eBPF yakalamaDB/uygulama değişikliği yokDB’ye yok denecek etki

Her sorgu. Her veritabanı.Kernel seviyesinde izlenir.

PostgreSQL ve MongoDB için eBPF tabanlı aktivite izleme — tam yakalama, ~40 tehdit kuralı, uyum etiketli, veritabanı performansına yok denecek etki.

Yakala
Tespit
Depola
Raporla
postgres · session 41883
SELECT * FROM cards WHERE 1=1;
Critical sql_injection · tagged PCI-DSS 6.5.1

Kernel seviyesi yakalama → gerçek-zamanlı tespit → ClickHouse → denetime hazır raporlar

PostgreSQL + MongoDB
tek yakalama motoru
40+
tespit kuralı
Gerçek-zamanlı
tespit izleme
Özel kurallar
motoru genişlet
E-posta & Slack
gerçek-zamanlı uyarı
Yok denecek
DB performans etkisi
PCI · HIPAA · GDPR · KVKK
uyum etiketli

Sorun

Klasik DAM, artık var olmayan bir dünya için tasarlandı.

Ağ tap’leri loopback ve şifreli trafiği kaçırır. Veritabanı-içi agent’lar overhead ekler, sürüm yükseltmede bozulur. Her iki durumda da kör noktalar, gecikme ve geçemediğin denetimler kalır. Mergen kernel’dan eBPF ile izler — tam görünürlük, sorgu yolunda hiçbir şey yok.

Ağ tap / DB agent

  • Yerel & TLS trafiğine kör
  • Sorgu-yolu gecikmesi
  • Sürüm yükseltmede bozulur

Mergen — host’ta eBPF

  • Her sorguyu görür
  • Sorgu-yolu overhead’i sıfır
  • Sürücü/proxy değişikliği yok

Mergen nasıl çalışır

Yakala → Tespit → Uyum → Raporla

01

Yakala

eBPF prob’ları her PostgreSQL ve MongoDB ifadesini wire üzerinde yeniden kurar — yerel, TCP veya TLS.

02

Tespit

~40 kural SQL injection, veri sızdırma, yetki suistimali ve RCE’yi gerçek zamanlı puanlar.

03

Uyum

Her tespit, denetçinin sorduğu kontrole otomatik etiketlenir — PCI, HIPAA, GDPR, KVKK.

04

Raporla

Her şey ClickHouse’a düşer; konsolda her sorguyu ara, denetim raporu dışa aktar.

Kaputun altında

Kernel prob’undan denetim raporuna

01

eBPF yakalama

Kernel seviyesi prob’lar ham wire akışını veritabanının yanında yakalar — sorgu yolunda agent yok.

02

Ayrıştır & yeniden kur

Protokol framer her oturum ve ifadeyi yeniden kurar; kullanıcı, kaynak IP ve uygulamayı ilişkilendirir.

03

Tespit et & etiketle

~40 kural her ifadeyi değerlendirir ve isabetleri uyum çerçevelerine etiketler.

04

Depola & raporla

Tespitler ClickHouse’a akar; konsol bunları aranabilir, dışa aktarılabilir denetim kanıtına çevirir.

Tespit derinliği

Dört saldırı sınıfında ~40 kural

Sonradan eklenmiş bir imza listesi değil — tespit, yakalama motorunun içine gömülü; klasik injection’dan kernel-yakını RCE’ye.

SQL / NoSQL injection

Totoloji, UNION, stacked, blind/time-based, JSONB filtre atlatma, Mongo $where & operatör injection.

Veri sızdırma

Toplu dışa aktarma, byte-hacmi ve zaman-deseni anomalileri, dosya/LO fonksiyonları, COPY, aggregation dump.

Yetki suistimali

Rol taklidi, tehlikeli GRANT (superuser/dosya/exec rolleri), BYPASSRLS, yetki-yükseltme zincirleri.

RCE & kalıcılık

COPY … PROGRAM, güvenilmeyen fonksiyon/extension, ALTER SYSTEM kod-yükleme, event-trigger backdoor.

Uyum

İzlemeyi denetim kanıtına çevir

Her tespit, denetçinin sorduğu standarda eşlenir. KVKK first-class — veri yerelleştirmesi için on-prem ClickHouse ile.

KVKKPCI DSSHIPAAGDPR

KVKK Madde 12 · VERBİS · özel nitelikli veri (Kurul 2018/10) — kurallara ve raporlara eşlenir.

Kapsam

Bugün PostgreSQL ve MongoDB

Aynı eBPF yakalama motoru her ikisini de kapsar — yol haritasında daha fazla veri deposu.

PostgreSQL 14–18MongoDB 6–8TLS & loopbackDağıtım-bağımsız CO-RE

Raporlama konsolu

Her sorguyu ara. Raporu kur. Denetimi dışa aktar.

ClickHouse üstünde hızlı web konsolu: canlı tespitler, kural ve kullanıcı bazlı raporlar, uyum görünümleri ve filo yönetimi.

  • Canlı tespit akışı
  • Uyum rapor paketleri
  • Filo & agent yönetimi
  • Rol bazlı erişim (RBAC)
Detectionslast 24h
sql_injectionCritical
excessive_data_exportWarning
dangerous_grantCritical
login_failedWarning
login_successInfo

Mergen’i kendi verinde gör.

Kendi ortamında kısa bir PoC — canlı yakalama, tespit turu ve bir uyum raporu.