数据库活动监控(DAM)
数据库活动监控(DAM) 是什么?
数据库活动监控(DAM)对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。
数据库活动监控(DAM)通过网络嗅探、内核探针或数据库原生审计钩子,捕获到达数据库引擎的每一条 SQL 语句,并与策略进行关联,从而识别权限提升、大批量导出、模式篡改及 DBA 的异常行为。主流厂商包括 IBM Guardium、Imperva SecureSphere、Trellix 和 Oracle Audit Vault;云端等价方案有 AWS DAS 与 Microsoft Defender for SQL。DAM 被广泛用于满足 PCI DSS、SOX、HIPAA 与 GDPR 对职责分离和敏感数据访问留痕的要求。现代部署将事件实时转发到 SIEM,并触发自动化的隔离剧本。
● 示例
- 01
当服务账户在非工作时间从包含个人信息的表中读取超过 10000 行数据时发出告警。
- 02
阻止 DBA 在生产 Oracle 实例上执行 GRANT DBA TO PUBLIC。
● 常见问题
数据库活动监控(DAM) 是什么?
对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。 它属于网络安全的 防御与运营 分类。
数据库活动监控(DAM) 是什么意思?
对数据库查询、特权用户操作和模式变更进行持续监控,以实时执行策略并发现数据滥用的安全控制类别。
数据库活动监控(DAM) 是如何工作的?
数据库活动监控(DAM)通过网络嗅探、内核探针或数据库原生审计钩子,捕获到达数据库引擎的每一条 SQL 语句,并与策略进行关联,从而识别权限提升、大批量导出、模式篡改及 DBA 的异常行为。主流厂商包括 IBM Guardium、Imperva SecureSphere、Trellix 和 Oracle Audit Vault;云端等价方案有 AWS DAS 与 Microsoft Defender for SQL。DAM 被广泛用于满足 PCI DSS、SOX、HIPAA 与 GDPR 对职责分离和敏感数据访问留痕的要求。现代部署将事件实时转发到 SIEM,并触发自动化的隔离剧本。
如何防御 数据库活动监控(DAM)?
针对 数据库活动监控(DAM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
数据库活动监控(DAM) 还有哪些其他名称?
常见的别称包括: DAM, 数据库审计。
● 相关术语
- defense-ops№ 288
数据库防火墙
串接在应用与数据库之间的安全设备或代理,按白名单策略检查 SQL,在攻击触达数据库之前阻断注入、权限滥用及未授权语句。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- identity-access№ 861
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
- attacks№ 1084
SQL 注入
一种代码注入攻击,将攻击者控制的 SQL 语句植入数据库查询,以读取、篡改或破坏数据。