FAQ

Questions fréquemment posées sur F5 Distributed Cloud Défense côté client, compilées à partir de sessions de démonstration et de conversations avec les clients.

CSD génère-t-il des alertes lorsque des violations sont détectées ?

Oui, mais les règles d’alerte spécifiques à CSD doivent être explicitement configurées. CSD crée automatiquement un récepteur d’alertes en utilisant l’adresse e-mail du compte fournie lors de la configuration. Vous pouvez configurer des déclencheurs d’alerte pour :

• Nouveau domaine suspect détecté
• Seuil de score de risque dépassé
• Nouveau script détecté sur une page protégée
• Changement de comportement sur un script précédemment observé

Les alertes peuvent être limitées par domaine ou appliquées globalement à tous les domaines protégés. Consultez la section Console CSD — Configuration des alertes pour les détails de configuration.

Note

Les règles d’alerte sont configurées dans le tableau de bord CSD, et non via l’API d’Automatisation. Les points de terminaison de l’API (/scripts, /detected_domains) fournissent des données de détection mais ne déclenchent pas d’alertes par eux-mêmes.

Puis-je consulter les journaux de requêtes HTTP pour les événements CSD ?

CSD fonctionne via une télémétrie JavaScript côté client — il n’existe pas de journaux HTTP côté serveur pour les détections de scripts ou l’application des mesures d’atténuation. Le pipeline de détection fonctionne comme suit :

1. La balise JavaScript CSD (injectée par l’équilibreur de charge) s’exécute dans le navigateur du visiteur
2. Elle surveille le chargement des scripts, les mutations du DOM et l’accès aux champs de formulaire
3. Des balises de télémétrie sont envoyées au backend F5 pour analyse
4. Les résultats de détection apparaissent dans l’API CSD et le tableau de bord

Les journaux d’accès de l’équilibreur de charge (/api/data/namespaces/\{ns\}/access_logs) incluent un champ csd_js_injection qui confirme si la balise de script CSD a été injectée dans une réponse. Pour les données de détection CSD, utilisez les points de terminaison de l’API : /scripts, /detected_domains et /formFields.

Consultez le guide Diagnostics pour les tests de vérification complets des couches 7 (HTTP) et couche 8 (télémétrie CSD).

CSD s’intègre-t-il avec des outils SIEM (Splunk, Datadog, etc.) ?

Aucune intégration native par webhook SIEM ou syslog n’est documentée spécifiquement pour CSD. Les données de détection CSD sont disponibles via les points de terminaison de l’API REST :

• /scripts — scripts détectés avec niveaux de risque
• /detected_domains — domaines catégorisés (CDN, exfiltration, etc.)
• /formFields — champs de formulaire accédés par les scripts avec classification de sensibilité

Les clients peuvent interroger ces points de terminaison de l’API de manière planifiée et transmettre les données de détection à leur SIEM. Consultez la Référence API pour les détails des points de terminaison et l’authentification.

Astuce

La Plateforme F5 Distributed Cloud prend en charge les configurations de récepteur de journaux global pour la diffusion en continu des journaux d’accès HTTP vers des systèmes externes (Splunk, Datadog, S3, etc.). Bien que cela couvre les journaux d’accès de l’équilibreur de charge (y compris le champ csd_js_injection), cela n’inclut pas les événements de détection CSD. Pour les données de détection, utilisez l’approche d’interrogation de l’API décrite ci-dessus.

Que bloque concrètement l’atténuation CSD ?

L’atténuation CSD bloque le chargement des balises <script> depuis les domaines atténués en interceptant l’attribut src — le JavaScript CSD efface le src en une chaîne vide, empêchant entièrement la requête réseau. Cela cible le vecteur de chaîne d’approvisionnement : les scripts tiers malveillants injectés dans la page via des balises <script>.

L’atténuation CSD n’intercepte pas :

• Les appels fetch()
• Les appels XMLHttpRequest
• Les chargements de balises <img> ou <link>
• Les connexions WebSocket

Cette conception est intentionnelle — CSD se concentre sur le mécanisme de chargement de scripts que les attaques sur la chaîne d’approvisionnement (Magecart, formjacking, skimming) utilisent pour injecter du code malveillant. Les appels d’API au niveau applicatif effectués via fetch() ou XMLHttpRequest sont hors du périmètre de CSD et sont gérés par d’autres fonctionnalités de sécurité F5 XC (Pare-feu applicatif (WAF), Défense Bot, Protection des API).

Consultez Phase 3 — Atténuation pour une démonstration avant/après illustrant le comportement de blocage des scripts.

Combien de temps faut-il pour que les détections apparaissent après l’exécution d’une attaque ?

Le délai de détection varie selon le point de terminaison :

Point de terminaison	Délai typique	Notes
/detected_domains	Minutes	Se peuple en premier — c’est l’indicateur principal que le pipeline CSD traite les données
/scripts	10–30 minutes	Utilise un calendrier de traitement backend plus lent
/formFields	20–30 minutes	La classification de sensibilité par apprentissage automatique (Sensitive vs Not Sensitive) nécessite un traitement supplémentaire

Les détections persistent après le démontage/reconstruction de l’infrastructure lorsque le même domaine protégé est réenregistré sur le même tenant. Après un démontage et une reconstruction, interrogez /detected_domains une fois — si la réponse contient des éléments, les détections précédentes sont toujours disponibles et aucune attente n’est nécessaire.

Consultez la section Phase 2 — Vérification de la détection pour le protocole d’interrogation recommandé.