การตรวจสอบกิจกรรมฐานข้อมูล (DAM หรือที่รู้จักกันในชื่อการตรวจสอบฐานข้อมูลระดับองค์กรและการป้องกันแบบเรียลไทม์^{[ 1 ]}หรือการตรวจสอบและการป้องกันการเข้าถึงข้อมูล ) เป็น เทคโนโลยี ความปลอดภัยของฐานข้อมูลสำหรับการตรวจสอบและวิเคราะห์กิจกรรมฐานข้อมูล DAM อาจรวมข้อมูลจากการตรวจสอบบนเครือข่ายและข้อมูลการตรวจสอบดั้งเดิมเพื่อให้ได้ภาพรวมที่ครอบคลุมของกิจกรรมฐานข้อมูล ข้อมูลที่รวบรวมโดย DAM จะถูกนำมาใช้ในการวิเคราะห์และรายงานเกี่ยวกับกิจกรรมฐานข้อมูล สนับสนุนการสืบสวนการละเมิด และแจ้งเตือนเมื่อเกิดความผิดปกติ โดยทั่วไปแล้ว DAM จะดำเนินการอย่างต่อเนื่องและแบบเรียลไทม์

ระบบตรวจสอบและป้องกันกิจกรรมในฐานข้อมูล (DAMP) เป็นส่วนขยายของ DAM ที่นอกเหนือไปจากการตรวจสอบและแจ้งเตือนแล้ว ยังสามารถบล็อกกิจกรรมที่ไม่ได้รับอนุญาตได้อีกด้วย

DAM ช่วยให้ธุรกิจต่างๆ สามารถปฏิบัติตาม ข้อกำหนด ด้านกฎระเบียบต่างๆเช่นมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI DSS), กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ (HIPAA), กฎหมาย Sarbanes-Oxley (SOX), ข้อบังคับของรัฐบาลสหรัฐฯ เช่น NIST 800-53 และข้อบังคับของสหภาพยุโรป

DAM ยังเป็นเทคโนโลยีที่สำคัญสำหรับการปกป้องฐานข้อมูลที่ละเอียดอ่อนจากการโจมตีจากภายนอกโดยอาชญากรไซเบอร์ จากรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon Business ปี 2009 ซึ่งวิเคราะห์จากกรณีการละเมิดข้อมูลที่ได้รับการยืนยัน 90 กรณีของ Verizon Business ที่เกี่ยวข้องกับข้อมูลที่ถูกบุกรุก 285 ล้านรายการในปี 2008 พบว่า 75 เปอร์เซ็นต์ของข้อมูลที่ถูกบุกรุกทั้งหมดมาจากเซิร์ฟเวอร์ฐานข้อมูลที่ถูกบุกรุก

ตามที่Gartner กล่าวไว้ ว่า “DAM ให้การตรวจสอบการเข้าถึงของผู้ใช้ที่มีสิทธิ์และแอปพลิเคชันที่เป็นอิสระจากการบันทึกและการตรวจสอบฐานข้อมูลดั้งเดิม สามารถทำหน้าที่เป็นการควบคุมชดเชยสำหรับปัญหาการแยกหน้าที่ของผู้ใช้ที่มีสิทธิ์โดยการตรวจสอบกิจกรรมของผู้ดูแลระบบ เทคโนโลยีนี้ยังช่วยปรับปรุงความปลอดภัยของฐานข้อมูลโดยการตรวจจับกิจกรรมการอ่านและการอัปเดตฐานข้อมูลที่ผิดปกติจากเลเยอร์แอปพลิเคชัน การรวบรวม การเชื่อมโยง และการรายงานเหตุการณ์ฐานข้อมูลให้ความสามารถในการตรวจสอบฐานข้อมูลโดยไม่จำเป็นต้องเปิดใช้งานฟังก์ชันการตรวจสอบฐานข้อมูลดั้งเดิม (ซึ่งจะใช้ทรัพยากรมากเมื่อระดับการตรวจสอบเพิ่มขึ้น)” ^{[ 2 ]}

จากผลสำรวจของกลุ่มผู้ใช้งาน Oracle อิสระ (IOUG) พบว่า “องค์กรส่วนใหญ่ไม่มีกลไกใด ๆ ที่จะป้องกันไม่ให้ผู้ดูแลระบบฐานข้อมูลและผู้ใช้งานฐานข้อมูลที่มีสิทธิ์พิเศษอื่น ๆ อ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในแอปพลิเคชันทางการเงิน ทรัพยากรบุคคล หรือแอปพลิเคชันทางธุรกิจอื่น ๆ และส่วนใหญ่ยังไม่สามารถตรวจจับการละเมิดหรือเหตุการณ์ดังกล่าวได้ด้วยซ้ำ”

Forresterเรียกหมวดหมู่นี้ว่า “การตรวจสอบฐานข้อมูลและการป้องกันแบบเรียลไทม์” ^{[ 1 ]}

การตรวจสอบโดย AI และเอเจนต์อัตโนมัติ:เนื่องจากระบบ AI เช่น แอป LLM, ไปป์ไลน์ RAG และเอเจนต์อัตโนมัติ เข้าถึงฐานข้อมูลขององค์กรมากขึ้นเรื่อยๆ องค์กรจึงใช้ DAM เพื่อตรวจสอบและตรวจสอบการเข้าถึงนี้ การสืบค้นข้อมูลที่ขับเคลื่อนด้วย AI อาจคาดเดาได้ยาก เนื่องจากสร้างขึ้นจากคำสั่งของผู้ใช้หรือตรรกะของเอเจนต์ ทำให้ยากที่จะกำหนดพฤติกรรมปกติด้วยกฎง่ายๆ นอกจากนี้ ระบบ AI มักใช้บัญชีบริการร่วมหรือคีย์ API ซึ่งซ่อนผู้ใช้ปลายทางที่เรียกใช้คำขอและสร้างช่องว่างด้านความรับผิดชอบสำหรับการเข้าถึงข้อมูลที่ละเอียดอ่อน

DAM สามารถช่วยได้โดยการระบุแหล่งที่มาของกิจกรรมในฐานข้อมูลจากระบบ AI กลับไปยังผู้ใช้หรือคำขอต้นทาง ตรวจจับการดึงข้อมูลที่ผิดปกติหรือมากเกินไป และสนับสนุนการกำกับดูแลข้อมูลที่ดึงมาจากฐานข้อมูลการผลิตสำหรับการฝึกอบรมโมเดล ความเสี่ยงที่เกี่ยวข้องคือ AI เงา ซึ่งพนักงานคัดลอกผลลัพธ์การค้นหาไปยังเครื่องมือ AI ภายนอก ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

การตรวจสอบกิจกรรมของแอปพลิเคชัน:วัตถุประสงค์หลักของการตรวจสอบกิจกรรมของแอปพลิเคชันคือการเพิ่มระดับความรับผิดชอบของผู้ใช้ปลายทางและตรวจจับการฉ้อโกง (และการละเมิดการเข้าถึงโดยไม่ได้รับอนุญาต) ที่เกิดขึ้นผ่านแอปพลิเคชันขององค์กร แทนที่จะเป็นการเข้าถึงฐานข้อมูลโดยตรง

แอปพลิเคชันระดับองค์กรแบบหลายชั้น เช่นOracle EBS , PeopleSoft , JD Edwards , SAP , Siebel Systems , Business Intelligence และแอปพลิเคชันที่กำหนดเองซึ่งสร้างขึ้นบนเซิร์ฟเวอร์ระดับกลางมาตรฐาน เช่นIBM WebSphereและOracle WebLogic Serverจะปกปิดตัวตนของผู้ใช้ปลายทางในระดับธุรกรรมฐานข้อมูล ทำได้โดยใช้กลไกการเพิ่มประสิทธิภาพที่เรียกว่า “การรวมกลุ่มการเชื่อมต่อ” โดยใช้การเชื่อมต่อที่รวมกัน แอปพลิเคชันจะรวบรวมปริมาณการใช้งานของผู้ใช้ทั้งหมดไว้ในการเชื่อมต่อฐานข้อมูลเพียงไม่กี่รายการ ซึ่งระบุได้ด้วยชื่อบัญชีบริการทั่วไปเท่านั้น การตรวจสอบกิจกรรมของแอปพลิเคชันช่วยให้องค์กรสามารถเชื่อมโยงธุรกรรมฐานข้อมูลเฉพาะกับผู้ใช้ปลายทางของแอปพลิเคชัน เพื่อระบุการกระทำที่ไม่ได้รับอนุญาตหรือน่าสงสัย

ความรับผิดชอบของผู้ใช้ปลายทางมักเป็นสิ่งจำเป็นสำหรับ ข้อกำหนด ด้านการกำกับดูแลข้อมูลเช่นพระราชบัญญัติ Sarbanes–Oxleyแนวทางใหม่ของผู้ตรวจสอบบัญชีจากคณะกรรมการกำกับดูแลการบัญชีของบริษัทมหาชน (Public Company Accounting Oversight Board - SOX) สำหรับ การปฏิบัติตาม SOXยังได้เพิ่มความสำคัญของการควบคุมการป้องกันการฉ้อโกงอีกด้วย

การป้องกันการโจมตีทางไซเบอร์: การโจมตี แบบ SQL injectionเป็นการโจมตีประเภทหนึ่งที่ใช้เพื่อแสวงหาประโยชน์จากการเขียนโค้ดที่ไม่ดีในแอปพลิเคชันที่ใช้ฐานข้อมูลเชิงสัมพันธ์ ผู้โจมตีใช้แอปพลิเคชันเพื่อส่ง คำสั่ง SQLที่ประกอบขึ้นจากคำสั่งของแอปพลิเคชันที่ต่อท้ายด้วยคำสั่งเพิ่มเติมที่ผู้โจมตีใส่เข้าไป^{[ 3 ]}

นักพัฒนาแอปพลิเคชันจำนวนมากสร้างคำสั่ง SQL โดยการต่อสตริงเข้าด้วยกันและไม่ได้ใช้คำสั่งเตรียมการ ในกรณีนี้แอปพลิเคชันจะเสี่ยงต่อ การโจมตี แบบ SQL injectionเทคนิคนี้จะเปลี่ยนคำสั่ง SQL ของแอปพลิเคชันจากการเรียกใช้ SQL ที่ไม่เป็นอันตรายไปเป็นการเรียกใช้ที่เป็นอันตรายซึ่งสามารถทำให้เกิดการเข้าถึงที่ไม่ได้รับอนุญาต การลบข้อมูล หรือการขโมยข้อมูลได้^{[ 3 ]}

วิธีหนึ่งที่ DAM สามารถป้องกันการโจมตีแบบ SQL injection ได้คือการตรวจสอบกิจกรรมของแอปพลิเคชัน สร้างฐานข้อมูล "พฤติกรรมปกติ" และระบุการโจมตีโดยพิจารณาจากความแตกต่างจากโครงสร้าง SQL และลำดับปกติ แนวทางอื่น ๆ คือการตรวจสอบหน่วยความจำของฐานข้อมูล ซึ่งทั้งแผนการดำเนินการของฐานข้อมูลและบริบทของคำสั่ง SQL สามารถมองเห็นได้ และสามารถให้การป้องกันแบบละเอียดในระดับวัตถุได้ตามนโยบาย

การตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษ:การตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษ (หรือผู้ใช้ระดับสูงสุด ) เช่นผู้ดูแลระบบฐานข้อมูล (DBA) ผู้ดูแลระบบ (หรือ sysadmin)นักพัฒนาฝ่ายสนับสนุนด้านเทคนิคและบุคลากรภายนอก – ซึ่งโดยทั่วไปจะมีสิทธิ์เข้าถึงฐานข้อมูลขององค์กรได้อย่างไม่จำกัด – เป็นสิ่งสำคัญในการป้องกันภัยคุกคามทั้งจากภายนอกและภายใน การตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษประกอบด้วยการตรวจสอบกิจกรรมและธุรกรรมทั้งหมด การระบุถึงกิจกรรมที่ผิดปกติ (เช่น การดูข้อมูลที่ละเอียดอ่อน หรือการสร้างบัญชีใหม่ที่มีสิทธิ์ระดับสูงสุด) และการตรวจสอบความสอดคล้องของกิจกรรมที่พบ (เช่น การเพิ่มหรือลบตาราง) กับคำขอเปลี่ยนแปลงที่ได้รับอนุญาต

เนื่องจากองค์กรส่วนใหญ่มีการป้องกันในระดับขอบเขตอยู่แล้ว ความกังวลหลักจึงอยู่ที่ความจำเป็นในการตรวจสอบและป้องกันภัยคุกคามจากผู้ใช้ที่มีสิทธิ์พิเศษ ดังนั้นจึงมีความสัมพันธ์อย่างมากระหว่างความปลอดภัยของฐานข้อมูลและความจำเป็นในการป้องกันภัยคุกคามจากบุคคลภายในนี่เป็นงานที่ซับซ้อน เนื่องจากผู้ใช้ที่มีสิทธิ์พิเศษส่วนใหญ่สามารถใช้เทคนิคที่ซับซ้อนในการโจมตีฐานข้อมูลได้ เช่น สตored procedures, triggers, views และ obfuscated traffic ซึ่งการโจมตีเหล่านี้อาจตรวจจับได้ยากด้วยวิธีการแบบดั้งเดิม

นอกจากนี้ เนื่องจากการโจมตีแบบเจาะจงเป้าหมายมักส่งผลให้ผู้โจมตีได้รับข้อมูลประจำตัวของผู้ใช้ที่มีสิทธิ์พิเศษ การตรวจสอบกิจกรรมของผู้ใช้ที่มีสิทธิ์พิเศษจึงเป็นวิธีที่มีประสิทธิภาพในการระบุระบบที่ถูกบุกรุกเช่นกัน

ด้วยเหตุนี้ ผู้ตรวจสอบบัญชีจึงเรียกร้องให้มีการตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษ เพื่อให้เป็นไปตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและกฎระเบียบต่างๆ มากมาย การตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษช่วยให้มั่นใจได้ว่า:

• การปกป้องความเป็นส่วนตัวของข้อมูลเพื่อให้เฉพาะแอปพลิเคชันและผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถดูข้อมูลที่ละเอียดอ่อนได้ • การกำกับดูแลข้อมูลเพื่อให้โครงสร้างและค่าของฐานข้อมูลที่สำคัญจะไม่ถูกเปลี่ยนแปลงนอกเหนือจากขั้นตอนการควบคุมการเปลี่ยนแปลงขององค์กร

จุดบอดในการปฏิบัติงานและการตอบสนองต่อเหตุการณ์ : การตรวจสอบแบบดั้งเดิมมักจะเปิดเผยเหตุการณ์ที่เกี่ยวข้องกับฐานข้อมูลก็ต่อเมื่อเหตุการณ์เหล่านั้นปรากฏให้เห็นแล้ว เช่น ความล่าช้าที่เพิ่มขึ้น ข้อผิดพลาด 5xx การทำงานผิดพลาดของพร็อกซี การลองใหม่ หรือแรงดันหน่วยความจำ ในกรณีเหล่านี้ ทีมอาจใช้เวลามากในการติดตามความล้มเหลวจากระบบปลายทางไปยังการเปลี่ยนแปลงต้นตอในชั้นข้อมูล เช่น การอัปเดตสิทธิ์ การเปลี่ยนแปลงสคีมา หรือการสืบค้นข้อมูลที่ผลลัพธ์เปลี่ยนแปลงไปอย่างกะทันหัน

DAM ถูกใช้เพื่อลดช่องว่างนี้โดยการจัดหาเลเยอร์สัญญาณโดยตรงที่ฐานข้อมูล มันสามารถเน้นให้เห็นว่าคำสั่ง SQL ใดมีการเปลี่ยนแปลงพฤติกรรม ผู้ใช้รายใดเป็นผู้ดำเนินการ และสิทธิ์หรือบทบาทมีการเปลี่ยนแปลงก่อนหน้านั้นหรือไม่ ซึ่งจะช่วยให้ระบุสาเหตุที่แท้จริงได้เร็วกว่าการใช้ข้อมูลการวัดระยะทางจากโครงสร้างพื้นฐานเพียงอย่างเดียว เรื่องนี้ได้รับการกล่าวถึงในการวิเคราะห์หลังเกิดเหตุการณ์ระบบล่ม ซึ่งการเปลี่ยนแปลงสิทธิ์ในฐานข้อมูลเพียงเล็กน้อยทำให้เกิดผลลัพธ์ของคำสั่ง SQL ที่ไม่คาดคิดและส่งผลกระทบเป็นวงกว้าง เช่น เหตุการณ์ระบบล่มของ Cloudflare เมื่อวันที่ 18 พฤศจิกายน 2025

ตามที่ Gartner นิยามไว้ “เครื่องมือ DAM ใช้กลไกการรวบรวมข้อมูลหลายอย่าง (เช่น ซอฟต์แวร์เอเจนต์บนเซิร์ฟเวอร์และตัวเก็บรวบรวมเครือข่ายแบบอินไลน์หรือนอกแบนด์) รวบรวมข้อมูลไว้ในตำแหน่งส่วนกลางเพื่อการวิเคราะห์ และรายงานตามพฤติกรรมที่ละเมิดนโยบายความปลอดภัยและ/หรือลายเซ็น หรือบ่งชี้ถึงความผิดปกติของพฤติกรรม ความต้องการ DAM ส่วนใหญ่เกิดจากความต้องการการตรวจสอบผู้ใช้ที่มีสิทธิ์พิเศษเพื่อแก้ไขปัญหาการตรวจสอบที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนด และจากข้อกำหนดการจัดการภัยคุกคามเพื่อตรวจสอบการเข้าถึงฐานข้อมูล ข้อกำหนด DAM ระดับองค์กรเริ่มขยายวงกว้างออกไปเกินกว่าฟังก์ชันพื้นฐาน เช่น ความสามารถในการตรวจจับกิจกรรมที่เป็นอันตรายหรือการเข้าถึงของผู้ดูแลระบบฐานข้อมูล (DBA) ที่ไม่เหมาะสมหรือไม่ได้รับการอนุมัติ” ^{[ 4 ]}

ฟังก์ชันขั้นสูงของระบบจัดการสินทรัพย์ดิจิทัล (DAM) ประกอบด้วย:

• ความสามารถในการตรวจสอบการโจมตีภายในฐานข้อมูลและช่องโหว่แบบเรียลไทม์ (เช่น สตored procedure, trigger, views เป็นต้น)
• โซลูชันที่ไม่ขึ้นอยู่กับ ตัวแปร โครงสร้างพื้นฐานด้านไอที ส่วนใหญ่ เช่น การเข้ารหัสหรือโครงสร้างเครือข่าย
• การปิดกั้นและการป้องกัน โดยไม่เกี่ยวข้องกับธุรกรรมโดยตรง
• การค้นหาข้อมูลที่มีความเสี่ยงอย่างแข็งขัน
• เพิ่มประสิทธิภาพในการมองเห็นปริมาณการใช้งานแอปพลิเคชัน
• ความสามารถในการตรวจสอบกิจกรรมฐานข้อมูลในสภาพแวดล้อมเสมือนจริง หรือแม้แต่ในระบบคลาวด์ ซึ่งไม่มีโครงสร้างเครือข่ายที่กำหนดไว้อย่างชัดเจนหรือสม่ำเสมอ

นอกจากนี้ บางองค์กรยังมองหาฟังก์ชันอื่นๆ เพิ่มเติม ซึ่งรวมถึง:

• การตรวจสอบการกำหนดค่าเพื่อให้เป็นไปตามข้อกำหนดการตรวจสอบที่กำหนดโดยกฎหมาย Sarbanes–Oxley ของสหรัฐอเมริกา
• ความสามารถของ DLP ที่ช่วยแก้ไขข้อกังวลด้านความปลอดภัย รวมถึงข้อกำหนดด้านการระบุและการปกป้องข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI) และกรอบการกำกับดูแลด้านข้อมูลอื่นๆ
• การรายงานการรับรองสิทธิ์การใช้งานฐานข้อมูล ซึ่งเป็นข้อกำหนดในกฎระเบียบต่างๆ มากมาย
• ความสามารถในการตรวจสอบกิจกรรมฐานข้อมูลในสภาพแวดล้อมเสมือนจริง หรือแม้แต่ในระบบคลาวด์ ซึ่งไม่มีโครงสร้างเครือข่ายที่กำหนดไว้อย่างชัดเจนหรือสม่ำเสมอ
• การผสานรวมที่ดีขึ้นกับผลิตภัณฑ์สแกนช่องโหว่

การดักฟัง:ระบบ DAM รุ่นเก่าส่วนใหญ่จะรวบรวมสิ่งที่ฐานข้อมูลกำลังทำอยู่โดยการ "มองเห็น" การสื่อสารระหว่างไคลเอนต์ฐานข้อมูลและเซิร์ฟเวอร์ฐานข้อมูล สิ่งที่ระบบ DAM ทำคือการค้นหาสถานที่ที่สามารถดูสตรีมการสื่อสารและรับคำขอและการตอบกลับโดยไม่ต้องอาศัยการมีส่วนร่วมจากฐานข้อมูล Database Security Proxy เป็นวิธีการแบบอินไลน์ที่ไม่รบกวนสำหรับ DAM การดักฟังสามารถทำได้ในหลายจุด เช่น หน่วยความจำของฐานข้อมูล (เช่น SGA) ที่เครือข่าย (โดยใช้network TAPหรือพอร์ต SPAN หากการสื่อสารไม่ได้เข้ารหัส) ที่ ระดับ ระบบปฏิบัติการหรือที่ระดับไลบรารีของฐานข้อมูล^{[ 3 ]}

หากมีการรับส่งข้อมูลเครือข่ายที่ไม่ได้เข้ารหัสการดักจับแพ็กเก็ตสามารถนำมาใช้ได้ ข้อดีคือไม่มีการประมวลผลใดๆ เกิดขึ้นบนโฮสต์ แต่ข้อเสียหลักคือทั้งการรับส่งข้อมูลภายในเครือข่ายและการโจมตีภายในฐานข้อมูลที่ซับซ้อนจะไม่สามารถตรวจจับได้ เพื่อดักจับการเข้าถึงภายในเครือข่าย ผู้จำหน่ายอุปกรณ์เครือข่ายบางรายจะติดตั้งโพรบที่ทำงานบนโฮสต์ โพรบนี้จะดักจับการเข้าถึงภายในเครือข่ายทั้งหมด และยังสามารถดักจับการเข้าถึงผ่านเครือข่ายทั้งหมดได้ในกรณีที่คุณไม่ต้องการใช้อุปกรณ์เครือข่าย หรือในกรณีที่การสื่อสารกับฐานข้อมูลถูกเข้ารหัส อย่างไรก็ตาม เนื่องจากเอเจนต์ไม่ได้ทำการประมวลผลทั้งหมด แต่จะส่งต่อข้อมูลไปยังอุปกรณ์ DAM ซึ่งเป็นที่ที่ทำการประมวลผลทั้งหมด จึงอาจส่งผลกระทบต่อประสิทธิภาพของเครือข่ายด้วยการรับส่งข้อมูลภายในเครือข่ายทั้งหมด และการยุติเซสชันแบบเรียลไทม์อาจช้าเกินไปที่จะขัดขวางการสืบค้นที่ไม่ได้รับอนุญาต

แบบใช้หน่วยความจำ:ระบบ DAM บางระบบมีเซ็นเซอร์น้ำหนักเบาที่เชื่อมต่อกับฐานข้อมูลที่ได้รับการป้องกันและสำรวจพื้นที่ส่วนกลางของระบบ (SGA) อย่างต่อเนื่องเพื่อรวบรวม คำสั่ง SQLขณะที่กำลังดำเนินการ สถาปัตยกรรมที่คล้ายกันนี้เคยถูกใช้โดยผลิตภัณฑ์เพิ่มประสิทธิภาพการทำงานที่ใช้ SGA และโครงสร้างข้อมูลที่ใช้ร่วมกันอื่นๆ มาก่อน^{[ 3 ]}

ในเวอร์ชันล่าสุดของเทคโนโลยีนี้ เซ็นเซอร์ขนาดเล็กจะทำงานบนเครื่องโฮสต์และเชื่อมต่อกับกระบวนการใน ระดับ ระบบปฏิบัติการเพื่อตรวจสอบโครงสร้างข้อมูลส่วนตัว ข้อดีของวิธีการนี้มีมากมาย:

• ครอบคลุมการทำธุรกรรมฐานข้อมูลทั้งหมดอย่างสมบูรณ์ — เซนเซอร์นี้ครอบคลุมการรับส่งข้อมูลที่มาจากเครือข่าย จากโฮสต์ รวมถึงจากช่องทางลับ (stored procedures, triggers, views)
• โซลูชันที่ไม่ขึ้นอยู่กับตัวแปรโครงสร้างพื้นฐานด้านไอทีส่วนใหญ่ ไม่จำเป็นต้องออกแบบเครือข่ายใหม่ เปิดพอร์ตสแปน หรือกังวลเกี่ยวกับการจัดการคีย์หากเครือข่ายมีการเข้ารหัส และโมเดลนี้ยังสามารถใช้เพื่อปกป้องฐานข้อมูลที่ใช้งานในสภาพแวดล้อมเสมือนจริงหรือในระบบคลาวด์ได้อีกด้วย

ระบบ DAM แบบอิงตามบันทึก:ระบบ DAM บางระบบวิเคราะห์และดึงข้อมูลจากบันทึกธุรกรรม (เช่น บันทึกการทำซ้ำ) ระบบเหล่านี้ใช้ประโยชน์จากข้อเท็จจริงที่ว่าข้อมูลส่วนใหญ่ถูกจัดเก็บไว้ในบันทึกการทำซ้ำและทำการดึงข้อมูลจากบันทึกเหล่านี้ น่าเสียดายที่ข้อมูลที่จำเป็นทั้งหมดไม่ได้อยู่ในบันทึกการทำซ้ำ ตัวอย่างเช่นคำสั่ง SELECTไม่อยู่ในบันทึกการทำซ้ำ ดังนั้นระบบเหล่านี้จะเพิ่มข้อมูลที่รวบรวมจากบันทึกการทำซ้ำด้วยข้อมูลที่รวบรวมจากบันทึกการตรวจสอบดั้งเดิมดังแสดงในรูปที่ 3 ระบบเหล่านี้เป็นลูกผสมระหว่างระบบ DAM ที่แท้จริง (ซึ่งเป็นอิสระจากDBMS อย่างสมบูรณ์ ) และSIEMซึ่งอาศัยข้อมูลที่สร้างโดยฐานข้อมูล สถาปัตยกรรมเหล่านี้มักจะหมายถึงภาระงานที่มากขึ้นบนเซิร์ฟเวอร์ฐานข้อมูล^{[ 3 ]}

ระบบตรวจสอบกิจกรรมฐานข้อมูล (DAM) สมัยใหม่ บางระบบใช้ตัวกรองแพ็กเก็ต Berkeley แบบขยาย ( eBPF ) ของเคอร์เนล Linux เพื่อสังเกตการเข้าถึงฐานข้อมูลจากระบบปฏิบัติการและรันไทม์ โดยไม่ต้องแก้ไขฐานข้อมูลหรือติดตั้งพร็อกซีแบบอินไลน์ โปรแกรม eBPF สามารถแนบกับเหตุการณ์ของเคอร์เนล เช่น การเรียกใช้ระบบและการดำเนินการซ็อกเก็ตเครือข่าย เพื่อบันทึกเมตาเดตาการเชื่อมต่อฐานข้อมูลและการรับส่งข้อมูล จากนั้นเชื่อมโยงกับบริบทของกระบวนการ เช่น ผู้ใช้ระบบปฏิบัติการ ลำดับชั้นของกระบวนการ และข้อมูลประจำตัวของคอนเทนเนอร์หรือ cgroup ส่วนประกอบในพื้นที่ผู้ใช้สามารถใช้การแยกวิเคราะห์โปรโตคอลเพื่อสร้างการดำเนินการระดับสูงขึ้นใหม่ (เช่น DDL, DML และ SELECT) และระบุว่าเป็นการดำเนินการของบริการหรือผู้ใช้เฉพาะใด

เนื่องจาก eBPF ทำงานในเคอร์เนลภายใต้ข้อจำกัดของผู้ตรวจสอบที่เข้มงวด จึงสามารถให้การมองเห็นที่เหมาะสมกับการใช้งานจริงโดยมีค่าใช้จ่ายต่ำ และยากต่อการหลีกเลี่ยงมากกว่าเอเจนต์ในพื้นที่ผู้ใช้ นอกจากนี้ยังเหมาะอย่างยิ่งสำหรับสภาพแวดล้อมคลาวด์และ Kubernetes ที่เวิร์กโหลดไม่คงที่และการระบุแหล่งที่มาในระดับโฮสต์มีความสำคัญ

การเข้ารหัสเซสชันเป็นข้อจำกัดในบางกรณี เมื่อการรับส่งข้อมูลฐานข้อมูลใช้ TLS การดักจับซ็อกเก็ตแบบง่ายจะเห็นข้อความที่เข้ารหัส แต่ระบบขั้นสูงที่ใช้ eBPF สามารถดักจับข้อความธรรมดาได้โดยการตรวจสอบฟังก์ชันการอ่านและการเขียน TLS ก่อนการเข้ารหัสและหลังการถอดรหัส ซึ่งครอบคลุมสแต็กทั่วไป เช่น OpenSSL, Go, Node และ Python ข้อจำกัดที่สำคัญเพียงอย่างเดียวคือ TLS ที่ใช้ JVM ซึ่งการเข้ารหัสเกิดขึ้นภายใน JVM ทั้งหมด เพื่อให้มั่นใจได้ถึงการมองเห็นที่สมบูรณ์ในสภาพแวดล้อมที่หลากหลาย การใช้งานบางอย่างจึงรวมการตรวจสอบแบบ eBPF เข้ากับการวิเคราะห์บันทึกการตรวจสอบแบบเลือกหรือการตรวจสอบแบบเรียลไทม์