सामान्य प्रश्न (FAQ)

F5 Distributed Cloud क्लाइंट-साइड डिफेंस के बारे में अक्सर पूछे जाने वाले प्रश्न, जो डेमो सत्रों और ग्राहक वार्तालापों से संकलित किए गए हैं।

क्या CSD उल्लंघन पाए जाने पर अलर्ट उत्पन्न करता है?

हाँ, लेकिन CSD-विशिष्ट अलर्ट नियमों को स्पष्ट रूप से कॉन्फ़िगर करना आवश्यक है। CSD सेटअप के दौरान प्रदान किए गए खाता ईमेल पते का उपयोग करके एक Alert Receiver स्वतः बनाता है। आप निम्न के लिए अलर्ट ट्रिगर कॉन्फ़िगर कर सकते हैं:

• नया संदिग्ध डोमेन पाया गया
• जोखिम स्कोर सीमा से अधिक हो गई
• किसी संरक्षित पृष्ठ पर नई स्क्रिप्ट पाई गई
• पूर्व में देखी गई स्क्रिप्ट के व्यवहार में परिवर्तन

अलर्ट को प्रति-डोमेन के लिए सीमित किया जा सकता है या सभी संरक्षित डोमेन पर वैश्विक रूप से लागू किया जा सकता है। सेटअप विवरण के लिए CSD कंसोल — अलर्ट कॉन्फ़िगरेशन अनुभाग देखें।

टिप्पणी

अलर्ट नियम CSD डैशबोर्ड में कॉन्फ़िगर किए जाते हैं, न कि स्वचालन API के माध्यम से। API एंडपॉइंट (/scripts, /detected_domains) डिटेक्शन डेटा प्रदान करते हैं लेकिन स्वयं अलर्ट ट्रिगर नहीं करते।

क्या मैं CSD इवेंट के लिए HTTP अनुरोध लॉग देख सकता हूँ?

CSD क्लाइंट-साइड JavaScript टेलीमेट्री के माध्यम से संचालित होता है — स्क्रिप्ट डिटेक्शन या शमन प्रवर्तन के लिए कोई सर्वर-साइड HTTP लॉग नहीं होते। डिटेक्शन पाइपलाइन इस प्रकार कार्य करती है:

1. CSD JavaScript टैग (लोड बैलेंसर द्वारा इंजेक्ट किया गया) विज़िटर के ब्राउज़र में चलता है
2. यह स्क्रिप्ट लोडिंग, DOM म्यूटेशन और फॉर्म फ़ील्ड एक्सेस की निगरानी करता है
3. टेलीमेट्री बीकन विश्लेषण के लिए F5 बैकएंड को भेजे जाते हैं
4. डिटेक्शन परिणाम CSD API और डैशबोर्ड में दिखाई देते हैं

लोड बैलेंसर एक्सेस लॉग (/api/data/namespaces/\{ns\}/access_logs) में एक csd_js_injection फ़ील्ड शामिल है जो पुष्टि करता है कि CSD स्क्रिप्ट टैग किसी प्रतिक्रिया में इंजेक्ट किया गया था या नहीं। CSD डिटेक्शन डेटा के लिए, API एंडपॉइंट का उपयोग करें: /scripts, /detected_domains, और /formFields।

पूर्ण Layer 7 (HTTP) और Layer 8 (CSD टेलीमेट्री) सत्यापन परीक्षणों के लिए डायग्नोस्टिक्स मार्गदर्शिका देखें।

क्या CSD SIEM उपकरणों (Splunk, Datadog, आदि) के साथ एकीकृत होता है?

CSD के लिए विशेष रूप से कोई नेटिव SIEM वेबहुक या syslog एकीकरण दस्तावेज़ीकृत नहीं है। CSD डिटेक्शन डेटा REST API एंडपॉइंट के माध्यम से उपलब्ध है:

• /scripts — जोखिम स्तरों के साथ पाई गई स्क्रिप्ट
• /detected_domains — वर्गीकृत डोमेन (CDN, exfil, आदि)
• /formFields — संवेदनशीलता वर्गीकरण के साथ स्क्रिप्ट द्वारा एक्सेस किए गए फॉर्म फ़ील्ड

ग्राहक इन API एंडपॉइंट को एक शेड्यूल पर पोल कर सकते हैं और डिटेक्शन डेटा को अपने SIEM में अग्रेषित कर सकते हैं। एंडपॉइंट विवरण और प्रमाणीकरण के लिए API संदर्भ देखें।

संकेत

F5 Distributed Cloud प्लेटफ़ॉर्म HTTP एक्सेस लॉग को बाहरी सिस्टम (Splunk, Datadog, S3, आदि) पर स्ट्रीम करने के लिए Global Log Receiver कॉन्फ़िगरेशन का समर्थन करता है। यद्यपि यह लोड बैलेंसर एक्सेस लॉग (csd_js_injection फ़ील्ड सहित) को कवर करता है, इसमें CSD डिटेक्शन इवेंट शामिल नहीं होते। डिटेक्शन डेटा के लिए, ऊपर वर्णित API पोलिंग दृष्टिकोण का उपयोग करें।

CSD शमन वास्तव में क्या ब्लॉक करता है?

CSD शमन src विशेषता को रोककर शमन किए गए डोमेन से <script> टैग लोडिंग को ब्लॉक करता है — CSD JavaScript src को एक खाली स्ट्रिंग में साफ़ करता है, जिससे नेटवर्क अनुरोध पूरी तरह से रोक दिया जाता है। यह सप्लाई-चेन वेक्टर को लक्षित करता है: दुर्भावनापूर्ण तृतीय-पक्ष स्क्रिप्ट जो <script> टैग के माध्यम से पृष्ठ में इंजेक्ट की जाती हैं।

CSD शमन निम्न को इंटरसेप्ट नहीं करता:

• fetch() कॉल
• XMLHttpRequest कॉल
• <img> या <link> टैग लोड
• WebSocket कनेक्शन

यह डिज़ाइन जानबूझकर है — CSD उस स्क्रिप्ट लोडिंग मैकेनिज्म पर ध्यान केंद्रित करता है जिसका उपयोग सप्लाई-चेन हमले (Magecart, formjacking, skimming) दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए करते हैं। fetch() या XMLHttpRequest के माध्यम से किए गए एप्लिकेशन-स्तरीय API कॉल CSD के दायरे से बाहर हैं और अन्य F5 XC सुरक्षा सुविधाओं (वेब ऐप फ़ायरवॉल (WAF), Bot Defense, API Protection) द्वारा संभाले जाते हैं।

स्क्रिप्ट ब्लॉकिंग व्यवहार दर्शाने वाले पहले/बाद के प्रमाण के लिए चरण 3 — शमन देखें।

हमले के बाद डिटेक्शन दिखने में कितना समय लगता है?

डिटेक्शन समय एंडपॉइंट के अनुसार भिन्न होता है:

एंडपॉइंट	सामान्य समय	नोट
/detected_domains	मिनट	सबसे पहले पॉप्युलेट होता है — यह प्राथमिक संकेतक है कि CSD पाइपलाइन प्रोसेस कर रही है
/scripts	10–30 मिनट	धीमे बैकएंड प्रोसेसिंग शेड्यूल का उपयोग करता है
/formFields	20–30 मिनट	ML संवेदनशीलता वर्गीकरण (Sensitive बनाम Not Sensitive) के लिए अतिरिक्त प्रोसेसिंग आवश्यक है

डिटेक्शन इन्फ्रास्ट्रक्चर टियरडाउन/पुनर्निर्माण के बाद भी बनी रहती है जब उसी टेनेंट पर वही संरक्षित डोमेन पुनः पंजीकृत होता है। टियरडाउन और पुनर्निर्माण के बाद, /detected_domains को एक बार क्वेरी करें — यदि प्रतिक्रिया में आइटम हैं, तो पूर्व डिटेक्शन अभी भी उपलब्ध हैं और प्रतीक्षा की आवश्यकता नहीं है।

अनुशंसित पोलिंग प्रोटोकॉल के लिए चरण 2 — डिटेक्शन सत्यापन अनुभाग देखें।