Schutz vor bösartigen IPs¶
Übersicht¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake’s and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
IP-Kategorie |
Beschreibung |
|---|---|
ANONYMOUS_VPN |
IP-Adressen, die mit anonymen VPN-Services verbunden sind. |
ANONYMOUS_PROXIES |
IP-Adressen, die mit anonymen Proxyservern verbunden sind. |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
Der Service zum Schutz vor bösartigen IPs blockiert standardmäßig Netzwerkzugriffsversuche, die von IP-Adressen in allen Kategorien aus dieser kuratierten Liste ausgehen.
Anzeigen der Anmeldedetails für das Netzwerk¶
Sie können über die Kontonutzung Ansicht LOGIN_HISTORY Details zu den Netzwerkzugriffsversuchen abrufen, die der Service zum Schutz vor bösartigen IPs blockiert hat. Um beispielsweise Anmeldeereignisse für Ihr Konto anzuzeigen, führen Sie folgende Abfrage aus:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
Untersuchen Sie als Nächstes die Spalten is_success und login_details der LOGIN_HISTORY-Ausgabe für Ihr Konto.
NO wird in der Spalte is_success für blockierte Netzwerkzugriffsversuche angezeigt.
Die folgenden Beispiele zeigen die Ausgabe, die in der Spalte login_details für blockierte IP-Adressen angezeigt wird:
- Beispiel – Die als „LOW“-Risiko kategorisierte IP wird blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Beispiel – Die als „HIGH“-Risiko kategorisierte IP wird blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
Die IP-Adresse für das jeweilige Ergebnis wird in der Spalte ip_address angezeigt.
Wenn Sie feststellen, dass als geringes Risiko eingestufte IP-Adressen blockiert wurden, können Sie überlegen, das Blockieren dieser Kategorie zu deaktivieren.
Manage Malicious IP Protection for low-risk categories¶
Sie können den Schutz vor bösartigen IPs verwalten, indem Sie das Blockieren von als geringes Risiko eingestuften IP-Adressen deaktivieren. Das Blockieren von als hohes Risiko eingestuften IP-Adressen können Sie nicht deaktivieren.
Um das Blockieren einer Kategorie zu deaktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY aus und geben Sie einen Namen für eine Kategorie mit niedrigem Risiko als Argument an. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Um das Blockieren einer weiteren Kategorie zu deaktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY erneut aus und geben Sie die Namen beider Kategorie mit niedrigem Risiko als Argumente an. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Um das Blockieren der IP-Adressen wieder zu aktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY mit '' als Argument aus. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
Optional können Sie die Funktion ausführen und einen Benutzernamen als zweites Argument angeben, um das Blockieren von IP-Adressen nur für die von Ihnen angegebenen Benutzenden entweder zu deaktivieren oder wieder zu aktivieren. Um zum Beispiel den Schutz vor bösartigen IPs für IP-Adressen in der Kategorie ANONYMOUS_VPN für den konkreten Benutzer JSMITH zu deaktivieren, führen Sie die folgenden Befehle aus:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
Das folgende Beispiel zeigt die Ausgabe der Ansicht LOGIN_HISTORY für die Kontonutzung in der Spalte login_details. Die IP-Adresse für dieses Ergebnis war vom Blockieren der Kategorie MALICIOUS_BEHAVIOR durch Ausführen der Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY ausgenommen:
- Beispiel – Die als „LOW“-Risiko kategorisierte IP wird nicht mehr blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}