Entry № 321
数据库活动监控(DAM)
数据库活动监控(DAM) 是什么?
数据库活动监控(DAM)对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。
数据库活动监控(DAM)通过网络嗅探、内核探针或数据库原生审计钩子,捕获到达数据库引擎的每一条 SQL 语句,并与策略进行关联,从而识别权限提升、大批量导出、模式篡改及 DBA 的异常行为。主流厂商包括 IBM Guardium、Imperva SecureSphere、Trellix 和 Oracle Audit Vault;云端等价方案有 AWS DAS 与 Microsoft Defender for SQL。DAM 被广泛用于满足 PCI DSS、SOX、HIPAA 与 GDPR 对职责分离和敏感数据访问留痕的要求。现代部署将事件实时转发到 SIEM,并触发自动化的隔离剧本。
● 示例
- 01
当服务账户在非工作时间从包含个人信息的表中读取超过 10000 行数据时发出告警。
- 02
阻止 DBA 在生产 Oracle 实例上执行 GRANT DBA TO PUBLIC。
● 常见问题
数据库活动监控(DAM) 是什么?
对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。 它属于网络安全的 防御与运营 分类。
数据库活动监控(DAM) 是什么意思?
对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。
如何防御 数据库活动监控(DAM)?
针对 数据库活动监控(DAM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
数据库活动监控(DAM) 还有哪些其他名称?
常见的别称包括: DAM, 数据库审计。