常見問題
以下為關於 F5 Distributed Cloud 客戶端防禦 (Client-Side Defense) 的常見問題,整理自示範場次與客戶交流對話。
CSD 在偵測到違規時是否會產生警示?
Section titled “CSD 在偵測到違規時是否會產生警示?”是的,但必須明確設定 CSD 專屬的警示規則。CSD 會使用設定過程中所提供的帳戶電子郵件地址,自動建立一個「Alert Receiver」。您可以針對以下情況設定警示觸發條件:
- 偵測到新的可疑網域
- 風險分數超過閾值
- 在受保護頁面上偵測到新的腳本
- 先前已知腳本的行為發生變化
警示可依個別網域設定範圍,也可全域套用至所有受保護的網域。設定詳情請參閱 CSD 主控台 — 警示設定 章節。
我可以查看 CSD 事件的 HTTP 請求日誌嗎?
Section titled “我可以查看 CSD 事件的 HTTP 請求日誌嗎?”CSD 透過客戶端 JavaScript 遙測技術運作——腳本偵測或緩解執行並不會產生伺服器端的 HTTP 日誌。偵測流程如下:
- CSD JavaScript 標籤(由負載平衡器注入)在訪客的瀏覽器中執行
- 它監控腳本載入、DOM 變更及表單欄位存取
- 遙測信標被傳送至 F5 後端進行分析
- 偵測結果會顯示在 CSD API 與儀表板中
負載平衡器存取日誌(/api/data/namespaces/\{ns\}/access_logs)包含 csd_js_injection 欄位,可確認 CSD 腳本標籤是否已注入至回應中。如需取得 CSD 偵測資料,請使用以下 API 端點:/scripts、/detected_domains 及 /formFields。
完整的第 7 層(HTTP)與第 8 層(CSD 遙測)驗證測試,請參閱診斷指南。
CSD 是否能與 SIEM 工具(Splunk、Datadog 等)整合?
Section titled “CSD 是否能與 SIEM 工具(Splunk、Datadog 等)整合?”目前尚無針對 CSD 的原生 SIEM Webhook 或 Syslog 整合說明文件。CSD 偵測資料可透過以下 REST API 端點取得:
/scripts— 含風險等級的已偵測腳本/detected_domains— 已分類的網域(CDN、資料外洩等)/formFields— 腳本存取的表單欄位及其敏感性分類
客戶可定期輪詢這些 API 端點,並將偵測資料轉送至其 SIEM 系統。端點詳情與驗證方式請參閱 API 參考文件。
CSD 緩解措施實際上會封鎖哪些內容?
Section titled “CSD 緩解措施實際上會封鎖哪些內容?”CSD 緩解措施透過攔截 src 屬性來封鎖來自已緩解網域的 <script> 標籤載入——CSD JavaScript 會將 src 清除為空字串,完全阻止網路請求的發出。此機制針對的是供應鏈攻擊向量:透過 <script> 標籤注入頁面的惡意第三方腳本。
CSD 緩解措施不會攔截:
fetch()呼叫XMLHttpRequest呼叫<img>或<link>標籤的載入- WebSocket 連線
此設計為刻意為之——CSD 專注於供應鏈攻擊(Magecart、表單劫持、側錄)所使用的腳本載入機制,以注入惡意程式碼。透過 fetch() 或 XMLHttpRequest 發出的應用程式層級 API 呼叫不在 CSD 的範疇內,而是由其他 F5 XC 安全功能(WAF、Bot Defense、API Protection)負責處理。
示範腳本封鎖行為的前後對比驗證,請參閱第 3 階段 — 緩解。
執行攻擊後,偵測結果需要多久才會出現?
Section titled “執行攻擊後,偵測結果需要多久才會出現?”偵測時間因端點而異:
| 端點 | 典型時間 | 備註 |
|---|---|---|
/detected_domains | 數分鐘 | 最先產生資料——這是 CSD 流水線正在處理的主要指標 |
/scripts | 10–30 分鐘 | 使用較慢的後端處理排程 |
/formFields | 20–30 分鐘 | ML 敏感性分類(Sensitive 與 Not Sensitive)需要額外的處理時間 |
當相同受保護網域在同一租戶上重新註冊時,偵測結果在基礎設施拆除/重建後仍會保留。拆除並重建後,查詢一次 /detected_domains——若回應中包含項目,則先前的偵測結果仍然可用,無需等待。
建議的輪詢流程請參閱第 2 階段 — 偵測驗證章節。