常见问题
以下是关于 F5 分布式云客户端防御(Client-Side Defense)的常见问题,整理自演示会话和客户交流。
CSD 在检测到违规时是否会生成告警?
Section titled “CSD 在检测到违规时是否会生成告警?”是的,但必须显式配置 CSD 专属告警规则。CSD 会使用设置过程中提供的账户邮箱地址自动创建一个告警接收器。您可以为以下情况配置告警触发条件:
- 检测到新的可疑域名
- 风险评分超过阈值
- 在受保护页面上检测到新脚本
- 之前已识别的脚本行为发生变化
告警可按域名范围设置,也可全局应用于所有受保护域名。有关配置详情,请参阅 CSD 控制台 — 告警配置 章节。
能否查看 CSD 事件的 HTTP 请求日志?
Section titled “能否查看 CSD 事件的 HTTP 请求日志?”CSD 通过客户端 JavaScript 遥测运行——对于脚本检测或缓解执行,没有服务器端 HTTP 日志。检测流程如下:
- CSD JavaScript 标签(由负载均衡器注入)在访客浏览器中运行
- 它监控脚本加载、DOM 变更和表单字段访问
- 遥测信标被发送到 F5 后端进行分析
- 检测结果显示在 CSD API 和仪表板中
负载均衡器访问日志(/api/data/namespaces/\{ns\}/access_logs)包含 csd_js_injection 字段,用于确认 CSD 脚本标签是否已注入到响应中。如需获取 CSD 检测数据,请使用以下 API 端点:/scripts、/detected_domains 和 /formFields。
完整的第 7 层(HTTP)和第 8 层(CSD 遥测)验证测试,请参阅诊断指南。
CSD 是否与 SIEM 工具(Splunk、Datadog 等)集成?
Section titled “CSD 是否与 SIEM 工具(Splunk、Datadog 等)集成?”目前没有专门针对 CSD 的原生 SIEM Webhook 或 Syslog 集成文档。CSD 检测数据可通过以下 REST API 端点获取:
/scripts— 带风险级别的已检测脚本/detected_domains— 已分类域名(CDN、数据外泄等)/formFields— 脚本访问的表单字段及敏感性分类
客户可按计划轮询这些 API 端点,并将检测数据转发至其 SIEM 系统。有关端点详情和认证方式,请参阅 API 参考。
CSD 缓解实际会拦截什么?
Section titled “CSD 缓解实际会拦截什么?”CSD 缓解通过拦截 src 属性来阻止从已缓解域名加载 <script> 标签——CSD JavaScript 将 src 清空为空字符串,从而完全阻止网络请求。此举针对的是供应链攻击向量:通过 <script> 标签注入页面的恶意第三方脚本。
CSD 缓解不会拦截:
fetch()调用XMLHttpRequest调用<img>或<link>标签加载- WebSocket 连接
这是有意为之的设计——CSD 专注于供应链攻击(Magecart、表单劫持、数据窃取)用于注入恶意代码的脚本加载机制。通过 fetch() 或 XMLHttpRequest 发起的应用层 API 调用不在 CSD 的处理范围内,由其他 F5 XC 安全功能(WAF、Bot Defense、API 防护)负责处理。
有关脚本拦截行为的前后对比验证,请参阅第 3 阶段 — 缓解。
发起攻击后,检测结果需要多长时间才会出现?
Section titled “发起攻击后,检测结果需要多长时间才会出现?”检测时间因端点而异:
| 端点 | 典型时间 | 备注 |
|---|---|---|
/detected_domains | 数分钟 | 最先填充——这是 CSD 流水线正在处理的主要指标 |
/scripts | 10–30 分钟 | 使用较慢的后端处理计划 |
/formFields | 20–30 分钟 | 机器学习敏感性分类(Sensitive 与 Not Sensitive)需要额外处理时间 |
当同一受保护域名在同一租户上重新注册时,检测结果会在基础设施拆除/重建后持续保留。拆除并重建后,查询一次 /detected_domains——如果响应包含数据项,则之前的检测结果仍然可用,无需等待。
有关推荐的轮询协议,请参阅第 2 阶段 — 检测验证章节。