Malicious IP Protection¶
Vue d’ensemble¶
Le service de protection contre les adresses IP malveillantes détecte en continu les tentatives d’accès au réseau qui proviennent d’adresses IP qui figurent sur une liste soigneusement tenue à jour. Le service protège l’instance Snowflake en bloquant les tentatives d’accès au réseau provenant de ces adresses IP. Le service renforce la posture de sécurité de Snowflake et de celle du client en réduisant les risques d’accès non autorisé, de violations de données et d’activités malveillantes.
Snowflake gère et tient à jour une liste d’adresses IP, établie à partir de données qui proviennent de sources tierces de cybersécurité et qui fournissent des renseignements externes sur les menaces. Les adresses IP proviennent d’acteurs malveillants connus. Le tableau suivant répertorie et décrit comment Snowflake classe les adresses IP en fonction de l’analyse d’impact :
Catégorie d’IP |
Description |
|---|---|
ANONYMOUS_VPN |
Adresses IP associées à des services VPN anonymes. |
ANONYMOUS_PROXIES |
Adresses IP associées à des serveurs proxy anonymes. |
MALICIOUS_BEHAVIOR |
Adresses IP associées à des logiciels malveillants connus et à des comportements tels que des tentatives de connexion par force brute automatisées. |
TOR_EXITS |
Adresses IP utilisées comme nœuds de sortie pour le réseau Tor. |
Par défaut, le service de protection contre les adresses IP malveillantes bloque les tentatives d’accès au réseau qui proviennent d’adresses IP figurant dans toutes les catégories de cette liste soigneusement tenue à jour.
Afficher les détails de connexion au réseau¶
Vous pouvez utiliser l’Utilisation du compte Vue LOGIN_HISTORY pour voir les détails des tentatives d’accès au réseau que le service de protection contre les adresses IP malveillantes a bloqué. Par exemple, pour afficher les événements de connexion pour votre compte, exécutez la requête suivante :
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
Ensuite, examinez les colonnes is_success et login_details de la sortie de la vue LOGIN_HISTORY pour votre compte.
NO apparaît dans la colonne is_success pour les tentatives d’accès au réseau bloquées.
Les exemples suivants montrent une sortie qui apparaît dans la colonne login_details pour les adresses IP bloquées :
- Exemple : adresse IP bloquée classée dans la catégorie à « LOW » risque:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Exemple : adresse IP bloquée classée dans la catégorie à « HIGH » risque:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
L’adresse IP qui correspond à chaque résultat apparaît dans la colonne ip_address.
Si vous remarquez que des adresses IP classées dans la catégorie à faible risque ont été bloquées, vous pouvez choisir de désactiver le blocage de cette catégorie.
Gérer la protection contre les adresses IP malveillantes pour les catégories à faible risque¶
Vous pouvez gérer la protection contre les adresses IP malveillantes en désactivant le blocage des adresses IP classées dans la catégorie à faible risque. Vous ne pouvez pas désactiver le blocage des adresses IP classées dans la catégorie à haut risque.
Pour désactiver le blocage d’une catégorie, exécutez la commande SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY et fournissez un nom de catégorie à faible risque comme argument. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Pour désactiver le blocage d’une autre catégorie, exécutez à nouveau la commande SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY, puis fournissez les deux noms de catégories à faible risque comme arguments. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Pour réactiver le blocage des adresses IP, exécutez la fonction SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY et fournissez '' comme argument. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
En option, exécutez la fonction et fournissez un nom d’utilisateur comme deuxième argument pour désactiver ou réactiver le blocage des adresses IP uniquement pour l’utilisateur que vous spécifiez. Par exemple, pour désactiver la protection contre les adresses IP malveillantes pour les adresses IP figurant dans la catégorie ANONYMOUS_VPN pour l’utilisateur spécifique JSMITH, exécutez les commandes suivantes :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
L’exemple suivant montre la sortie de la vue d’Utilisation du compte LOGIN_HISTORY dans la colonne login_details. L’adresse IP correspondant à ce résultat a été exclue du blocage de la catégorie MALICIOUS_BEHAVIOR en exécutant la fonction SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY :
- Exemple : adresse IP non bloquée classée dans la catégorie à « LOW » risque:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}