solicitudes HTTP para los eventos de CSD?

Sección titulada «¿Puedo ver los registros de solicitudes HTTP para los eventos de CSD?»

CSD opera mediante telemetría JavaScript del lado del cliente — no existen registros HTTP del lado del servidor para las detecciones de scripts ni para la aplicación de mitigaciones. El flujo de detección funciona de la siguiente manera:

  1. La etiqueta JavaScript de CSD (inyectada por el balanceador de carga) se ejecuta en el navegador del visitante
  2. Supervisa la carga de scripts, las mutaciones del DOM y el acceso a campos de formulario
  3. Los balizas de telemetría se envían al backend de F5 para su análisis
  4. Los resultados de detección aparecen en la API y el panel de control de CSD

Los registros de acceso del balanceador de carga (/api/data/namespaces/\{ns\}/access_logs) incluyen un campo csd_js_injection que confirma si la etiqueta de script de CSD fue inyectada en una respuesta. Para los datos de detección de CSD, utilice los endpoints de la API: /scripts, /detected_domains y /formFields.

Consulte la guía de Diagnósticos para conocer las pruebas de verificación completas de Capa 7 (HTTP) y Capa 8 (telemetría CSD).

¿CSD se integra con herramientas SIEM (Splunk, Datadog, etc.)?

Sección titulada «¿CSD se integra con herramientas SIEM (Splunk, Datadog, etc.)?»

No existe una integración nativa mediante webhook o syslog con sistemas SIEM documentada específicamente para CSD. Los datos de detección de CSD están disponibles a través de los endpoints de la API REST:

  • /scripts — scripts detectados con niveles de riesgo
  • /detected_domains — dominios categorizados (CDN, exfiltración, etc.)
  • /formFields — campos de formulario accedidos por scripts con clasificación de sensibilidad

Los clientes pueden consultar estos endpoints de la API de forma periódica y reenviar los datos de detección a su SIEM. Consulte la Referencia de API para obtener detalles sobre los endpoints y la autenticación.

¿Qué bloquea exactamente la mitigación de CSD?

Sección titulada «¿Qué bloquea exactamente la mitigación de CSD?»

La mitigación de CSD bloquea la carga de etiquetas <script> desde dominios mitigados interceptando el atributo src — el JavaScript de CSD vacía el valor de src asignándole una cadena vacía, lo que impide completamente la solicitud de red. Esto apunta al vector de cadena de suministro: scripts maliciosos de terceros que se inyectan en la página a través de etiquetas <script>.

La mitigación de CSD no intercepta:

  • Llamadas fetch()
  • Llamadas XMLHttpRequest
  • Cargas de etiquetas <img> o <link>
  • Conexiones WebSocket

Este diseño es intencional — CSD se enfoca en el mecanismo de carga de scripts que los ataques a la cadena de suministro (Magecart, formjacking, skimming) utilizan para inyectar código malicioso. Las llamadas a API a nivel de aplicación realizadas mediante fetch() o XMLHttpRequest están fuera del alcance de CSD y son gestionadas por otras características de seguridad de F5 XC (Firewall de aplicaciones web (WAF), Defensa Bot, Protección de API).

Consulte la Fase 3 — Mitigar para ver una demostración antes/después del comportamiento de bloqueo de scripts.

¿Cuánto tiempo tardan en aparecer las detecciones después de ejecutar un ataque?

Sección titulada «¿Cuánto tiempo tardan en aparecer las detecciones después de ejecutar un ataque?»

El tiempo de detección varía según el endpoint:

EndpointTiempo típicoNotas
/detected_domainsMinutosSe completa primero — este es el indicador principal de que el flujo de procesamiento de CSD está funcionando
/scripts10–30 minutosUtiliza un programa de procesamiento en el backend más lento
/formFields20–30 minutosLa clasificación de sensibilidad mediante ML (Sensitive vs Not Sensitive) requiere procesamiento adicional

Las detecciones persisten tras el desmantelamiento/reconstrucción de la infraestructura cuando el mismo dominio protegido se vuelve a registrar en el mismo inquilino. Después de un desmantelamiento y reconstrucción, consulte /detected_domains una vez — si la respuesta contiene elementos, las detecciones anteriores siguen disponibles y no es necesario esperar.

Consulte la sección Fase 2 — Verificación de detección para conocer el protocolo de consulta recomendado.