คำถามที่พบบ่อย

คำถามที่พบบ่อยเกี่ยวกับ F5 Distributed Cloud การป้องกันฝั่งไคลเอนต์ รวบรวมจากเซสชันสาธิตและการสนทนากับลูกค้า

CSD สร้างการแจ้งเตือนเมื่อตรวจพบการละเมิดหรือไม่?

ใช่ แต่ต้องกำหนดค่ากฎการแจ้งเตือนเฉพาะของ CSD อย่างชัดเจน CSD จะสร้าง Alert Receiver โดยอัตโนมัติโดยใช้ที่อยู่อีเมลของบัญชีที่ระบุในระหว่างการตั้งค่า คุณสามารถกำหนดค่าตัวกระตุ้นการแจ้งเตือนสำหรับ:

ตรวจพบโดเมนที่น่าสงสัยใหม่
คะแนนความเสี่ยงเกินเกณฑ์ที่กำหนด
ตรวจพบสคริปต์ใหม่บนหน้าที่ได้รับการป้องกัน
การเปลี่ยนแปลงพฤติกรรมของสคริปต์ที่เคยพบมาก่อน

การแจ้งเตือนสามารถกำหนดขอบเขตตามโดเมน หรือใช้งานแบบครอบคลุมทุกโดเมนที่ได้รับการป้องกัน ดูรายละเอียดการตั้งค่าในส่วน CSD คอนโซล — การกำหนดค่าการแจ้งเตือน

ฉันสามารถดูบันทึก HTTP request สำหรับเหตุการณ์ CSD ได้หรือไม่?

CSD ทำงานผ่าน JavaScript telemetry ฝั่งไคลเอนต์ — ไม่มีบันทึก HTTP ฝั่งเซิร์ฟเวอร์สำหรับการตรวจจับสคริปต์หรือการบังคับใช้การลดความเสี่ยง ขั้นตอนการทำงานของ pipeline การตรวจจับมีดังนี้:

JavaScript tag ของ CSD (ที่ฉีดเข้าไปโดย load balancer) จะทำงานในเบราว์เซอร์ของผู้เข้าชม
ระบบตรวจสอบการโหลดสคริปต์ การเปลี่ยนแปลง DOM และการเข้าถึงฟิลด์ฟอร์ม
Telemetry beacons ถูกส่งไปยัง F5 backend เพื่อวิเคราะห์
ผลลัพธ์การตรวจจับจะปรากฏใน CSD API และแดชบอร์ด

บันทึก access logs ของ load balancer (/api/data/namespaces/\{ns\}/access_logs) มีฟิลด์ csd_js_injection ที่ยืนยันว่า script tag ของ CSD ถูกฉีดเข้าไปในการตอบกลับหรือไม่ สำหรับข้อมูลการตรวจจับของ CSD ให้ใช้จุดสิ้นสุด API: /scripts, /detected_domains, และ /formFields

ดูคู่มือ การวินิจฉัย สำหรับการทดสอบการตรวจสอบ Layer 7 (HTTP) และ Layer 8 (CSD telemetry) ครบถ้วน

CSD รองรับการผสานรวมกับเครื่องมือ SIEM (Splunk, Datadog เป็นต้น) หรือไม่?

ไม่มีการผสานรวม SIEM webhook หรือ syslog แบบเนทีฟที่ได้รับการบันทึกไว้สำหรับ CSD โดยเฉพาะ ข้อมูลการตรวจจับของ CSD มีให้ผ่านจุดสิ้นสุด REST API:

/scripts — สคริปต์ที่ตรวจพบพร้อมระดับความเสี่ยง
/detected_domains — โดเมนที่จัดหมวดหมู่แล้ว (CDN, exfil เป็นต้น)
/formFields — ฟิลด์ฟอร์มที่ถูกเข้าถึงโดยสคริปต์พร้อมการจัดประเภทความอ่อนไหว

ลูกค้าสามารถสำรวจจุดสิ้นสุด API เหล่านี้ตามกำหนดเวลาและส่งต่อข้อมูลการตรวจจับไปยัง SIEM ของตน ดู API Reference สำหรับรายละเอียดจุดสิ้นสุดและการรับรองความถูกต้อง

การลดความเสี่ยงของ CSD บล็อกอะไรบ้างจริงๆ?

การลดความเสี่ยงของ CSD จะบล็อกการโหลด tag <script> จากโดเมนที่ถูกลดความเสี่ยงโดยการสกัดกั้น attribute src — JavaScript ของ CSD จะล้างค่า src เป็นสตริงว่าง ป้องกันการร้องขอเครือข่ายโดยสมบูรณ์ สิ่งนี้มุ่งเป้าไปที่ เวกเตอร์ supply-chain: สคริปต์ของบุคคลที่สามที่เป็นอันตรายซึ่งถูกฉีดเข้าไปในหน้าผ่าน <script> tags

การลดความเสี่ยงของ CSD ไม่ สกัดกั้น:

การเรียก fetch()
การเรียก XMLHttpRequest
การโหลด tag <img> หรือ <link>
การเชื่อมต่อ WebSocket

การออกแบบนี้เป็นไปโดยเจตนา — CSD มุ่งเน้นที่กลไกการโหลดสคริปต์ที่การโจมตีแบบ supply-chain (Magecart, formjacking, skimming) ใช้เพื่อฉีดโค้ดที่เป็นอันตราย การเรียก API ระดับแอปพลิเคชันผ่าน fetch() หรือ XMLHttpRequest อยู่นอกขอบเขตของ CSD และได้รับการจัดการโดยคุณสมบัติความปลอดภัยอื่นๆ ของ F5 XC (WAF, Bot Defense, API Protection)

ดู ระยะที่ 3 — การลดความเสี่ยง สำหรับหลักฐานก่อน/หลังที่แสดงพฤติกรรมการบล็อกสคริปต์

การตรวจจับใช้เวลานานเท่าใดจึงจะปรากฏหลังจากรันการโจมตี?

ระยะเวลาการตรวจจับแตกต่างกันตามจุดสิ้นสุด:

จุดสิ้นสุด	ระยะเวลาทั่วไป	หมายเหตุ
`/detected_domains`	ไม่กี่นาที	ปรากฏก่อน — นี่คือตัวบ่งชี้หลักที่ CSD pipeline กำลังประมวลผล
`/scripts`	10–30 นาที	ใช้กำหนดการประมวลผล backend ที่ช้ากว่า
`/formFields`	20–30 นาที	การจำแนกความอ่อนไหวด้วย ML (`Sensitive` vs `Not Sensitive`) ต้องใช้การประมวลผลเพิ่มเติม

การตรวจจับ ยังคงอยู่แม้หลังจากการรื้อถอน/สร้างโครงสร้างพื้นฐานใหม่ เมื่อโดเมนที่ได้รับการป้องกันเดิมถูกลงทะเบียนใหม่บน tenant เดียวกัน หลังจากการรื้อถอนและสร้างใหม่ ให้ query /detected_domains หนึ่งครั้ง — หากการตอบกลับมีรายการ การตรวจจับก่อนหน้านี้ยังคงมีอยู่และไม่จำเป็นต้องรอ

ดูส่วน ระยะที่ 2 — การตรวจสอบการตรวจจับ สำหรับโปรโตคอลการสำรวจที่แนะนำ