IBM Guardium IBM Guardium Data Protection (3)

3. Báo cáo về SQL Injection​

2. SQL injection – Tautology
Giám sát workload trong môi trường để phát hiện hành vi chèn SQL injection có thể xảy ra
Protect > Uncover Threat Vectors > Active Threat Analytics


Xem Report SQL



Trong khoảng thời gian của case này thì còn có các sự cố nào không?



Để xem thêm các trường hợp cùng loại nhưng trên các nguồn khác, theo thời gian, nhấp vào mở rộng phần What?


Xem các OS User nào đang sử dụng trong khung thời gian xảy ra case và cả thời gian thông thường


Trong khoảng thời gian xảy ra sự cố thì đã sử dụng phần mềm nào?
Và công cụ phần mềm nào được sử dụng trong quá trình truy vấn thông thường?

3. Insider Threat: Possible data leak
Phát hiện Mối đe dọa nội bộ, rò rỉ dữ liệu bắt nguồn từ chính những người có quyền truy cập hợp pháp vào hệ thống

Protect > Uncover Threat Vectors > Active Threat Analytics


Mức độ hoạt động trung bình so với mức độ hoạt động của case hiện tại

Xem báo cáo SQL


Source details and history: tóm tắt hoạt động nguồn, phân tích hành vi, case đang mở và case history

Exploration khám phá thêm nhiều thông tin chi tiết của case


Phân tích khung thời gian của case



Máy chủ diễn ra hoạt động bất thường và Insider Threat
Tài khoản gây ra case này: NT SERVICE\SQLTELEMETRY. Đây là một tài khoản dịch vụ hệ thống của Microsoft SQL Server, thường dùng để thu thập dữ liệu về hiệu năng và lỗi


Phân tích các luồng dữ liệu từ các tài khoản, thiết bị khác nhau

Dùng phần mềm, ứng dụng nào để truy cập CSDL

Overview


Tab Activity cung cấp thông tin chi tiết về hoạt động như verb và đối tượng mà nó thực hiện.

Tab Outliers cung cấp thông tin chi tiết về các sự kiện có điểm bất thường cao nhất và một hoặc nhiều lý do

Để xem các vi phạm liên quan đến hoạt động của người dùng này, hãy nhấp vào tab Violations.

4. Báo cáo về nguy cơ rò rỉ dữ liệu​

Trực quan về nguy cơ mất an toàn dữ liệu

6. Nâng cao nhận thức các kết nối đến CSDL (tin cậy/không tin cậy)​

1. Tổng quan về Real-Time Trust Evaluator (RTTE)​

RTTE đánh giá các kết nối cơ sở dữ liệu và xác định các sự cố bảo mật thông qua:

• Công cụ Sự cố Bảo mật Thời gian thực (Real-time Security Incidents): Phát hiện các vi phạm chính sách.
• Công cụ Học máy (Machine Learning Engines - MLE): Xác định các hành vi bất thường so với dữ liệu lịch sử.

Các mức độ tin cậy (Trust Scores):​

• Tin cậy cao (High Trust): Kết nối bình thường, không có sự cố bảo mật.
• Được đánh giá (Evaluated Trust): Không có sự cố nhưng có dấu hiệu hơi bất thường theo đánh giá của AI.
• Không tin cậy (Untrusted): Phát hiện thấy sự cố bảo mật hoặc bất thường nghiêm trọng.

2. Lợi ích

• Giám sát liên tục quyền truy cập và đặc quyền của người dùng.
• Nhận diện sớm các lỗ hổng bảo mật và dữ liệu không mã hóa.
• Phát hiện người dùng trái phép không thuộc nhóm quản trị

III. Đáp ứng các yêu cầu kiểm toán và tuân thủ​

1. Đáp ứng các biện pháp kiểm soát và tuân thủ​

Sử dụng Trợ lý thông minh (Smart assistant) để cấu hình thiết lập tuân thủ sẵn có, chọn nguồn dữ liệu, chạy thiết lập, điền các nhóm (hay group) nếu cần Kết quả chi tiết Kiểm tra cách dashboard cung cấp chế độ xem phạm vi tuân thủ cho các máy chủ đang hoạt động bằng cách chuyển đến: Setup > Smart Assistant > Compliance Health Monitor Dashboard

2. Đánh giá lỗ hổng bảo mật trên máy chủ​

Guardium Vulnerability Assessment cho phép các tổ chức xác định và xử lý các lỗ hổng cơ sở dữ liệu một cách nhất quán và tự động. Quá trình đánh giá của Guardium phân tích tình trạng sức khỏe hệ thống cơ sở dữ liệu của bạn và đề xuất cải thiện thông qua việc:

• Đánh giá cấu hình hệ thống và tìm ra các lỗ hổng hoặc mối đe dọa tiềm ẩn đối với tài nguyên cơ sở dữ liệu, bao gồm cả rủi ro về cấu hình và hành vi
• Đề xuất và ưu tiên kế hoạch hành động dựa trên rủi ro và lỗ hổng nghiêm trọng nhất được phát hiện.

Harden > Vulnerability Assessment > Assessment Builder

IV. Cung cấp cho cấp quản lý thông tin về tình trạng bảo mật dữ liệu hiện tại của doanh nghiệp​

Investigate > Exception ->Guardium Data Protection Dashboard​

Giao diện Guardium Data Protection Dashboard – bảng điều khiển tổng quát giúp nắm bắt nhanh tình trạng bảo mật của toàn bộ hệ thống cơ sở dữ liệu mà IBM Guardium đang giám sát.