Perguntas Frequentes

Perguntas frequentes sobre o F5 Distributed Cloud Client-Side Defense, compiladas a partir de sessões de demonstração e conversas com clientes.

O CSD gera alertas quando violações são detectadas?

Sim, mas as regras de alerta específicas do CSD devem ser configuradas explicitamente. O CSD cria automaticamente um Receptor de Alertas utilizando o endereço de e-mail da conta fornecido durante a configuração. É possível configurar gatilhos de alerta para:

• Novo domínio suspeito detectado
• Limite de pontuação de risco excedido
• Novo script detectado em uma página protegida
• Mudança de comportamento em um script previamente identificado

Os alertas podem ser definidos por domínio ou aplicados globalmente a todos os domínios protegidos. Consulte a seção Console do CSD — Configuração de Alertas para detalhes de configuração.

Nota

As regras de alerta são configuradas no painel do CSD, não por meio da API de automação. Os endpoints da API (/scripts, /detected_domains) fornecem dados de detecção, mas não disparam alertas por conta própria.

Posso visualizar logs de requisições HTTP para eventos do CSD?

O CSD opera por meio de telemetria JavaScript no lado do cliente — não há logs HTTP no lado do servidor para detecções de scripts ou aplicação de mitigações. O pipeline de detecção funciona da seguinte forma:

1. A tag JavaScript do CSD (injetada pelo balanceador de carga) é executada no navegador do visitante
2. Ela monitora o carregamento de scripts, mutações do DOM e acesso a campos de formulário
3. Beacons de telemetria são enviados ao backend da F5 para análise
4. Os resultados de detecção aparecem na API do CSD e no painel

Os logs de acesso do balanceador de carga (/api/data/namespaces/\{ns\}/access_logs) incluem um campo csd_js_injection que confirma se a tag de script do CSD foi injetada em uma resposta. Para dados de detecção do CSD, utilize os endpoints da API: /scripts, /detected_domains e /formFields.

Consulte o guia de Diagnósticos para os testes completos de verificação na Camada 7 (HTTP) e Camada 8 (telemetria CSD).

O CSD se integra com ferramentas SIEM (Splunk, Datadog, etc.)?

Não há integração nativa via webhook ou syslog com SIEM documentada especificamente para o CSD. Os dados de detecção do CSD estão disponíveis por meio dos endpoints da API REST:

• /scripts — scripts detectados com níveis de risco
• /detected_domains — domínios categorizados (CDN, exfiltração, etc.)
• /formFields — campos de formulário acessados por scripts com classificação de sensibilidade

Os clientes podem consultar esses endpoints da API periodicamente e encaminhar os dados de detecção para seu SIEM. Consulte a Referência da API para detalhes sobre os endpoints e autenticação.

Dica

A plataforma F5 Distributed Cloud suporta configurações de Receptor de Log Global para transmitir logs de acesso HTTP a sistemas externos (Splunk, Datadog, S3, etc.). Embora isso abranja os logs de acesso do balanceador de carga (incluindo o campo csd_js_injection), não inclui eventos de detecção do CSD. Para dados de detecção, utilize a abordagem de consulta periódica à API descrita acima.

O que a mitigação do CSD efetivamente bloqueia?

A mitigação do CSD bloqueia o carregamento de tags <script> a partir de domínios mitigados, interceptando o atributo src — o JavaScript do CSD limpa o src para uma string vazia, impedindo completamente a requisição de rede. Isso tem como alvo o vetor de cadeia de suprimentos: scripts maliciosos de terceiros injetados na página por meio de tags <script>.

A mitigação do CSD não intercepta:

• Chamadas fetch()
• Chamadas XMLHttpRequest
• Carregamentos de tags <img> ou <link>
• Conexões WebSocket

Esse design é intencional — o CSD foca no mecanismo de carregamento de scripts utilizado por ataques à cadeia de suprimentos (Magecart, formjacking, skimming) para injetar código malicioso. Chamadas de API em nível de aplicação realizadas via fetch() ou XMLHttpRequest estão fora do escopo do CSD e são tratadas por outros recursos de segurança do F5 XC (WAF, Bot Defense, API Protection).

Consulte Fase 3 — Mitigar para uma demonstração antes/depois do comportamento de bloqueio de scripts.

Quanto tempo as detecções levam para aparecer após a execução de um ataque?

O tempo de detecção varia por endpoint:

Endpoint	Tempo típico	Observações
/detected_domains	Minutos	Populado primeiro — este é o indicador primário de que o pipeline do CSD está processando
/scripts	10–30 minutos	Utiliza um cronograma de processamento no backend mais lento
/formFields	20–30 minutos	A classificação de sensibilidade por ML (Sensitive vs Not Sensitive) requer processamento adicional

As detecções persistem após desmontagem/reconstrução da infraestrutura quando o mesmo domínio protegido é registrado novamente no mesmo tenant. Após uma desmontagem e reconstrução, consulte /detected_domains uma vez — se a resposta contiver itens, as detecções anteriores ainda estão disponíveis e não é necessário aguardar.

Consulte a seção Fase 2 — Verificação de Detecção para o protocolo de consulta recomendado.