Présentation de la console CSD

Tableau de bord

Accédez au tableau de bord Défense côté client dans la console XC.

Les cartes récapitulatives affichent les domaines de scripts actionnés :

• Action requise — domaines de scripts (propriétaires et tiers) signalés pour révision mais pas encore actionnés
• Trouvé & atténué — domaines dont les scripts ont été ajoutés à la liste d’atténuation (ne change qu’après une action de l’administrateur)
• Trouvé & autorisé — domaines explicitement ajoutés à la liste d’autorisation (ne change qu’après une action de l’administrateur)
• Total détecté — tous les domaines de scripts détectés dans la période actuelle (mis à jour automatiquement avec les nouvelles détections)
• Transactions consommées — événements de télémétrie CSD traités ce mois-ci (confirme que CSD est actif)

Le tableau des domaines liste tous les domaines que CSD a détectés — incluant les domaines sources de scripts propriétaires et tiers, ainsi que les domaines de destination des requêtes fetch/XHR. Chaque ligne indique le statut du domaine, l’horodatage de la dernière détection, la catégorie du domaine et les emplacements (URL) où une activité provenant de ce domaine a été observée.

La capture d’écran ci-dessus montre les domaines détectés sur le tenant de démonstration, tous avec le statut Action requise. Les domaines spécifiques visibles dépendent des simulations qui ont été exécutées :

Domaine	Catégorie	Origine
botdemo.sales-demo.f5demos.com	Informatique et information Internet	Domaine de l’application protégée
dnslog.cn	Sites malveillants	Script de simulation d’exfiltration de données
canarytokens.com	Sécurité informatique et Internet	Script de simulation d’exfiltration de données

Après avoir exécuté la simulation combinée et actionné les domaines CDN injectés (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) via le menu d’actions, ces domaines apparaîtront également dans le tableau avec le statut Trouvé & autorisé ou Trouvé & atténué.

Note

Les domaines n’apparaissent sur le tableau de bord qu’après que CSD ait détecté des scripts se chargeant depuis ceux-ci. Le compteur Action requise reflète les domaines signalés pour révision par l’administrateur. Les nouvelles détections issues de la simulation combinée peuvent prendre 5 à 10 minutes pour apparaître dans la Liste de scripts avant de s’afficher ici.

Cliquez sur le menu d’actions … d’une ligne de domaine pour voir les actions disponibles : Ajouter à la liste d’autorisation et Ajouter à la liste d’atténuation.

Inventaire des scripts

Ouvrez la Liste de scripts depuis la navigation de gauche pour afficher tous les scripts détectés.

Champ	Description
Nom du script	URL complète du fichier JavaScript
Statut	AN (Action requise) ou NA (Aucune action requise)
Niveau de risque	Aucun risque, Risque faible ou Risque élevé
Justification	Raison pour laquelle CSD a signalé le script
Dernière détection	Horodatage de la détection la plus récente
Emplacements trouvés	Nombre de pages où le script a été observé
Interactions réseau	Nombre d’appels réseau effectués par le script
Champs de formulaire	Nombre de champs de formulaire lus par le script
Clients affectés	Nombre d’utilisateurs/sessions uniques affectés par le script

Après avoir exécuté la simulation combinée, vous devriez voir :

• Les scripts de l’application (par ex., main.js, vendor.js) signalés comme Risque élevé / Action requise car ils lisent des champs de formulaire sensibles (e-mail, mot de passe)
• 4 nouveaux scripts tiers provenant de cdn.jsdelivr.net, esm.sh, unpkg.com et ga.jspm.io apparaissant comme nouvelles entrées dans la liste

1. Trier par Niveau de risque (Risque élevé en premier)

2. Cliquer sur un script à risque élevé (par ex., main.js) pour afficher sa page de détail

3. L’onglet Vue d’ensemble affiche un graphique Comportements dans le temps qui suit le niveau de risque, le domaine source et le type du script au fil du temps

   

4. Cliquer sur l’onglet Champs de formulaire pour voir quels champs spécifiques le script lit

5. Cliquer sur l’onglet Utilisateurs affectés pour voir quels utilisateurs ont été impactés (voir la section Utilisateurs affectés ci-dessous)

Champs de formulaire

La vue Champs de formulaire affiche tous les champs de formulaire que les scripts détectés par CSD lisent sur le site surveillé.

CSD classe automatiquement les champs par sensibilité :

Champ de formulaire	Analyse	Description
email	Sensible (par le système)	Champ e-mail de connexion — risque élevé s’il est lu par des scripts non autorisés
password	Sensible (par le système)	Champ mot de passe de connexion — risque élevé s’il est lu par des scripts non autorisés

Note

Seuls les champs présents dans le DOM de la page d’origine sont suivis. Les noms exacts des champs dépendent de l’implémentation du formulaire Angular de Juice Shop — consultez la capture d’écran ci-dessus pour les identifiants de champs actuels.

Chaque champ indique le nombre de scripts associés qui le lisent, les emplacements où des lectures ont été observées et l’horodatage de la dernière lecture. Explorez un champ pour voir exactement quels scripts y accèdent.

Réseau

Ouvrez la vue Réseau pour voir tous les domaines depuis lesquels les scripts se chargent (et non les destinations fetch/XHR).

L’onglet Tous les domaines liste chaque domaine avec :

• Horodatage de la dernière détection
• Catégorie du domaine (par ex., Informatique et information Internet)
• Statut Ajouté à la liste d’autorisation/d’atténuation (Non listé, Autorisé ou Atténué)

Après avoir exécuté la simulation combinée, les quatre mêmes domaines CDN listés dans la section Tableau de bord devraient apparaître comme nouvelles entrées, car les balises <script> injectées ont chargé du JavaScript depuis ces CDN.

Utilisez les onglets Liste d’atténuation et Liste d’autorisation pour consulter les domaines qui ont déjà été actionnés.

Utilisateurs affectés

L’onglet Utilisateurs affectés (accessible depuis la page de détail d’un script) affiche les utilisateurs impactés par le script sélectionné.

Chaque entrée comprend :

Champ	Description
Adresse IP	IP source de l’utilisateur affecté
ID de l’appareil	Hachage d’identifiant unique de l’appareil
Géolocalisation	Pays dérivé de l’IP (affiché avec l’icône du drapeau)
Canal	Canal d’accès (par ex., Web)
Agent utilisateur	Nom du navigateur, version et système d’exploitation
Dernière détection	Horodatage de la détection la plus récente pour cet utilisateur

Cette vue illustre l’étendue d’une attaque détectée — combien d’utilisateurs ont été exposés, depuis quels emplacements et sur quelles plateformes. Utilisez ces données pour évaluer l’impact d’un incident de formjacking et prioriser l’atténuation.

Configuration des alertes

Ouvrez la section Notifications depuis la navigation de gauche pour accéder à la page Alertes.

La page Alertes affiche les alertes de plateforme et CSD pour le namespace. Les alertes d’infrastructure (telles que les échecs de vérification d’état des endpoints) apparaissent automatiquement, mais les règles d’alerte spécifiques à CSD doivent être explicitement configurées par un administrateur avant que les notifications de détection de scripts ne se déclenchent. Les conditions de déclenchement configurables incluent :

• Nouveau domaine de script suspect détecté
• Le score de risque d’un script dépasse le seuil
• Nouveau script détecté sur une page surveillée
• Changement de comportement d’un script (par ex., nouvelles lectures de champs de formulaire)

Les alertes peuvent être limitées par domaine ou appliquées globalement, et des notifications par e-mail sont envoyées au destinataire d’alertes configuré.

Attention

Si aucune règle d’alerte spécifique à CSD n’est configurée sur le tenant de démonstration, seules les alertes d’infrastructure (le cas échéant) apparaîtront ici. C’est attendu — la détection CSD (Liste de scripts, Tableau de bord, Champs de formulaire) fonctionne indépendamment de la configuration des alertes. Les présentateurs doivent expliquer que les alertes constituent une couche de notification optionnelle s’ajoutant à la surveillance permanente de CSD.

Atténuation

Depuis le Tableau de bord, cliquez sur le menu d’actions … d’un domaine signalé et sélectionnez Ajouter à la liste d’atténuation. Alternativement, depuis la Liste de scripts, utilisez les actions sur les scripts individuels.

1. Sélectionner un domaine ou script suspect
2. Cliquer sur Ajouter à la liste d’atténuation
3. Confirmer l’action — le statut du domaine se met à jour dans la colonne Actions
4. Le domaine passe de Action requise à Trouvé & atténué

Le menu d’actions est le même que celui présenté dans la section Tableau de bord ci-dessus.

Les scripts atténués sont bloqués lors de leur exécution au prochain chargement de page. L’atténuation est réversible — retirer le domaine de la liste d’atténuation rétablit l’exécution du script.

Pour l’atténuation par programmation via l’API, consultez Référence API — Atténuation.