Lab · Module 19 Investigation Lab

Insider Misuse Detection in a Centralized Database

ตรวจจับการสืบค้นฐานข้อมูลกลางที่ไม่เกี่ยวกับงาน — แยกออกจากการเข้าถึงที่ถูกต้อง

🎯 ภารกิจของผู้เรียน

ดาวน์โหลด Audit Log คัดลอก Prompt ไปวางใน AI พร้อมแนบไฟล์ แล้วตรวจสอบว่า AI ระบุการสืบค้นที่ไม่สอดคล้องกับการใช้งานตามหน้าที่ และแยกออกจากการเข้าถึงที่อ้างอิงคดีอย่างถูกต้องได้หรือไม่

⚖️ กรอบการใช้งานอย่างรับผิดชอบ (ความอ่อนไหวสูง)

ผลลัพธ์เป็น สัญญาณเชิงตรวจสอบภายใน (compliance red flag) สำหรับส่งต่อให้กระบวนการสอบสวนภายในที่เป็นทางการเท่านั้น ไม่ใช่ ข้อสรุปว่ามีการประพฤติมิชอบ ต้องเปิดโอกาสให้ผู้ถูกตรวจสอบชี้แจงก่อนสรุป เพราะบางรายการที่ถูก flag อาจมีคำอธิบายที่ชอบด้วยเหตุผล ต้องเคารพหลักความเป็นธรรมและ due process

✅ ตัวอย่าง: ตรวจจับการสืบค้นโดยไม่ได้รับอนุญาตในระบบทะเบียนกลาง 📥 Download Mock Data
📋 สถานการณ์ (Scenario)

หน่วยมาตรฐานวิชาชีพตรวจสอบ query log ของระบบทะเบียนราษฎร/ประวัติอาชญากรรมกลาง เพื่อตรวจจับการใช้งานในทางที่ผิด — การสืบค้นฐานข้อมูลด้วยเหตุผลส่วนตัวที่ไม่เกี่ยวกับงาน Log มีทั้งตัวบ่งชี้การใช้ผิดและการเข้าถึงที่อ้างอิงคดีอย่างถูกต้อง ภารกิจคือ flag รูปแบบการเข้าถึงที่ไม่สอดคล้องกับการใช้งานที่ได้รับอนุญาตเพื่อส่งให้ตรวจสอบภายใน

📊 ตัวอย่างข้อมูลดิบ (Mock Raw Data) — snake_case schema

query_time,officer_id,queried_subject,case_ref,query_reason,terminal_id 2026-04-01 09:10,off_22,citizen_a,case_5567,investigation,term_03 2026-04-01 22:40,off_22,ex_partner_name,,personal_check,term_09 2026-04-02 23:15,off_22,celebrity_x,,curiosity,term_09 2026-04-02 23:18,off_22,neighbor_y,,none,term_09 2026-04-03 10:00,off_45,citizen_b,case_5570,investigation,term_05

📝 Prompt สำหรับผู้เรียน (คัดลอกไปใช้กับ AI)

You are a data-governance analyst conducting an access audit. Using the attached query log:
1. Identify queries inconsistent with legitimate operational use, citing the absence of a case reference, off-hours timing, and the stated reason.
2. Distinguish the misuse pattern from legitimate, case-linked access (state which entries are properly authorized).
3. Summarize the misuse pattern (who, when, from which terminal, against whom).
4. Recommend the next governance step.
Present an access-misuse summary for internal-audit referral. State explicitly that this is a compliance red flag warranting a formal review process — not a finding of misconduct — and acknowledge that some flagged queries may have legitimate explanations that the audit must allow the individual to provide before any conclusion.