Her sorgu. Her veritabanı.Kernel seviyesinde izlenir.
PostgreSQL ve MongoDB için eBPF tabanlı aktivite izleme — tam yakalama, ~40 tehdit kuralı, uyum etiketli, veritabanı performansına yok denecek etki.
SELECT * FROM cards WHERE 1=1;
Kernel seviyesi yakalama → gerçek-zamanlı tespit → ClickHouse → denetime hazır raporlar
Sorun
Klasik DAM, artık var olmayan bir dünya için tasarlandı.
Ağ tap’leri loopback ve şifreli trafiği kaçırır. Veritabanı-içi agent’lar overhead ekler, sürüm yükseltmede bozulur. Her iki durumda da kör noktalar, gecikme ve geçemediğin denetimler kalır. Mergen kernel’dan eBPF ile izler — tam görünürlük, sorgu yolunda hiçbir şey yok.
Ağ tap / DB agent
- ✕Yerel & TLS trafiğine kör
- ✕Sorgu-yolu gecikmesi
- ✕Sürüm yükseltmede bozulur
Mergen — host’ta eBPF
- ✓Her sorguyu görür
- ✓Sorgu-yolu overhead’i sıfır
- ✓Sürücü/proxy değişikliği yok
Mergen nasıl çalışır
Yakala → Tespit → Uyum → Raporla
Yakala
eBPF prob’ları her PostgreSQL ve MongoDB ifadesini wire üzerinde yeniden kurar — yerel, TCP veya TLS.
Tespit
~40 kural SQL injection, veri sızdırma, yetki suistimali ve RCE’yi gerçek zamanlı puanlar.
Uyum
Her tespit, denetçinin sorduğu kontrole otomatik etiketlenir — PCI, HIPAA, GDPR, KVKK.
Raporla
Her şey ClickHouse’a düşer; konsolda her sorguyu ara, denetim raporu dışa aktar.
Kaputun altında
Kernel prob’undan denetim raporuna
eBPF yakalama
Kernel seviyesi prob’lar ham wire akışını veritabanının yanında yakalar — sorgu yolunda agent yok.
Ayrıştır & yeniden kur
Protokol framer her oturum ve ifadeyi yeniden kurar; kullanıcı, kaynak IP ve uygulamayı ilişkilendirir.
Tespit et & etiketle
~40 kural her ifadeyi değerlendirir ve isabetleri uyum çerçevelerine etiketler.
Depola & raporla
Tespitler ClickHouse’a akar; konsol bunları aranabilir, dışa aktarılabilir denetim kanıtına çevirir.
Tespit derinliği
Dört saldırı sınıfında ~40 kural
Sonradan eklenmiş bir imza listesi değil — tespit, yakalama motorunun içine gömülü; klasik injection’dan kernel-yakını RCE’ye.
SQL / NoSQL injection
Totoloji, UNION, stacked, blind/time-based, JSONB filtre atlatma, Mongo $where & operatör injection.
Veri sızdırma
Toplu dışa aktarma, byte-hacmi ve zaman-deseni anomalileri, dosya/LO fonksiyonları, COPY, aggregation dump.
Yetki suistimali
Rol taklidi, tehlikeli GRANT (superuser/dosya/exec rolleri), BYPASSRLS, yetki-yükseltme zincirleri.
RCE & kalıcılık
COPY … PROGRAM, güvenilmeyen fonksiyon/extension, ALTER SYSTEM kod-yükleme, event-trigger backdoor.
Uyum
İzlemeyi denetim kanıtına çevir
Her tespit, denetçinin sorduğu standarda eşlenir. KVKK first-class — veri yerelleştirmesi için on-prem ClickHouse ile.
KVKK Madde 12 · VERBİS · özel nitelikli veri (Kurul 2018/10) — kurallara ve raporlara eşlenir.
Kapsam
Bugün PostgreSQL ve MongoDB
Aynı eBPF yakalama motoru her ikisini de kapsar — yol haritasında daha fazla veri deposu.
Raporlama konsolu
Her sorguyu ara. Raporu kur. Denetimi dışa aktar.
ClickHouse üstünde hızlı web konsolu: canlı tespitler, kural ve kullanıcı bazlı raporlar, uyum görünümleri ve filo yönetimi.
- ▸Canlı tespit akışı
- ▸Uyum rapor paketleri
- ▸Filo & agent yönetimi
- ▸Rol bazlı erişim (RBAC)
Mergen’i kendi verinde gör.
Kendi ortamında kısa bir PoC — canlı yakalama, tespit turu ve bir uyum raporu.