การสำรวจ CSD Console

แดชบอร์ด

ไปที่แดชบอร์ด การป้องกันฝั่งไคลเอนต์ ใน XC Console

การ์ดสรุปแสดงโดเมนสคริปต์ที่ ดำเนินการแล้ว:

• Action Needed — โดเมนสคริปต์ (ทั้งของบุคคลที่หนึ่งและบุคคลที่สาม) ที่ถูกแจ้งเตือนให้ตรวจสอบแต่ยังไม่ได้ดำเนินการ
• Found & Mitigated — โดเมนที่สคริปต์ถูกเพิ่มไปยังรายการบรรเทา (เปลี่ยนแปลงเฉพาะหลังจากผู้ดูแลระบบดำเนินการ)
• Found & Allowed — โดเมนที่ถูกเพิ่มไปยังรายการอนุญาตอย่างชัดเจน (เปลี่ยนแปลงเฉพาะหลังจากผู้ดูแลระบบดำเนินการ)
• Total Found — โดเมนสคริปต์ทั้งหมดที่ตรวจพบในช่วงเวลาปัจจุบัน (อัปเดตอัตโนมัติเมื่อมีการตรวจพบใหม่)
• Transactions Consumed — เหตุการณ์การวัดผลของ CSD ที่ประมวลผลในเดือนนี้ (ยืนยันว่า CSD ทำงานอยู่)

ตารางโดเมนแสดงรายการ โดเมนทั้งหมด ที่ CSD ตรวจพบ — รวมถึงโดเมนต้นทางสคริปต์ทั้งของบุคคลที่หนึ่งและบุคคลที่สาม รวมถึงโดเมนปลายทางของ fetch/XHR แต่ละแถวแสดงสถานะโดเมน, เวลาที่พบล่าสุด, หมวดหมู่โดเมน, และตำแหน่ง (URL) ที่พบกิจกรรมจากโดเมนนั้น

ภาพหน้าจอด้านบนแสดงโดเมนที่ตรวจพบบน demo tenant ทั้งหมดอยู่ในสถานะ Action Needed โดเมนที่มองเห็นจะขึ้นอยู่กับว่าได้รันการจำลองใดไปแล้ว:

โดเมน	หมวดหมู่	ที่มา
botdemo.sales-demo.f5demos.com	Computer and Internet Info	โดเมนแอปพลิเคชันที่ได้รับการป้องกัน
dnslog.cn	Malware Sites	สคริปต์จำลองการขโมยข้อมูล
canarytokens.com	Computer and Internet Security	สคริปต์จำลองการขโมยข้อมูล

หลังจากรัน การจำลองแบบรวม และดำเนินการกับโดเมน CDN ที่ถูกแทรก (cdn.jsdelivr.net, esm.sh, unpkg.com, ga.jspm.io) ผ่านเมนูการดำเนินการ โดเมนเหล่านั้นจะปรากฏในตารางด้วยสถานะ Found & Allowed หรือ Found & Mitigated

หมายเหตุ

โดเมนจะปรากฏบนแดชบอร์ดหลังจาก CSD ตรวจพบสคริปต์ที่โหลดจากโดเมนนั้นเท่านั้น จำนวน Action Needed สะท้อนโดเมนที่ถูกแจ้งเตือนให้ผู้ดูแลระบบตรวจสอบ การตรวจพบใหม่จากการจำลองแบบรวมอาจใช้เวลา 5-10 นาทีเพื่อปรากฏใน Script List ก่อนที่จะแสดงที่นี่

คลิกเมนูการดำเนินการ … บนแถวโดเมนเพื่อดูการดำเนินการที่มี: Add To Allow List และ Add To Mitigate List

รายการสคริปต์

เปิด Script List จากแผงการนำทางด้านซ้ายเพื่อดูสคริปต์ทั้งหมดที่ตรวจพบ

ฟิลด์	คำอธิบาย
Script Name	URL เต็มของไฟล์ JavaScript
Status	AN (Action Needed) หรือ NA (No Action Needed)
Risk Level	No Risk, Low Risk, หรือ High Risk
Justification	เหตุผลที่ CSD แจ้งเตือนสคริปต์นั้น
Last Seen	เวลาตรวจพบล่าสุด
Locations Found	จำนวนหน้าที่พบสคริปต์นั้น
Network Interactions	จำนวนการเรียกเครือข่ายที่สคริปต์ทำ
Form Fields	จำนวนฟิลด์ฟอร์มที่สคริปต์อ่าน
Affected Clients	จำนวนผู้ใช้/เซสชันที่ไม่ซ้ำกันที่ได้รับผลกระทบจากสคริปต์

หลังจากรันการจำลองแบบรวม คุณควรเห็น:

• สคริปต์ของแอปพลิเคชัน (เช่น main.js, vendor.js) ถูกแจ้งเตือนว่า High Risk / Action Needed เนื่องจากอ่านฟิลด์ฟอร์มที่ละเอียดอ่อน (email, password)
• สคริปต์บุคคลที่สาม 4 รายการใหม่ จาก cdn.jsdelivr.net, esm.sh, unpkg.com, และ ga.jspm.io ปรากฏเป็นรายการใหม่ในรายการ

1. เรียงลำดับตาม Risk Level (High Risk ก่อน)

2. คลิกสคริปต์ความเสี่ยงสูง (เช่น main.js) เพื่อดูหน้ารายละเอียด

3. แท็บ Overview แสดงกราฟ Behaviors Over Time ที่ติดตามระดับความเสี่ยง, โดเมนต้นทาง, และประเภทของสคริปต์เมื่อเวลาผ่านไป

   

4. คลิกแท็บ Form Fields เพื่อดูว่าสคริปต์กำลังอ่านฟิลด์ใดบ้าง

5. คลิกแท็บ Affected Users เพื่อดูว่าผู้ใช้ใดได้รับผลกระทบ (ดูส่วน Affected Users ด้านล่าง)

ฟิลด์ฟอร์ม

มุมมอง Form Fields แสดงฟิลด์ฟอร์มทั้งหมดที่ CSD ตรวจพบสคริปต์กำลังอ่านทั่วทั้งไซต์ที่ตรวจสอบ

CSD จัดประเภทฟิลด์ตามความละเอียดอ่อนโดยอัตโนมัติ:

ฟิลด์ฟอร์ม	การวิเคราะห์	คำอธิบาย
email	Sensitive (by system)	ฟิลด์ email สำหรับเข้าสู่ระบบ — ความเสี่ยงสูงหากอ่านโดยสคริปต์ที่ไม่ได้รับอนุญาต
password	Sensitive (by system)	ฟิลด์รหัสผ่านสำหรับเข้าสู่ระบบ — ความเสี่ยงสูงหากอ่านโดยสคริปต์ที่ไม่ได้รับอนุญาต

หมายเหตุ

จะติดตามเฉพาะฟิลด์ที่มีอยู่ใน DOM ของหน้าเดิมเท่านั้น ชื่อฟิลด์ที่แน่นอนขึ้นอยู่กับการใช้งาน Juice Shop Angular form — ตรวจสอบภาพหน้าจอด้านบนสำหรับตัวระบุฟิลด์ปัจจุบัน

แต่ละฟิลด์แสดงจำนวนสคริปต์ที่เกี่ยวข้องที่กำลังอ่านฟิลด์นั้น, ตำแหน่งที่พบการอ่าน, และเวลาอ่านล่าสุด เจาะลึกไปที่ฟิลด์เพื่อดูว่าสคริปต์ใดกำลังเข้าถึงฟิลด์นั้นอยู่

เครือข่าย

เปิดมุมมอง Network เพื่อดูโดเมนทั้งหมดที่สคริปต์ โหลดจาก (ไม่ใช่ปลายทาง fetch/XHR)

แท็บ All Domains แสดงรายการแต่ละโดเมนพร้อม:

• เวลา Last Seen
• Domain Category (เช่น Computer and Internet Info)
• สถานะ Added to Allow/Mitigate List (Unlisted, Allowed, หรือ Mitigated)

หลังจากรันการจำลองแบบรวม โดเมน CDN ทั้งสี่รายการที่ระบุไว้ในส่วนแดชบอร์ดควรปรากฏเป็นรายการใหม่ เนื่องจากแท็ก <script> ที่ถูกแทรกได้โหลด JavaScript จาก CDN เหล่านี้

ใช้แท็บ Mitigate List และ Allow List เพื่อตรวจสอบโดเมนที่ดำเนินการแล้ว

ผู้ใช้ที่ได้รับผลกระทบ

แท็บ Affected Users (เข้าถึงได้จากหน้ารายละเอียดของสคริปต์) แสดงผู้ใช้ที่ได้รับผลกระทบจากสคริปต์ที่เลือก

แต่ละรายการประกอบด้วย:

ฟิลด์	คำอธิบาย
IP Address	IP ต้นทางของผู้ใช้ที่ได้รับผลกระทบ
Device ID	แฮชตัวระบุอุปกรณ์ที่ไม่ซ้ำกัน
Geolocation	ประเทศที่ได้มาจาก IP (แสดงพร้อมไอคอนธงชาติ)
Channel	ช่องทางการเข้าถึง (เช่น Web)
User Agent	ชื่อเบราว์เซอร์, เวอร์ชัน, และระบบปฏิบัติการ
Last Seen	เวลาตรวจพบล่าสุดสำหรับผู้ใช้รายนี้

มุมมองนี้แสดงให้เห็นขอบเขตของการโจมตีที่ตรวจพบ — มีผู้ใช้กี่รายที่ถูกเปิดเผย, จากตำแหน่งใด, และบนแพลตฟอร์มใด ใช้ข้อมูลนี้เพื่อประเมินผลกระทบของเหตุการณ์ formjacking และจัดลำดับความสำคัญในการบรรเทา

การกำหนดค่าการแจ้งเตือน

เปิดส่วน Notifications จากแผงการนำทางด้านซ้ายเพื่อดูหน้า Alerts

หน้า Alerts แสดงการแจ้งเตือนแพลตฟอร์มและ CSD สำหรับ namespace การแจ้งเตือนโครงสร้างพื้นฐาน (เช่น ความล้มเหลวในการตรวจสอบสุขภาพ endpoint) จะปรากฏโดยอัตโนมัติ แต่กฎการแจ้งเตือนเฉพาะ CSD ต้องได้รับการกำหนดค่าอย่างชัดเจนโดยผู้ดูแลระบบก่อนที่การแจ้งเตือนการตรวจพบสคริปต์จะทำงาน เงื่อนไขทริกเกอร์ที่กำหนดค่าได้ ได้แก่:

• ตรวจพบโดเมนสคริปต์ที่น่าสงสัยใหม่
• คะแนนความเสี่ยงของสคริปต์เกินเกณฑ์
• ตรวจพบสคริปต์ใหม่บนหน้าที่ตรวจสอบ
• การเปลี่ยนแปลงพฤติกรรมสคริปต์ (เช่น การอ่านฟิลด์ฟอร์มใหม่)

การแจ้งเตือนสามารถกำหนดขอบเขตต่อโดเมนหรือทั่วโลก และการแจ้งเตือนทางอีเมลจะถูกส่งไปยังผู้รับการแจ้งเตือนที่กำหนดค่าไว้

คำเตือน

หากไม่มีการกำหนดค่ากฎการแจ้งเตือนเฉพาะ CSD บน demo tenant จะมีเฉพาะการแจ้งเตือนโครงสร้างพื้นฐาน (ถ้ามี) ที่ปรากฏที่นี่ นี่เป็นสิ่งที่คาดหวัง — การตรวจจับ CSD (Script List, แดชบอร์ด, Form Fields) ทำงานโดยอิสระจากการกำหนดค่าการแจ้งเตือน ผู้นำเสนอควรอธิบายว่าการแจ้งเตือนเป็นชั้นการแจ้งเตือนเพิ่มเติมที่เป็นตัวเลือกบนการตรวจสอบแบบ always-on ของ CSD

การบรรเทา

จาก แดชบอร์ด คลิกเมนูการดำเนินการ … บนโดเมนที่ถูกแจ้งเตือนและเลือก Add To Mitigate List หรืออีกทางหนึ่ง จาก Script List ใช้การดำเนินการบนสคริปต์แต่ละรายการ

1. เลือกโดเมนหรือสคริปต์ที่น่าสงสัย
2. คลิก Add To Mitigate List
3. ยืนยันการดำเนินการ — สถานะโดเมนจะอัปเดตในคอลัมน์ Actions
4. โดเมนย้ายจาก Action Needed ไปเป็น Found & Mitigated

เมนูการดำเนินการเป็นเมนูเดียวกันกับที่แสดงในส่วนแดชบอร์ดด้านบน

สคริปต์ที่ถูกบรรเทาจะถูกบล็อกไม่ให้ทำงานในการโหลดหน้าถัดไป การบรรเทาสามารถย้อนกลับได้ — การลบโดเมนออกจาก Mitigate List จะคืนค่าการทำงานของสคริปต์

สำหรับการบรรเทาผ่าน API แบบโปรแกรม ดู ข้อมูลอ้างอิง API — การบรรเทา