IBM Guardium Data Protection
Anomaly
Anomaly
II. Xác định các máy chủ có thể đang bị tấn công hoặc nỗ lực sử dụng trái phép
1. Nhận thức về sự bất thường
Xác định các máy chủ có thể đang bị tấn công hoặc nỗ lực sử dụng trái phépĐưa ra cảnh báo nhiều lần đăng nhập không thành công
(Compliance Monitoring): Accelerators -> Track & Monitor -> Data Privacy - Logging Attempts Failure
Report -> My Custom Reports -> User Login Failed
Report -> My Custom Reports ->
Tổng hợp các truy vấn cơ sở dữ liệu của các User
Tổng hợp Dashboard các Rule vi phạm -> Policy Rule Violation Counts
Comply -> Policy Violations
Khi rule match thì được coi là vi phạm chính sách và có log được lưu lại, được đánh dấu màu sắc khác nhau tuỳ vào mức độ nghiêm trọng
2. Báo cáo về sự bất thường
Active Threat Analytics (Phân tích Mối đe dọa Chủ động) hiển thị các trường hợp có khả năng vi phạm bảo mật dựa trên quá trình khai thác dữ liệu ngoại lai (outlier mining) và các dấu hiệu tấn công đã được nhận diệnOutlier mining (Khai thác dữ liệu ngoại lai): Đây là quá trình AI/Machine Learning của Guardium tự động tìm ra các hành vi "lạ" so với thói quen thông thường
Protect > Uncover Threat Vectors > Active Threat Analytics
Dấu hiệu tấn công: Các mẫu hành vi đặc trưng của tin tặc như SQL Injection, Brute force, hoặc truy cập trái phép vào các bảng dữ liệu nhạy cảm.
Phân tích 1 Case bất kì
1. Case Details
1.1. Thông tin chung về sự cố
- Mã số Case: Case 44 - Anomaly (Bất thường).
- Mức độ nghiêm trọng: High (Cao).
- Thời gian xảy ra: Từ 13:00 đến 14:00 ngày 13/03/2026.
- Nguồn phát sinh: Cơ sở dữ liệu MASTER tại địa chỉ IP 10.30.172.51.
Hệ thống so sánh hoạt động trong giờ đó với mức trung bình hàng ngày và nhận thấy sự gia tăng đột biến:
- Lệnh SELECT quá mức: Số lượng câu lệnh SELECT cao gấp 3.32 lần so với mức bình thường -> Suy đoán: Điều này có thể là dấu hiệu của việc trích xuất dữ liệu hàng loạt (Data Exfiltration).
- Hoạt động trong giờ làm việc bất thường: Hoạt động chung trong khung giờ này cao gấp 3.29 lần bình thường.
- Truy cập vào bảng cụ thể: Có sự kết hợp bất thường giữa bảng CAST và lệnh SELECT (cao gấp 2.86 lần).
2. Source details and history
2.1. Thống kê nguồn (Source activities)
Tracked since: Hệ thống đã theo dõi cơ sở dữ liệu này từ ngày 22/02/2026 (khoảng 3 tuần dữ liệu cơ sở).
# of active users: Trong tuần qua có 5 người dùng hoạt động.
# of active endpoints: Có 5 điểm cuối (máy trạm/server) kết nối vào.
2.2. Source behavioral analysis
By applications (Theo ứng dụng): Cho thấy các công cụ đang truy cập vào DB: SQLSETUP, MICROSOFT SQL SERVER MANAGEMENT STUDIO (SSMS), và SQLAGENT. Nếu trong danh sách này đột nhiên xuất hiện một ứng dụng lạ, đó là dấu hiệu nguy hiểm.
By working hours (Theo khung giờ):
- Working Hours (Giờ làm việc).
- Off Hours (Ngoài giờ).
- Weekend (Cuối tuần).
- Lưu ý: Biểu đồ cho thấy hoạt động diễn ra khá đều đặn cả trong và ngoài giờ.
3. Exploration
3.1. Where
Biểu đồ phân loại Database
Biểu đồ cho thấy xu hướng bất thường
3.2. When: Để xác định điều gì khác đang xảy ra trong hệ thống trong 1 khung giờ (timeframe) cụ thể
Biểu đồ báo cáo
Hệ thống trước đây hoạt động rải rác (39%) vào giờ Working Hours, nhưng ngày 13/3/2026, lúc 1h chiều thì lưu lượng lại dồn hết vào khoảng thời gian này -> bất thường
3.3. What: xem nguồn và DB User
IP 10.30.172.51 là nguồn phát sinh số lượng sự cố lớn nhất
Tài khoản gây ra các sự bất thường: SA
Database: MASTER
3.4. Who: luồng hoạt động nhiều đến từ User, Client nào
DB User: User đăng nhập vào Database?
OS User: Tài khoản trên máy chủ cơ sở dữ liệu ( tức là tài khoản trên máy chủ -> sau đó mới dùng DB User để vào SQL Server)
Client Hostname & Client IP: HostName và IP của thiết bị đang thực hiện các phiên kết nối và truy vấn đến SQL Database Server
3.5. How: Hiển thị những ứng dụng nào đã truy cập CSDL
Đính kèm
-
1779823489640.png -
1779823489633.png -
1779823489627.png -
1779823489651.png -
1779823489657.png -
1779823489663.png -
1779823489706.png -
1779823489681.png -
1779823489676.png -
1779823489687.png -
1779823489669.png -
1779823489700.png -
1779823489712.png -
1779823489694.png -
1779823489718.png -
1779823489724.png -
1779823489646.png -
1779823734728.png -
1779823734733.png -
1779823734723.png -
1779823734744.png -
1779823734739.png -
1779823734717.png -
1779823734710.png -
1779823734759.png -
1779823734752.png -
1779823734765.png -
1779823734771.png -
1779823734778.png -
1779823734784.png -
1779823734790.png -
1779823734797.png -
1779823734803.png -
1779823734823.png -
1779823734810.png -
1779823734817.png -
1779823734831.png
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới