Trust Center-Überblick¶

Sie können das Trust Center nutzen, um potenzielle Sicherheitsrisiken in Ihren Snowflake-Konten zu bewerten, zu überwachen und zu reduzieren. Das Trust Center evaluiert jedes Snowflake-Konto anhand von Empfehlungen, die in Scannern angegeben sind. Scanner können Ergebnisse generieren. Trust Center-Ergebnisse bieten Informationen darüber, wie Sie potenzielle Sicherheitsrisiken in Ihrem Snowflake-Konto reduzieren können. Nicht jede Scanner-Ausführung generiert ein Ergebnis. Eine Scanner-Ausführung, die kein Sicherheitsproblem findet, erzeugt kein Ergebnis im Trust Center. Sie können das Trust Center auch verwenden, um proaktive Benachrichtigungen zu konfigurieren, die Ihnen helfen, Ihr Konto auf Sicherheitsrisiken zu überwachen.

Häufige Trust Center-Anwendungsfälle¶

Weitere Informationen zur Verwendung des Trust Centers zum Reduzieren von Sicherheitsrisiken in Ihrem Snowflake-Konto finden Sie unter folgenden Themen:

Einschränkungen¶

Snowflake-Lesekonten werden nicht unterstützt.

Erforderliche Rollen¶

Um Scanner und ihre Ergebnisse über das Trust Center anzuzeigen oder zu verwalten, muss ein Benutzender mit der ACCOUNTADMIN-Rolle Ihrer Rolle die SNOWFLAKE.TRUST_CENTER_VIEWER- oder SNOWFLAKE.TRUST_CENTER_ADMIN-Anwendungsrolle gewähren.

In der folgenden Tabelle sind allgemeine Aufgaben aufgeführt, die Sie über die Benutzeroberfläche von Trust Center ausführen, sowie die Mindestanwendungsrolle, die Ihre Rolle zur Ausführung dieser Aufgaben benötigt:

Bemerkung

Wenn Sie das Trust Center im Organisationskonto verwenden, verwenden Sie die GLOBALORGADMIN-Rolle und nicht die Rolle ACCOUNTADMIN, um die Trust Center-Anwendungsrollen zuzuweisen.

In der folgenden Tabelle finden Sie Informationen darüber, welche Anwendungsrollen Sie für den Zugriff auf bestimmte Registerkarten im Trust Center benötigen:

Aufgabe	Trust Center-Registerkarte	Mindestens erforderliche Anwendungsrolle	Anmerkungen
Anzeigen der Ergebnisse aus der Erkennung	Detections	`SNOWFLAKE.TRUST_CENTER_VIEWER`	Die Rolle `SNOWFLAKE.TRUST_CENTER_ADMIN` kann auch Erkennungen anzeigen.
Ergebnisse zu Verstößen anzeigen	Violations	`SNOWFLAKE.TRUST_CENTER_VIEWER`	Die Rolle `SNOWFLAKE.TRUST_CENTER_ADMIN` kann auch Verstöße anzeigen.
Lebenszyklus für Ergebnisse zu Verstößen verwalten	Violations	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Keine.
Scanner-Pakete verwalten	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Keine.
Scanner verwalten	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Keine.
Verstöße auf Organisationsebene anzeigen	Organization	`ORGANIZATION_SECURITY_VIEWER` und `SNOWFLAKE.TRUST_CENTER_ADMIN`	Die Registerkarte Organization ist nur in Organisationskonten sichtbar.

Sie können eine kundenspezifische Rolle erstellen, die nur Ansichtszugriff auf die Registerkarten Violations und Detections bietet. Sie können auch eine separate Rolle auf Administratorebene erstellen, um Verstöße und Scanner zu verwalten, indem Sie die Registerkarte Violations und Manage scanners verwenden. Um beispielsweise diese beiden unterschiedlichen Rollen zu erstellen, führen Sie die folgenden Befehle aus:

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;

Copy

Bemerkung

Dieses Beispiel soll keine Empfehlung für eine vollständige Rollenhierarchie zur Verwendung des Trust Centers darstellen. Weitere Informationen dazu finden Sie in den einzelnen Unterabschnitten unter Verwenden des Trust Centers.

Verwenden von privater Konnektivität mit Trust Center¶

Das Trust Center unterstützt private Konnektivität. Weitere Informationen finden Sie unter Verwendung der privaten Konnektivität.

Trust Center-Ergebnisse¶

Die Trust Center-Ergebnisse umfassen zwei Arten von Erkenntnissen: Verstöße und Erkennungen. Beide Ergebnisarten werden von Scannern generiert, während sie in Ihren Snowflake-Konten ausgeführt werden.

Sie können die Ergebnisse auf Organisationsebene überprüfen, oder Sie können die Ergebnisse für ein bestimmtes Konto genauer untersuchen.

Bemerkung

Derzeit können Sie die Erkennungsergebnisse nicht auf Organisationsebene anzeigen.

Erkenntnisse auf Organisationsebene¶

Die Registerkarte Organization bietet einen Einblick in die Ergebnisse zu Verstößen, die in allen Konten der Organisation generiert werden. Die Registerkarte enthält die folgenden Informationen:

Die Anzahl der Verstöße in der Organisation.
Die Konten mit den schwerwiegendsten Verstößen.
Die Anzahl der Verstöße für jedes Konto in der Organisation. Sie können ein Konto auswählen, um die einzelnen Verstöße in dem Konto im Detail anzuzeigen.

Bemerkung

Sie können die Registerkarte Organization nicht verwenden, um Verstöße zu beheben oder erneut zu öffnen. Um diese Aktionen durchzuführen, melden Sie sich bei dem Konto mit dem Verstoß an, und öffnen Sie die Registerkarte Violations.

Um auf die Registerkarte Organization zugreifen zu können, müssen die folgenden Anforderungen erfüllt sein:

Melden Sie sich bei dem Konto der Organisation an.
Verwenden Sie eine Rolle, die über die Anwendungsrolle ORGANIZATION_SECURITY_VIEWER verfügt. Sie müssen auch eine Trust Center-Anwendungsrolle haben.

Erkenntnisse auf Kontoebene¶

Scanner finden und melden Verstöße und Erkennungsergebnisse über das Trust Center. Ein Verstoß bleibt über die Zeit bestehen und stellt eine Konfiguration dar, die nicht mit den Anforderungen eines Scanners übereinstimmt. Eine Erkennung erfolgt einmalig und stellt ein einmaliges Ereignis dar. Sie können das Trust Center nutzen, um Ergebnisse für Ihr Konto einzusehen und zu verwalten. Weitere Informationen dazu finden Sie unter Verwenden des Trust Centers.

Verstöße¶

Ein Scanner kann eine Entität jederzeit untersuchen und nur anhand ihrer aktuellen Konfiguration feststellen, ob es sich um einen Verstoß handelt. Scanner melden weiterhin Verstöße, es sei denn, Sie ändern die Konfiguration, um die Verstöße zu beheben. Ein Scanner meldet zum Beispiel einen Verstoß, wenn einige Benutzende keine mehrstufige Authentifizierung (MFA) konfiguriert haben.

Die Registerkarte Violations stellt Informationen zu den Scannerergebnissen auf Kontoebene bereit. Die Registerkarte enthält die folgenden Informationen:

Ein Diagramm der Scanner-Verstöße im zeitlichen Verlauf und farblich kodiert nach niedrigem, mittlerem, hohem und kritischem Schweregrad.
Eine interaktive Liste für jeden gefundenen Verstoß. Jede Zeile der Liste enthält Details zu dem Verstoß, zum Zeitpunkt der letzten Ausführung des Scanners und darüber, wie der Verstoß behoben werden kann.

Anhand der Verstöße können Sie Snowflake-Konfigurationen in dem Konto identifizieren, die gegen die Anforderungen von aktivierten Scanner-Paketen verstoßen. Für jeden Verstoß bietet das Trust Center eine Erläuterung, wie Sie den Verstoß beheben können. Nachdem Sie einen Verstoß behoben haben, wird der Verstoß weiterhin auf der Registerkarte Violations angezeigt, bis die nächste geplante Ausführung des Scanner-Pakets beginnt, das den Scanner enthält, der den Verstoß gemeldet hat, oder bis Sie das Scanner-Paket manuell ausführen.

Wenn Sie bei dem Konto mit den Verstößen angemeldet sind, können Sie die Registerkarte Violations verwenden, um die folgenden Aktionen auszuführen:

Testen Sie die Verstöße, die auf Sie zutreffen, und zeichnen Sie die entsprechenden Hinweise oder Fortschrittsprotokolle auf.
Beheben oder eröffnen Sie Verstöße aus beliebigem Grund erneut und dokumentieren Sie die Begründung für Prüfzwecke.
Sortieren oder filtern Sie Verstöße nach Schweregrad, Scanner-Paket, Scanner-Version, Zeit des Scannens, aktualisierter Zeit oder Status.
Fügen Sie Gründe für eine Änderung des Verstoßstatus hinzu, um eine eindeutige Aufzeichnung der ausgeführten Maßnahmen zu ermöglichen.

Sie können Verstöße beheben, indem Sie die Konfiguration ändern. Bei einem Verstoß bietet das Trust Center Vorschläge zur Behebung des Verstoßes. Nachdem Sie das Problem behoben haben, meldet das Trust Center den Verstoß nicht mehr. Sie können auch den Lebenszyklus einer Verstoßerkennung verwalten, indem Sie den Status in Resolved ändern. E-Mail-Benachrichtigungen werden bei behobenen Verstößen unterdrückt. Die Unterdrückung verhindert weitere Benachrichtigungen, während Sie daran arbeiten, die zugrunde liegenden Fehlkonfigurationen zu beheben. Ein behobener Verstoß generiert keine Benachrichtigung mehr.

Erkennungen¶

Eine Erkennung stellt ein Ereignis dar, das zu einem bestimmten Zeitpunkt stattgefunden hat. Die folgenden Ergebnisse sind Beispiele für Ereignisse, die als Erkennungen gemeldet werden könnten:

Anmeldeereignisse, die von einer nicht erkannten IP-Adresse stammen.
Eine große Datenmenge wurde in einen externen Stagingbereich übertragen.
Eine Aufgabe wies eine hohe Fehlerrate zwischen zwei Zeitpunkten auf.

Scanner melden jede Erkennung auf der Grundlage eines Ereignistriggers. Beispielsweise meldet ein Scanner eine Erkennung, wenn er ein verdächtiges Anmeldeereignis erkennt, und meldet eine separate Erkennung, wenn er zu einem anderen Zeitpunkt ein anderes verdächtiges Anmeldeereignis erkennt. Bei einer Erkennung stellt das Trust Center Informationen über das Ereignis bereit. Da das Ereignis einmalig ist und in der Vergangenheit stattgefunden hat, ist eine direkte Behebung einer Erkennung nicht möglich.

Anhand der Informationen, die das Trust Center bereitstellt, können Sie untersuchen, ob die Erkennung von Bedeutung ist. Wenn die Erkennung von Bedeutung ist, können Sie Maßnahmen ergreifen, um ähnliche Ereignisse in Zukunft zu verhindern.

Bemerkung

Wenn der Scanner, der die Erkennung gemeldet hat, erneut ausgeführt wird, meldet er möglicherweise ähnliche Erkennungen. Derzeit können Sie den Lebenszyklus einer Erkennung nicht verwalten.

Weitere Informationen zum Verwalten von Erkennungen finden Sie unter Erkennungen anzeigen.

Scanner¶

Ein Scanner ist ein Hintergrundprozess, der Ihr Konto auf Sicherheitsrisiken überprüft, die auf den folgenden Kriterien basieren:

Konfiguration Ihres Kontos
Anomalie-Ereignisse

Das Trust Center gruppiert Scanner in Scanner-Pakete. Die Scanner-Details enthalten Informationen darüber, welche Sicherheitsrisiken der Scanner in Ihrem Konto prüft, wann der Scanner ausgeführt wird und wer Benachrichtigungen über die Ergebnisse des Scanners für Ihr Konto erhält. Um die Details für einen bestimmten Scanner anzuzeigen, folgen Sie den Anweisungen unter Anzeigen von Details zu einem Scanner.

Zeitplanbasierte Scanner¶

Zeitplanbasierte Scanner werden gemäß ihren Zeitplänen zu bestimmten Zeiten ausgeführt. Sie müssen ein Scanner-Paket aktivieren, bevor Sie den Zeitplan für einen Scanner ändern können. Weitere Informationen zum Ändern des Zeitplans für einen Scanner finden Sie unter Den Zeitplan für einen Scanner ändern.

Ereignisgesteuerte Scanner¶

Ereignisgesteuerte Scanner generieren Erkennungen, die auf relevanten Ereignissen basieren. Beispiele sind Scanner, die Anmeldungen von ungewöhnlichen IP-Adressen erkennen, und Scanner, die Änderungen an sensiblen Parametern erkennen. Sie können einen ereignisgesteuerten Scanner nicht planen, da ein Ereignis und nicht ein Zeitplan die Erkennung steuert, die ein ereignisgesteuerter Scanner erzeugt. Das Trust Center meldet Erkennungen, die von ereignisgesteuerten Scannern erzeugt werden, innerhalb einer Stunde nach dem Zeitpunkt eines Ereignisses.

Ein ereignisbasierter Scanner kann Ereignisse erkennen, die ein zeitplanbasierter Scanner übersehen könnte. Denken Sie zum Beispiel an einen zeitplanbasierten Scanner, der den TRUE- oder FALSE-Status eines booleschen Parameters einmal alle 10 Minuten erkennt. Das Umschalten – d. h. das Ändern des Status – des Werts dieses Parameters von TRUE in FALSE und dann zurück zu TRUE, bevor 10 Minuten verstrichen sind, würde aber vom zeitplanbasierten Scanner nicht erkannt werden. Ein ereignisbasierter Scanner, der jede Statusänderung erkennt, würde beide Ereignisse erkennen.

Eine aktuelle Liste der ereignisgesteuerten Scanner finden Sie unter Threat Intelligence Scanner-Paket.

Bemerkung

Ereignisgesteuerte Scanner können als mehrere Elemente im Ansicht METERING_HISTORY angezeigt werden.

Scanner-Pakete¶

Scanner-Pakete enthalten eine Beschreibung und eine Liste von Scannern, die ausgeführt werden, wenn Sie das Scanner-Paket aktivieren. Nachdem Sie ein Scanner-Paket aktiviert haben, wird das Paket sofort ausgeführt, unabhängig vom konfigurierten Zeitplan. Nachdem Sie ein Scanner-Paket aktiviert haben, können Sie einzelne Scanner im Scanner-Paket aktivieren oder deaktivieren. Ihre Rolle muss die SNOWFLAKE.TRUST_CENTER_ADMIN-Anwendungsrolle haben, um Scanner mithilfe der Registerkarte Manage scanners zu verwalten. Weitere Informationen dazu finden Sie unter Erforderliche Rollen.

Die folgenden Scanner-Pakete sind verfügbar:

Security Essentials Scanner-Paket
CIS Benchmarks Scanner-Paket
Threat Intelligence Scanner-Paket

Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, sowie darüber, wie Sie den Zeitplan für ein Scanner-Paket ändern können und wie Sie die Liste der aktuellen Scanner in einem Paket anzeigen, finden Sie unter den folgenden Themen:

Standardmäßig sind Scanner-Pakete deaktiviert, mit Ausnahme von Security Essentials Scanner-Paket.

Security Essentials Scanner-Paket¶

Das Scanner-Paket Security Essentials durchsucht Ihr Konto, um zu überprüfen, ob Sie die folgenden Empfehlungen eingerichtet haben:

Sie verfügen über eine Authentifizierungsrichtlinie, die alle menschlichen Benutzenden dazu zwingt, sich für die mehrstufige Authentifizierung (MFA) anzumelden, wenn sie zur Authentifizierung Kennwörter verwenden.
Alle menschlichen Benutzer sind bei MFA angemeldet, wenn sie Kennwörter zur Authentifizierung verwenden.
Sie richten eine Netzwerkrichtlinie auf Kontoebene ein, die so konfiguriert wurde, dass sie nur den Zugriff von vertrauenswürdigen IP-Adressen erlaubt.
Sie richten eine Ereignistabelle ein, wenn Ihr Konto die Freigabe von Ereignissen für eine native App aktiviert hat, sodass Ihr Konto eine Kopie der Protokollnachrichten und Ereignisinformationen erhält, die mit dem Anbieter der App geteilt werden.

Dieses Scanner-Paket scannt nur Benutzende, die menschlichen Benutzende sind. d. h. Benutzerobjekte mit einer TYPE -Eigenschaft von PERSON oder NULL haben. Weitere Informationen dazu finden Sie unter Benutzertypen.

Das Scannper-Paket Security Essentials:

Ist standardmäßig aktiviert. Sie können es nicht deaktivieren.
Wird einmal im Monat ausgeführt. Sie können diesen Zeitplan nicht ändern.
Ist ein kostenloses Scanner-Paket, das keine serverlosen Computekosten verursacht.

CIS Benchmarks Scanner-Paket¶

Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket CIS Benchmarks aktivieren, das Scanner enthält, die Ihr Konto anhand der Snowflake Benchmarks des Center for Internet Security (CIS) evaluieren. Die CIS Snowflake Benchmarks sind eine Liste von Best Practices für die Konfiguration von Snowflake-Konten, um Sicherheitslücken zu schließen. Die CIS Snowflake Benchmarks wurden durch die Zusammenarbeit der Community und den Konsens der Fachexperten erstellt.

Eine Kopie des CIS Snowflake Benchmarks-Dokuments erhalten Sie auf der CIS Snowflake Benchmark-Website.

Die Empfehlungen, die Sie in den CIS Snowflake Benchmarks finden, sind nach Abschnitt und Empfehlung nummeriert. So ist beispielsweise die erste Empfehlung des ersten Abschnitts mit 1.1 nummeriert. Auf der Registerkarte Violations bietet das Trust Center Abschnittsnummern für jeden Verstoß, wenn Sie auf die Snowflake CIS Benchmarks verweisen möchten.

Dieses Scanner-Paket wird standardmäßig einmal am Tag ausgeführt, aber Sie können den Zeitplan ändern.

Bemerkung

Für bestimmte Snowflake-CIS-Benchmarks ermittelt Snowflake nur, ob Sie eine bestimmte Sicherheitsmaßnahme implementiert haben, evaluiert aber nicht, ob die Sicherheitsmaßnahme so implementiert wurde, dass ihr Ziel erreicht wird. Bei diesen Benchmarks ist das Ausbleiben eines Verstoßes keine Garantie dafür, dass die Sicherheitsmaßnahme wirksam umgesetzt wird. Die folgenden Benchmarks evaluieren entweder nicht, ob Ihre Sicherheitsimplementierungen so umgesetzt wurden, dass sie ihr Ziel erreichen, oder das Trust Center führt keine Prüfungen für sie durch:

Alle aus Abschnitt 2: Stellen Sie sicher, dass die Aktivitäten überwacht werden, und geben Sie Empfehlungen für die Konfiguration von Snowflake, um Aktivitäten, die Aufmerksamkeit erfordern, anzugehen. Diese Scanner enthalten komplexe Abfragen, deren Verstöße nicht in der Snowsight-Konsole angezeigt werden.

Ein Sicherheitsbeauftragter kann wertvolle Erkenntnisse aus Abschnitt-2-Scannern ableiten, indem er die folgende Abfrage gegen die Ansicht snowflake.trust_center.findings ausführt:
```
SELECT start_timestamp,
       end_timestamp,
       scanner_id,
       scanner_short_description,
       impact,
       severity,
       total_at_risk_count,
       AT_RISK_ENTITIES
  FROM snowflake.trust_center.findings
  WHERE scanner_type = 'Threat' AND
        completion_status = 'SUCCEEDED'
  ORDER BY event_id DESC;
```
Copy
In der Ausgabe enthält die Spalte AT_RISK_ENTITIES den JSON-Inhalt mit Details zu Aktivitäten, die überprüft oder korrigiert werden müssen. Der Scanner CIS_BENCHMARKS_CIS2_1 überwacht beispielsweise die Gewährung hoher Berechtigungen, und Sicherheitsbeauftragte sollten die von diesem Scanner gemeldeten Ereignisse, wie das folgende Beispielereignis, sorgfältig überprüfen:
```
[
  {
    "entity_detail": {
      "granted_by": joe_smith,
      "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
      "modified_on": "2025-01-01 07:00:00.000 Z",
      "role_granted": "ACCOUNTADMIN"
    },
    "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_object_type": "ROLE"
  }
]
```
Snowflake empfiehlt die folgenden bewährten Verfahren für Abschnitt-2-Scanner:
- Deaktivieren Sie Abschnitt-2-Scanner nur, wenn Sie sicher sind, dass Sie ausreichende Überwachungsmaßnahmen getroffen haben.
- Überprüfen Sie die Verstöße gegen Scanner in Abschnitt 2 regelmäßig, oder konfigurieren Sie eine Überwachungsaufgabe für Erkennungen. Konfigurieren Sie die Überwachung insbesondere wie in der Spalte SUGGESTED_ACTION in der Ansicht snowflake.trust_center.findings beschrieben.
3.1: Stellen Sie sicher, dass eine Netzwerkrichtlinie auf Kontoebene konfiguriert wurde, die den Zugriff nur von vertrauenswürdigen IP-Adressen erlaubt. Trust Center zeigt einen Verstoß an, wenn Sie keine Netzwerkrichtlinie auf Kontoebene haben, bewertet aber nicht, ob die entsprechenden IP-Adressen zugelassen oder blockiert wurden.
4.3: Stellen Sie sicher, dass der Parameter DATA_RETENTION_TIME_IN_DAYS für kritische Daten auf 90 eingestellt ist. Trust Center zeigt einen Verstoß an, wenn der Parameter DATA_RETENTION_TIME_IN_DAYS, der mit Time Travel verknüpft ist, für das Konto oder mindestens ein Objekt nicht auf 90 Tage gesetzt ist, bewertet aber nicht, welche Daten als kritisch gelten.
4.10: Stellen Sie sicher, dass die Datenmaskierung für sensible Daten aktiviert ist. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Maskierungsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten angemessen geschützt sind. Das Trust Center evaluiert nicht, ob eine Maskierungsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.
4.11: Stellen Sie sicher, dass die Zeilenzugriffsrichtlinien für sensible Daten konfiguriert sind. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Zeilenzugriffsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten geschützt sind. Das Trust Center wertet nicht aus, ob eine Zeilenzugriffsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.

Threat Intelligence Scanner-Paket¶

Sie können auf zusätzliche Sicherheitsinformationen im Trust Center zugreifen, indem Sie das Scanner-Paket Threat Intelligence aktivieren. Dieses Paket identifiziert Risiken anhand der folgenden Kriterien:

Benutzertypen: Ob ein Snowflake-Kontobenutzer ein Mensch oder ein Dienst ist.
Authentifizierungsmethoden oder -richtlinien: Ob sich ein Benutzer mit einem Kennwort bei seinem Konto anmeldet, ohne bei MFA registriert zu sein.
Anmeldeaktivität: Ob sich ein Benutzer in letzter Zeit nicht angemeldet hat.
Ungewöhnliche Fehlerquoten: Ob ein Benutzer eine hohe Anzahl von Authentifizierungs- oder Jobfehlern aufweist.
Neu! Erkennungsergebnisse: alle neuen Scanner, die Erkennungsergebnisse melden.

Bestimmte Scanner im Threat Intelligence-Paket identifizieren Benutzer, die potenziell riskantes Verhalten zeigen, als riskant. Die folgende Tabelle enthält Beispiele:

Threat Intelligence-Scanner¶

Scanner	Typ	Beschreibung
Migrieren von menschlichen Benutzenden von der alleinigen Anmeldung mit Kennwörtern weg	Zeitplanbasiert	Identifiziert menschliche Benutzende, die (a) MFA nicht eingerichtet haben und sich in den letzten 90 Tagen mindestens einmal mit einem Kennwort angemeldet haben und (b) ein Kennwort haben, aber keine MFA eingerichtet haben und sich in den letzten 90 Tagen nicht mehr angemeldet haben.
Migrieren von Benutzenden älterer Dienste von der alleinigen Anmeldung mit Kennwörtern weg	Zeitplanbasiert	Identifiziert ältere Dienstbenutzende, die ein Kennwort haben und sich (a) in den letzten 90 Tagen mindestens einmal mit nur einem Kennwort angemeldet haben und (b) seit 90 Tagen nicht mehr angemeldet haben.
Identifizieren von Benutzenden mit einer hohen Anzahl an Authentifizierungsfehlern	Zeitplanbasiert	Identifiziert Benutzende mit einer hohen Anzahl von Authentifizierungsfehlern oder Jobfehlern, die auf versuchte Kontoübernahme, Fehlkonfigurationen, überschrittene Kontingente oder Berechtigungsprobleme hinweisen könnten. Liefert ein Ergebnis zum Schweregrad des Risikos und eine Empfehlung zur Risikobegrenzung.

Neue Threat Intelligence-Scanner¶

Sowohl zeitplanbasierte Scanner als auch ereignisbasierte Scanner können Erkennungen melden. Diese Vorschau fügt neue Scanner beider Typen hinzu. Alle hinzugefügten Scanner generieren Erkennungen anstelle von Ergebnissen zu Verstößen.

Diese Vorschau fügt die folgenden neuen Scanner zum Threat Intelligence Scanner-Paket hinzu:

Scanner	Typ	Beschreibung
Änderungen an der Authentifizierungsrichtlinie	Ereignisgesteuert	Findet Änderungen an Authentifizierungsrichtlinien sowohl auf der Kontoebene als auch auf der Benutzerebene.
Benutzeranmeldungen im Ruhezustand	Ereignisgesteuert	Analysiert Ereignisse beim Anmeldeverlauf und markiert Anmeldungen von Benutzenden, die sich in den letzten 90 Tagen nicht mehr angemeldet haben.
Entitäten mit Abfragen mit langer Ausführungszeit	Zeitplanbasiert	Sucht nach Benutzenden und Abfrage-IDs, die mit Abfragen mit langer Ausführungszeit zusammenhängen. Hierbei handelt es sich um Abfragen mit einer Dauer, die zwei Standardabweichungen von einer durchschnittlichen Abfragedauer der letzten 7 Tage oder des letzten Zeitpunkts der Scannerausführung entfernt ist, je nachdem, welcher Zeitpunkt aktueller ist. Wir empfehlen, diesen Scanner einmal täglich auszuführen. Dieser Scanner könnte anfangs mehr kosten, da er einen 30-Tage-Cache aufbaut, den er danach speichert. Trust Center meldet ein Erkennungsereignis, wenn dieser Scanner zum ersten Mal ausgeführt wird.
Anmeldeschutz	Ereignisgesteuert	Sucht die letzten Anmeldungen von ungewöhnlichen IP-Adressen. Wichtig Diese Ereignisse stammen vom Dienst zum Schutz gegen bösartige IPs und erfordern sofortige Aufmerksamkeit.
Schutz sensibler Parameter	Ereignisgesteuert	Meldet die Deaktivierung der folgenden sensiblen Parameter auf Kontoebene: PREVENT_UNLOAD_TO_INLINE_URL, label-require_storage_integration_for_stage_creation`und :ref:`label-require_storage_integration_for_stage_operation. Dieser Scanner meldet nur Erkennungen bei einer Änderung von `TRUE` zu `FALSE` für diese Parameter, die für eine optimale Absicherung standardmäßig auf `TRUE` festgelegt sind.
Benutzende mit Administratorberechtigungen	Zeitplanbasiert	Sucht neu erstellte Benutzende, deren Standardrolle eine Administratorrolle ist, sowie aktuelle Berechtigungen für bestehende Benutzende, die diesen Benutzenden eine Administratorrolle zuweisen.
Benutzende mit ungewöhnlichen Anwendungen, die in Sitzungen verwendet werden	Zeitplanbasiert	Findet Benutzende, die ungewöhnliche Clientanwendungen verwendet haben, die sich mit Snowflake verbinden.

Das Threat Intelligence-Scannerpaket wird standardmäßig einmal täglich ausgeführt, aber Sie können diesen Zeitplan ändern.

Nächste Schritte¶

Erste Schritte mit dem Trust Center