Empower Your Database

Secure Your Data

Not only DAM ，We are UAM

總經理 林俊仁
Benson Lin
 關於庫柏

台灣具有高度研發能力的資料庫管理軟體公司

通過單一窗口提供專業的解決方案
庫柏資訊
資訊管理解決方案的領導公司
領先同業的優秀研發與顧問團隊

專注於數據資安領域
資安事件爆炸性成長

◼五花八門的資安產品與解決方案

◼ 資安千慮，必有一失

◼ 什麼是最後一道防線 ?
資料庫稽核 vs 資安法規

沙賓法案 建立獨立機構來監管上市公司財務數據的可靠性

個資法施行細則必要措施-
個人資料 個人資料的「使用紀錄、軌跡資料及證據保存」
保護法
29條 / 業者需自行證明其無故意或過失者

vs 資通安全
9條 / 公務機關或特定非公務機關，於本法適用範圍
內，委外辦理資通系統之建置、維運或資通服務之提
管理法 供機敏資料存取稽核軌跡紀錄留存
資料庫稽核

上市上櫃 第六章23條 / 建立資通系統及相關設備適當之監控措

施，如：身分驗證失敗、存取資源失敗、重要行為、
公司資通
重要資料異動、功能錯誤及管理者行為等，並針對日
安全管控指引 誌建立適當之保護機制。
資料庫安全稽核系統 (DAM , Database Activities Monitoring )

• 即時監控資料庫所有存取行為，記錄存取資料庫之人＋事＋時＋地＋物

• 提供自動異常偵測，發送告警通知

• 並產出符合法規稽核報表

• 最重要的是，保留軌跡紀錄，做為事件證據及鑑識依據

使用者登入應 登入Application 進入Database 存取資料庫

用系統 Server Server
綜合競爭力最強的DAM產品
 成功案例
電信

金融

學校

政府

其他
來自DAM客戶的聲音
每天記錄的軌跡量越來越多，該如何 硬體資源滿了，但納管DB的存取
處理？ 量越來越大，且還有其他DＢ要納
管，怎麼辦？

如何設定存取量異常…等行為的動態
閾值？
情境都不同，怎麼設告警條件？

如何精準追蹤AP user？
如何知道是誰偷改了訂單明細？
修改應用程式？出事誰負責 ?

SIEM/SOC 該如何整合關聯AP/DB
使用者行為日誌？ 龐大的AP/DB行為日誌紀錄量，
併入SIEM會不會有問題？
SIEM/SOC整合關聯AP/DB使用者行為日誌的難題

如何取得 各種設備／伺服器主機／
DB Activity Log？ 端點的 syslog，如何與AP
／DB Activity Log 關聯呢？

如何取得
時間能同步嗎？
AP Activity Log？

日誌量大小？ 是理想？
License？
還是夢想？
另類思考 : 主客易位

如果SIEM自帶AP/DB使用者
行為的即時日誌，還會有和
其他設備、伺服器主機、End
如果SIEM只關聯和核心營運系
point等各類 syslog時間不同
統的 AP/DB Activity直接或間
步的問題嗎？
接相關的各類syslog，會不會
更有效率且更為即時呢？
科技始終來自於需求- cobraUAM創意發想

UAM = Intelligent ( DAM + AAM )

以AP/DB使用者行為監控為
1 Horizontal Expansion Architecture 5 核心的 SIEM和 SOC

Intelligent Alert with Dynamic Threshold : 具備SIEM功能的AP/DB

2 ML/AI Analytic & Prediction
6 使用者行為智慧監控分析系統

3 100% AP User Tracking

4 AP Activity Monitoring (AAM)

可紀錄應用程式與資料庫的存取行為並提供智慧監控
分析，幫助企業掌握系統的狀態。

12
 全系列產品

CobraUAM — 以全程軌跡監控為核心，開創全新系列產品

UAM Ng-DAM
User Activities Monitoring
使用者行為監控 Database Activities Monitoring.
資料庫活動監控

CobraUAM
LAM Ng-SIEM
Log Activities Monitoring Security Information and Event
日誌行為監控 Management
資安事件管理
(以UAM行為日誌為核心)

13
 產品特色

Scale Out Anywhere

07 系統模組化設計
水平擴展架構 01

結合機器學習的
02 06 專屬個人化儀表板
智慧告警與分析

100%精準追蹤 03 05 關聯規則引擎
應用終端用戶
04

AP到DB
全程使用者行為軌跡

14
 一、Scale Out Anywhere

⚫ CobraUAM兼具ACID特性與NoSQL架構

⚫ 隨著監控規模擴增，cobraUAM所有功能節點均可做水平擴充(Scale Out)

AP Server DB Server AP Server DB Server AP Server DB Server

15
二、結合機器學習的動態智慧告警與分析

ML/AI做異常行為分析，智能動態產生告警閾值

異常判斷 Multi-Layer Alert

ITEM 1

軌跡關聯 1 Policy Alert

告警通知 2 Event Alert

機器學習 3 Behavior Alert

16
三、UAM精準追蹤終端用戶
⚫ UAM (User Activities Monitor) = AP Activities + Ng-DAM

⚫ 100%精準追蹤應用系統使用者

Client Application Database

Server Server
Client
Client
Application Database
Activities Activities
Ng-DAM
Correlation rule Engine

Application Time of Application Dymanic Destination SQL Data

system Transactions User Client IP IP Add.

Client Web
Time SQL Data
User APP

17
四、UAM全程軌跡監控

Client to AP to DB全程軌跡資訊鉅細靡遺

網頁操作行為 Application
Processing
Program 資料庫軌跡記錄

Browser Web AP Database

Client 存取資料庫行為 Server
五、應用系統特定群組使用者行為追蹤與分析

1. 總覽資訊 2. 檢視設定的時間
區間內，是否有異
常的瀏覽次數出現

4. 根據左側有疑問的使用者，
可以查看對應的log，並根據
URL，分析使用者行為

3. 檢視個別使用者瀏覽次數
是否異常?

19
 六、LAM 日誌行為監控

⚫ 當管理平台具備以下功能 AP Server DB Server AP Server DB Server

⚫ Scale Out Anywhere

⚫ 多層級監控告警
⚫ 機器學習的動態智慧告警與分析

⚫ 具備各種設備的Syslog Parser

機器學習
➢ 日誌管理
LAM 日誌行為監控系統 異常判斷
( Log Activities Monitoring)
告警通知
七、以「UAM行為日誌」為事件核心的Ng-SIEM
◆ 傳統SIEM匯集各種系統日誌資訊，凌亂如同拼圖碎片，且與AP/DB行為日誌時間
不同步，難以有效關聯分析
◆ 以「UAM軌跡」日誌為核心
以 LAM (Log Activity Monitoring)日誌行為監控系統為基底
同步關聯直接或間接相關的系統日誌，簡化關聯規則，快速發現核心事件的全貌

Log Activities
UAM
activities

21
八、專屬個人化使用介面

⚫ cobraUAM可依據職務需求，彈性客製個人專屬使用介面(UI)

CSO

Information
Security Officer

Auditor

22
九、CobraUAM系統模組化設計

⚫ CobraUAM採用系統模組化設計，可隨需求擴充相關功能模組

UAM Ng-DAM
User Activities Monitoring Database Activities Monitoring.
使用者行為監控 資料庫活動監控

Ng-SIEM
LAM Security Information and
Log Activities Monitoring Event Management
系統日誌行為監控 資安事件管理
(以UAM行為日誌為核心)

Other Module

23
請借我們一分鐘，填寫問卷！