Procedura guidata della console CSD

Dashboard

Accedere al dashboard di Difesa lato client nella console XC.

Le schede di riepilogo mostrano i domini di script su cui è stata effettuata un’azione:

• Azione richiesta — domini di script (sia di prima parte che di terze parti) contrassegnati per la revisione ma non ancora oggetto di azione
• Trovato e mitigato — domini in cui gli script sono stati aggiunti all’elenco di mitigazione (cambia solo dopo l’azione dell’amministratore)
• Trovato e consentito — domini aggiunti esplicitamente all’elenco di autorizzazione (cambia solo dopo l’azione dell’amministratore)
• Totale rilevato — tutti i domini di script rilevati nel periodo corrente (si aggiorna automaticamente con i nuovi rilevamenti)
• Transazioni consumate — eventi di telemetria CSD elaborati nel mese corrente (conferma che CSD è attivo)

La tabella dei domini elenca tutti i domini rilevati da CSD, compresi i domini di origine degli script di prima parte e di terze parti, nonché i domini di destinazione per fetch/XHR. Ogni riga mostra lo stato del dominio, il timestamp dell’ultimo rilevamento, la categoria del dominio e le posizioni (URL) in cui è stata osservata attività proveniente da quel dominio.

Lo screenshot precedente mostra i domini rilevati nel tenant demo, tutti con lo stato Azione richiesta. I domini specifici visibili dipendono dalle simulazioni eseguite:

Dominio	Categoria	Origine
botdemo.sales-demo.f5demos.com	Informazioni su computer e Internet	Dominio dell’applicazione protetta
dnslog.cn	Siti malware	Script di simulazione di esfiltrazione dati
canarytokens.com	Sicurezza informatica e di Internet	Script di simulazione di esfiltrazione dati

Dopo aver eseguito la simulazione combinata e aver effettuato un’azione sui domini CDN iniettati (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) tramite il menu delle azioni, tali domini appariranno anch’essi nella tabella con lo stato Trovato e consentito o Trovato e mitigato.

Nota

I domini vengono visualizzati nel Dashboard solo dopo che CSD rileva il caricamento di script da essi. Il conteggio Azione richiesta riflette i domini contrassegnati per la revisione dell’amministratore. I nuovi rilevamenti dalla simulazione combinata potrebbero impiegare 5-10 minuti per comparire nell’Elenco script prima di essere visualizzati qui.

Fare clic sul menu delle azioni … in una riga del dominio per visualizzare le azioni disponibili: Aggiungi all’elenco di autorizzazione e Aggiungi all’elenco di mitigazione.

Inventario degli script

Aprire l’Elenco script dalla navigazione a sinistra per visualizzare tutti gli script rilevati.

Campo	Descrizione
Nome script	URL completo del file JavaScript
Stato	AN (Azione richiesta) o NA (Nessuna azione richiesta)
Livello di rischio	Nessun rischio, rischio basso o rischio elevato
Giustificazione	Motivo per cui CSD ha contrassegnato lo script
Ultimo rilevamento	Timestamp del rilevamento più recente
Posizioni trovate	Numero di pagine in cui lo script è stato osservato
Interazioni di rete	Conteggio delle chiamate di rete effettuate dallo script
Campi modulo	Numero di campi modulo letti dallo script
Client interessati	Numero di utenti/sessioni univoci interessati dallo script

Dopo aver eseguito la simulazione combinata, si dovrebbe visualizzare:

• Script dell’applicazione (ad es. main.js, vendor.js) contrassegnati come Rischio elevato / Azione richiesta perché leggono campi modulo sensibili (email, password)
• 4 nuovi script di terze parti da cdn.jsdelivr.net, esm.sh, unpkg.com e ga.jspm.io che compaiono come nuove voci nell’elenco

1. Ordinare per Livello di rischio (rischio elevato prima)

2. Fare clic su uno script ad alto rischio (ad es. main.js) per visualizzare la pagina dei dettagli

3. La scheda Panoramica mostra un grafico Comportamenti nel tempo che traccia il livello di rischio, il dominio di origine e il tipo dello script nel tempo

   

4. Fare clic sulla scheda Campi modulo per visualizzare i campi specifici letti dallo script

5. Fare clic sulla scheda Utenti interessati per visualizzare gli utenti coinvolti (vedere la sezione Utenti interessati di seguito)

Campi modulo

La vista Campi modulo mostra tutti i campi modulo che gli script rilevati da CSD stanno leggendo nel sito monitorato.

CSD classifica automaticamente i campi in base alla sensibilità:

Campo modulo	Analisi	Descrizione
email	Sensibile (dal sistema)	Campo email di accesso — rischio elevato se letto da script non autorizzati
password	Sensibile (dal sistema)	Campo password di accesso — rischio elevato se letto da script non autorizzati

Nota

Vengono tracciati solo i campi presenti nel DOM originale della pagina. I nomi esatti dei campi dipendono dall’implementazione del modulo Angular di Juice Shop — verificare lo screenshot precedente per gli identificatori di campo correnti.

Ogni campo mostra il numero di script associati che lo leggono, le posizioni in cui sono state osservate le letture e il timestamp dell’ultima lettura. Approfondire un campo per vedere esattamente quali script vi accedono.

Rete

Aprire la vista Rete per visualizzare tutti i domini da cui gli script vengono caricati (non le destinazioni fetch/XHR).

La scheda Tutti i domini elenca ogni dominio con:

• Timestamp Ultimo rilevamento
• Categoria dominio (ad es. Informazioni su computer e Internet)
• Stato Aggiunto all’elenco di autorizzazione/mitigazione (Non elencato, Autorizzato o Mitigato)

Dopo aver eseguito la simulazione combinata, gli stessi quattro domini CDN elencati nella sezione Dashboard dovrebbero apparire come nuove voci perché i tag <script> iniettati hanno caricato JavaScript da questi CDN.

Utilizzare le schede Elenco di mitigazione e Elenco di autorizzazione per esaminare i domini su cui è già stata effettuata un’azione.

Utenti interessati

La scheda Utenti interessati (accessibile dalla pagina dei dettagli di uno script) mostra gli utenti coinvolti dallo script selezionato.

Ogni voce include:

Campo	Descrizione
Indirizzo IP	IP sorgente dell’utente interessato
ID dispositivo	Hash dell’identificatore univoco del dispositivo
Geolocalizzazione	Paese derivato dall’IP (mostrato con l’icona della bandiera)
Canale	Canale di accesso (ad es. Web)
User Agent	Nome del browser, versione e sistema operativo
Ultimo rilevamento	Timestamp del rilevamento più recente per questo utente

Questa vista dimostra la portata di un attacco rilevato — quanti utenti sono stati esposti, da quali posizioni e su quali piattaforme. Utilizzare questi dati per valutare l’impatto di un incidente di formjacking e definire le priorità di mitigazione.

Configurazione degli avvisi

Aprire la sezione Notifiche dalla navigazione a sinistra per visualizzare la pagina Avvisi.

La pagina Avvisi mostra gli avvisi della piattaforma e di CSD per il namespace. Gli avvisi dell’infrastruttura (come i fallimenti dei controlli di integrità degli endpoint) vengono visualizzati automaticamente, ma le regole di avviso specifiche di CSD devono essere configurate esplicitamente da un amministratore prima che le notifiche di rilevamento degli script vengano attivate. Le condizioni di attivazione configurabili includono:

• Nuovo dominio di script sospetto rilevato
• Il punteggio di rischio dello script supera la soglia
• Nuovo script rilevato in una pagina monitorata
• Modifica del comportamento dello script (ad es. nuove letture di campi modulo)

Gli avvisi possono essere configurati per dominio o globalmente, e le notifiche e-mail vengono inviate al ricevitore di avvisi configurato.

Attenzione

Se nel tenant demo non sono configurate regole di avviso specifiche per CSD, qui verranno visualizzati solo gli avvisi dell’infrastruttura (se presenti). Questo è un comportamento previsto — il rilevamento CSD (Elenco script, Dashboard, Campi modulo) funziona indipendentemente dalla configurazione degli avvisi. I presentatori devono spiegare che gli avvisi sono un livello di notifica opzionale aggiuntivo al monitoraggio always-on di CSD.

Mitigazione

Dal Dashboard, fare clic sul menu delle azioni … in corrispondenza di un dominio contrassegnato e selezionare Aggiungi all’elenco di mitigazione. In alternativa, dall’Elenco script, utilizzare le azioni sui singoli script.

1. Selezionare un dominio o uno script sospetto
2. Fare clic su Aggiungi all’elenco di mitigazione
3. Confermare l’azione — lo stato del dominio si aggiorna nella colonna Azioni
4. Il dominio passa da Azione richiesta a Trovato e mitigato

Il menu delle azioni è lo stesso mostrato nella sezione Dashboard precedente.

Gli script mitigati vengono bloccati dall’esecuzione al successivo caricamento della pagina. La mitigazione è reversibile — rimuovere il dominio dall’Elenco di mitigazione ripristina l’esecuzione degli script.

Per la mitigazione programmatica tramite API, vedere Riferimento API — Mitigazione.