FAQ

F5 Distributed Cloud 클라이언트 측 방어에 관한 자주 묻는 질문으로, 데모 세션 및 고객 대화에서 수집되었습니다.

CSD는 위반이 감지될 때 알림을 생성합니까?

예, 하지만 CSD 전용 알림 규칙은 명시적으로 구성해야 합니다. CSD는 설정 중 제공된 계정 이메일 주소를 사용하여 알림 수신자를 자동으로 생성합니다. 다음에 대한 알림 트리거를 구성할 수 있습니다:

• 새로운 의심 도메인 감지됨
• 위험 점수 임계값 초과
• 보호된 페이지에서 새 스크립트 감지됨
• 이전에 확인된 스크립트의 동작 변경

알림은 도메인별로 범위를 지정하거나 모든 보호된 도메인에 전역적으로 적용할 수 있습니다. 설정 세부 정보는 CSD 콘솔 — 알림 구성 섹션을 참조하십시오.

참고

알림 규칙은 자동화 API가 아닌 CSD 대시보드에서 구성됩니다. API 엔드포인트(/scripts, /detected_domains)는 감지 데이터를 제공하지만 자체적으로 알림을 트리거하지는 않습니다.

CSD 이벤트에 대한 HTTP 요청 로그를 볼 수 있습니까?

CSD는 클라이언트 측 JavaScript 텔레메트리를 통해 작동하며, 스크립트 감지 또는 완화 적용에 대한 서버 측 HTTP 로그는 없습니다. 감지 파이프라인은 다음과 같이 작동합니다:

1. CSD JavaScript 태그(로드 밸런서에 의해 삽입됨)가 방문자의 브라우저에서 실행됩니다
2. 스크립트 로딩, DOM 변이 및 폼 필드 접근을 모니터링합니다
3. 텔레메트리 비콘이 분석을 위해 F5 백엔드로 전송됩니다
4. 감지 결과가 CSD API 및 대시보드에 표시됩니다

로드 밸런서 접근 로그(/api/data/namespaces/\{ns\}/access_logs)에는 CSD 스크립트 태그가 응답에 삽입되었는지 확인하는 csd_js_injection 필드가 포함되어 있습니다. CSD 감지 데이터의 경우 API 엔드포인트를 사용하십시오: /scripts, /detected_domains, /formFields.

전체 레이어 7(HTTP) 및 레이어 8(CSD 텔레메트리) 검증 테스트는 진단 가이드를 참조하십시오.

CSD는 SIEM 도구(Splunk, Datadog 등)와 통합됩니까?

CSD에 특화된 네이티브 SIEM 웹훅 또는 syslog 통합은 문서화되어 있지 않습니다. CSD 감지 데이터는 REST API 엔드포인트를 통해 사용할 수 있습니다:

• /scripts — 위험 수준이 포함된 감지된 스크립트
• /detected_domains — 분류된 도메인(CDN, 데이터 유출 등)
• /formFields — 민감도 분류가 포함된 스크립트가 접근한 폼 필드

고객은 일정에 따라 이러한 API 엔드포인트를 폴링하고 감지 데이터를 SIEM으로 전달할 수 있습니다. 엔드포인트 세부 정보 및 인증에 대해서는 API 참조를 참조하십시오.

팁

F5 Distributed Cloud 플랫폼은 HTTP 접근 로그를 외부 시스템(Splunk, Datadog, S3 등)으로 스트리밍하기 위한 전역 로그 수신자 구성을 지원합니다. 이것은 로드 밸런서 접근 로그(csd_js_injection 필드 포함)를 다루지만, CSD 감지 이벤트는 포함되지 않습니다. 감지 데이터의 경우 위에서 설명한 API 폴링 방법을 사용하십시오.

CSD 완화가 실제로 차단하는 것은 무엇입니까?

CSD 완화는 src 속성을 가로채어 완화된 도메인에서의 <script> 태그 로딩을 차단합니다 — CSD JavaScript는 src를 빈 문자열로 지워 네트워크 요청을 완전히 방지합니다. 이는 공급망 벡터를 대상으로 합니다: <script> 태그를 통해 페이지에 삽입되는 악성 서드파티 스크립트입니다.

CSD 완화는 다음을 차단하지 않습니다:

• fetch() 호출
• XMLHttpRequest 호출
• <img> 또는 <link> 태그 로드
• WebSocket 연결

이 설계는 의도적입니다 — CSD는 공급망 공격(Magecart, 폼재킹, 스키밍)이 악성 코드를 삽입하는 데 사용하는 스크립트 로딩 메커니즘에 집중합니다. fetch() 또는 XMLHttpRequest를 통해 이루어지는 애플리케이션 수준의 API 호출은 CSD의 범위를 벗어나며 다른 F5 XC 보안 기능(웹 앱 방화벽 (WAF), Bot 고급 방어, API 보호)에 의해 처리됩니다.

스크립트 차단 동작을 보여주는 이전/이후 증명은 Phase 3 — 완화를 참조하십시오.

공격 실행 후 감지가 나타나는 데 얼마나 걸립니까?

감지 타이밍은 엔드포인트에 따라 다릅니다:

엔드포인트	일반적인 타이밍	비고
/detected_domains	분 단위	가장 먼저 채워짐 — CSD 파이프라인이 처리 중임을 나타내는 기본 지표
/scripts	10~30분	더 느린 백엔드 처리 일정 사용
/formFields	20~30분	ML 민감도 분류(민감 vs 민감하지 않음)는 추가 처리가 필요

동일한 보호된 도메인이 동일한 테넌트에 다시 등록될 경우, 감지는 인프라 해체/재구축 이후에도 유지됩니다. 해체 및 재구축 후 /detected_domains를 한 번 쿼리하십시오 — 응답에 항목이 포함되어 있으면 이전 감지가 여전히 사용 가능하므로 대기가 필요하지 않습니다.

권장 폴링 프로토콜은 Phase 2 — 감지 검증 섹션을 참조하십시오.