Query Monitoring / Sorgu İzleme, bir veritabanı üzerinde gerçekleştirilen SQL sorgularının ve veri erişim taleplerinin gerçek zamanlı olarak takip edilmesidir. Infostealer saldırganları, çalınan yönetici kimlik bilgilerini kullanarak veritabanından toplu veri çekmeye çalıştığında, bu sistem anormal sorguları tespit ederek alarm üretir.
Bir siber saldırganın nihai hedefi genellikle şirketin ana veritabanına ulaşıp müşteri bilgilerini veya finansal kayıtları çalmaktır. Query Monitoring / Sorgu İzleme, veritabanına giden her komutu denetleyerek, bir Infostealer tarafından çalınmış bir yetkili hesabın "olağan dışı" hareketlerini tespit etmemizi sağlar.
Saldırgan yetkili bir hesabı ele geçirse bile, sorgu izleme sistemi şu durumlarda müdahale eder:
Toplu Veri Çekme: Normalde günde 10 kayıt sorgulayan bir hesabın aniden tüm tabloyu (Örn: SELECT * FROM Customers) indirmeye çalışması.
Query Monitoring, bir veri sızıntısının (Exfiltration) gerçekleştiği en derin noktadır. Dark Radar gibi platformlar, bu sorgu loglarını analiz ederek çalınan kimlik bilgilerinin "sessizce" veri tabanını boşaltmasını engeller. Eğer bir sorgu şüpheli bulunursa, oturum anında sonlandırılabilir.
Zafiyet analizleri sadece uygulama açıklarına bakmaz; aynı zamanda veritabanı sorgu loglarının ne kadar etkili tutulduğunu da inceler. İzleme yapılmayan bir veritabanı, bir Infostealer için "açık büfe" gibidir.
Özetle; Sorgu İzleme, verilerinizin bulunduğu kasanın her açılışını ve içeride yapılan her işlemi kaydeder. Yetkili hesapların suistimal edilmesine karşı en güçlü savunma hatlarından biridir.
