跳转到内容
客户端防御

CSD 控制台操作指南

仪表板

Section titled “仪表板”

在 XC 控制台中导航至 Client-Side Defense 仪表板。

CSD Dashboard showing summary cards and domain table

摘要卡片显示已处理的脚本域:

  • 需要处理 — 已标记待审查但尚未处理的脚本域(包括第一方和第三方)
  • 已发现并已缓解 — 脚本已添加至缓解列表的域(仅在管理员操作后变更)
  • 已发现并已允许 — 已明确添加至允许列表的域(仅在管理员操作后变更)
  • 发现总数 — 当前周期内检测到的所有脚本域(随新检测结果自动更新)
  • 已消耗事务数 — 本月已处理的 CSD 遥测事件(确认 CSD 处于活动状态)

域表列出了 CSD 检测到的所有域——包括第一方和第三方脚本来源域,以及 fetch/XHR 目标域。每行显示域状态、最后发现时间戳、域类别,以及观察到该域活动的位置(URL)。

上方截图显示了在演示租户上检测到的域,全部处于需要处理状态。具体显示的域取决于已运行的模拟:

类别来源
botdemo.sales-demo.f5demos.com计算机与互联网信息受保护的应用程序域
dnslog.cn恶意软件站点数据外泄模拟脚本
canarytokens.com计算机与互联网安全数据外泄模拟脚本

运行组合模拟并通过操作菜单对注入的 CDN 域(cdn.jsdelivr.netesm.shunpkg.comga.jspm.io)进行处理后,这些域也将显示在表中,状态为已发现并已允许已发现并已缓解

点击域行上的 操作菜单,可查看可用操作:添加至允许列表添加至缓解列表

Dashboard actions menu showing Allow and Mitigate options

脚本清单

Section titled “脚本清单”

从左侧导航中打开脚本列表,查看所有已检测到的脚本。

Script List showing detected scripts
字段说明
脚本名称JavaScript 文件的完整 URL
状态AN(需要处理)或 NA(无需处理)
风险级别无风险、低风险或高风险
理由CSD 标记该脚本的原因
最后发现最近一次检测时间戳
发现位置观察到该脚本的页面数量
网络交互脚本发出的网络调用次数
表单字段脚本读取的表单字段数量
受影响客户端受该脚本影响的唯一用户/会话数量

运行组合模拟后,您应看到:

  • 应用程序脚本(例如 main.jsvendor.js)因读取敏感表单字段(email、password)而被标记为高风险 / 需要处理
  • 来自 cdn.jsdelivr.netesm.shunpkg.comga.jspm.io4 个新第三方脚本作为新条目出现在列表中

  1. 风险级别排序(高风险优先)

  2. 点击高风险脚本(例如 main.js)查看其详情页面

  3. 概览选项卡显示随时间变化的行为图表,跟踪脚本的风险级别、来源域和类型随时间的变化情况

    Script detail page showing Behaviors Over Time chart

  4. 点击表单字段选项卡,查看脚本正在读取的具体字段

  5. 点击受影响用户选项卡,查看受影响的用户(详见下方受影响用户部分)

表单字段

Section titled “表单字段”

表单字段视图显示 CSD 检测到脚本在受监控站点上读取的所有表单字段。

Form Fields view with sensitivity classification

CSD 自动按敏感度对字段进行分类:

表单字段分析说明
email敏感(由系统判定)登录邮箱字段——若被未授权脚本读取则为高风险
password敏感(由系统判定)登录密码字段——若被未授权脚本读取则为高风险

每个字段显示关联的读取脚本数量、观察到读取操作的位置以及最后读取时间戳。深入查看某个字段,可了解具体是哪些脚本在访问它。

网络

Section titled “网络”

打开网络视图,查看脚本加载来源的所有域(而非 fetch/XHR 目标域)。

Network All Domains view

所有域选项卡列出每个域及以下信息:

  • 最后发现时间戳
  • 域类别(例如,计算机与互联网信息)
  • 已添加至允许/缓解列表状态(未列出、已允许或已缓解)

运行组合模拟后,仪表板部分中列出的同四个 CDN 域应作为新条目出现,原因是注入的 <script> 标签从这些 CDN 加载了 JavaScript。

使用缓解列表允许列表选项卡查看已处理的域。

受影响用户

Section titled “受影响用户”

受影响用户选项卡(可从脚本详情页面访问)显示受所选脚本影响的用户。

Affected Users tab showing impacted users

每条记录包含:

字段说明
IP 地址受影响用户的来源 IP
设备 ID唯一设备标识符哈希
地理位置从 IP 推导的国家/地区(附国旗图标显示)
渠道访问渠道(例如,Web)
用户代理浏览器名称、版本及操作系统
最后发现该用户最近一次检测时间戳

此视图展示了已检测攻击的影响范围——有多少用户受到影响、来自哪些位置以及使用哪些平台。利用这些数据评估表单劫持事件的影响,并确定缓解优先级。

警报配置

Section titled “警报配置”

从左侧导航中打开通知部分,查看警报页面。

CSD Notifications UI showing the Alerts page on the f5-sales-demo tenant

警报页面显示命名空间的平台和 CSD 警报。基础设施警报(例如端点健康检查失败)会自动出现,但 CSD 特定的警报规则必须由管理员明确配置,脚本检测通知才会触发。可配置的触发条件包括:

  • 检测到新的可疑脚本域
  • 脚本风险评分超过阈值
  • 在受监控页面上检测到新脚本
  • 脚本行为变更(例如,读取新的表单字段)

警报可按域或全局范围配置,电子邮件通知将发送至已配置的警报接收方。

缓解

Section titled “缓解”

仪表板中,点击已标记域上的 操作菜单,然后选择添加至缓解列表。或者,从脚本列表中,对单个脚本使用操作。

  1. 选择可疑域或脚本
  2. 点击添加至缓解列表
  3. 确认操作——域状态在操作列中更新
  4. 该域从需要处理移动至已发现并已缓解

操作菜单与上方仪表板部分中显示的相同。

已缓解的脚本将在下次页面加载时被阻止执行。缓解操作可逆——从缓解列表中移除域将恢复脚本执行。

有关通过 API 进行程序化缓解的信息,请参阅 API 参考——缓解