Aperçu du Centre de confiance¶
Vous pouvez utiliser le Centre de confiance pour évaluer, surveiller et réduire les risques potentiels de sécurité dans vos comptes Snowflake. Le Centre de confiance évalue chaque compte Snowflake par rapport aux recommandations spécifiées dans les scanners. Les scanners peuvent générer des résultats. Résultats du Centre de confiance fournissent des informations sur la manière de réduire les risques potentiels de sécurité dans votre compte Snowflake. Toutes les exécutions de scanners ne génèrent pas un résultat. Une exécution de scanner qui ne trouve aucun problème de sécurité ne génère aucun résultat dans le Centre de confiance. Vous pouvez également utiliser le Centre de confiance pour configurer des notifications proactives qui vous aident à surveiller les risques de sécurité de votre compte.
Cas d’utilisation courants du Cente de confiance¶
Pour plus d’informations sur la manière d’utiliser le Centre de confiance pour réduire les risques de sécurité dans votre compte Snowflake, consultez les rubriques suivantes :
Limitations¶
Les comptes de lecteur Snowflake ne sont pas pris en charge.
Rôles requis.¶
Pour visualiser ou gérer les scanners et leurs résultats à l’aide du Centre de confiance, un utilisateur disposant du rôle ACCOUNTADMIN doit accorder le rôle d’application SNOWFLAKE.TRUST_CENTER_VIEWERSNOWFLAKE.TRUST_CENTER_ADMIN à votre rôle.
Le tableau suivant répertorie les tâches courantes que vous effectuez en utilisant l’interface utilisateur du Centre de confiance, ainsi que le rôle d’application minimal dont votre rôle a besoin pour effectuer ces tâches :
Note
Si vous utilisez le Centre de confiance dans le compte d’organisation, utilisez le rôle GLOBALORGADMIN, et non ACCOUNTADMIN, pour accorder les rôles d’application du Centre de confiance.
Consultez la table suivante pour obtenir des informations sur les rôles d’application dont vous avez besoin pour accéder à des onglets spécifiques du Trust Center :
Tâche |
Onglet Centre de confiance |
Rôle d’application minimal requis |
Remarques |
|---|---|---|---|
Detections |
|
Le rôle |
|
Violations |
|
Le rôle |
|
Violations |
|
Aucun. |
|
Manage scanners |
|
Aucun. |
|
Manage scanners |
|
Aucun. |
|
Organization |
|
L’onglet Organization est visible uniquement dans un compte d’organisation. |
Vous pouvez créer un rôle personnalisé qui fournit un accès en vue seule aux onglets Violations et Detections. Vous pouvez également créer un rôle distinct au niveau de l’administrateur pour gérer les violations et les scanners à l’aide des onglets Violations et Manage scanners. Par exemple, pour créer ces deux rôles différents, exécutez les commandes suivantes :
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Note
Cet exemple n’a pas pour but de recommander une hiérarchie complète des rôles pour l’utilisation du Centre de confiance. Pour plus d’informations, voir chaque sous-section dans Utilisation du Trust Center.
Utilisation de la connectivité privée avec le Centre de confiance¶
Le Trust Center prend en charge la connectivité privée. Pour plus d’informations, voir Utilisation de la connectivité privée.
Résultats du Centre de confiance¶
Les résultats du Centre de confiance comprennent deux types de résultats : les violations et les détections. Ces deux résultats sont générés par les scanners lorsqu’ils sont exécutés sur vos comptes Snowflake.
Vous pouvez consulter les résultats niveau de l’organisation ou vous pouvez examiner plus en détail les résultats pour un compte spécifique.
Note
À l’heure actuelle, vous ne pouvez pas afficher les résultats de détection au niveau de l’organisation.
Résultats au niveau de l’organisation¶
L’onglet Organization fournit des informations sur les résultats de violation qui sont générés dans tous les comptes de l’organisation. Cet onglet comprend les informations suivantes :
Le nombre de violations au sein de l’organisation.
Les comptes présentant les violations les plus graves.
Le nombre de violations pour chaque compte au sein de l’organisation. Vous pouvez sélectionner un compte pour analyser en détail les violations individuelles de ce compte.
Note
Vous ne pouvez pas utiliser l’onglet Organization pour résoudre ou rouvrir des violations. Pour effectuer ces actions, connectez-vous au compte présentant la violation, puis accédez à l’onglet Violations.
Pour accéder à l’onglet Organization, vous devez répondre aux exigences suivantes :
Connectez-vous au compte de l’organisation.
Utilisez un rôle qui possède le rôle d’application ORGANIZATION_SECURITY_VIEWER. Vous devez également disposer d’un rôle d’application du Centre de confiance.
Résultats au niveau d’un compte¶
Les Scanners recherchent et signalent les résultats de violation et de détection par le biais du Centre de confiance. Une violation persiste dans le temps et représente une configuration qui n’est pas conforme aux exigences d’un scanner. Une détection se produit une fois et représente un événement unique. Vous pouvez utiliser le Centre de confiance pour afficher et gérer les résultats de votre compte. Pour plus d’informations, voir Utilisation du Trust Center.
Violations¶
Un scanner peut examiner une entité à tout moment et déterminer s’il s’agit d’une violation en se basant uniquement sur sa configuration actuelle. Les scanners continuent de signaler les violations, à moins que vous ne modifiiez la configuration pour remédier aux violations. Par exemple, un scanner signale une violation si certains utilisateurs n’ont pas configuré l’authentification multifactorielle (MFA).
L’onglet Violations fournit des informations au niveau du compte sur les résultats du scanner. Il comprend les informations suivantes :
Un graphique des violations de scanner au fil du temps, avec un code couleur pour les degrés de gravité faible, moyen, élevé et critique.
Une liste interactive pour chaque violation constatée. Chaque ligne de la liste contient des détails sur la violation, la date de la dernière exécution du scanner et la manière de remédier à la violation.
Les violations vous permettent d’identifier les configurations Snowflake dans le compte qui violent les exigences des paquets de scanners activés. Pour chaque violation, le Centre de confiance explique comment y remédier. Après avoir remédié à une violation, celle-ci apparaît toujours dans l’onglet Violations jusqu’au début de la prochaine exécution planifiée du module d’analyse contenant le scanner qui a signalé la violation, ou jusqu’à ce que vous exécutiez manuellement le paquet de scanner.
Lorsque vous êtes connecté au compte présentant les violations, vous pouvez utiliser l’onglet Violations pour effectuer les actions suivantes :
Triez les violations qui s’appliquent à vous et enregistrez les preuves ou les notes de progression.
Résolvez ou rouvrez les violations pour quelque raison que ce soit et enregistrez la preuve pour les besoins d’audit.
Triez ou filtrez les violations par gravité, paquet de scanner, version du scanner, heure analysée, heure de mise à jour ou statut.
Ajoutez des motifs de modification de l’état de la violation afin de fournir un enregistrement clair des actions entreprises.
Vous pouvez remédier aux violations en modifiant la configuration. Pour une violation, le Centre de confiance fournit des suggestions de remédiation. Une fois que vous avez remédié au problème, le Centre de confiance ne signale plus la violation. Vous pouvez également gérer le cycle de vie d’un résultat de violation en modifiant son statut à Resolved. Les notifications par e-mail sont supprimées pour les violations résolues. La suppression empêche d’autres notifications pendant que vous travaillez à la correction des configurations incorrectes sous-jacentes. Un résultat de violation résolu ne génère plus de notification.
Détections¶
Fonctionnalité en avant-première — En accès libre
Disponible pour tous les comptes.
Une détection représente un événement qui s’est produit à un moment donné. Les résultats suivants sont des exemples d’événements qui peuvent être signalés comme des détections :
Événements de connexion provenant d’une adresse IP non reconnue.
Une grande quantité de données a été transférée vers une zone de préparation externe.
Une tâche disposait d’un taux d’erreur élevé entre deux instants donnés.
Les scanners signalent chaque détection en fonction d’un déclencheur d’événement. Par exemple, un scanner signale une détection lorsqu’il détecte un événement de connexion suspect et signale une détection distincte lorsqu’il détecte un autre événement de connexion suspect à un autre moment. Pour une détection, le Centre de confiance fournit des informations sur l’événement. Étant donné que l’événement est unique et s’est produit dans le passé, la remédiation directe d’une détection n’est pas possible.
Sur la base des informations fournies par le Centre de confiance, vous pouvez déterminer si la détection est pertinente. Si la détection est pertinente, vous pouvez prendre des mesures pour éviter des événements similaires à l’avenir.
Note
Si le scanner qui a signalé la détection s’exécute à nouveau, il peut ou non signaler des détections similaires. À l’heure actuelle, vous ne pouvez pas gérer le cycle de vie d’une détection.
Pour plus d’informations sur la gestion des détections, voir Voir les détections.
Scanners¶
Un scanner est un processus d’arrière-plan qui vérifie si votre compte présente des risques de sécurité en fonction des critères suivants :
De quelle manière vous avez configuré votre compte.
Événements anormaux.
Le Centre de confiance regroupe les scanners dans des paquets de scanners. Les détails du scanner fournissent des informations sur les risques de sécurité que le scanner vérifie dans votre compte, quand le scanner s’exécute et qui reçoit les notifications concernant les résultats du scanner pour votre compte. Pour voir les détails d’un scanner spécifique, suivez les instructions indiquées dans Voir les détails d’un scanner.
Scanners basés sur la programmation¶
Les scanners basés sur la programmation s’exécutent à des moments précis, selon leur programmation. Vous devez activer un paquet de scanners avant de pouvoir modifier la programmation d’un scanner. Pour plus d’informations sur la modification de la programmation d’un scanner, voir Modifier la planification d’un scanner.
Scanners basés sur les événements¶
Fonctionnalité en avant-première — En accès libre
Disponible pour tous les comptes.
Les scanners basés sur les événements génèrent des détections basées sur des événements pertinents. Il peut s’agir par exemple de scanners détectant les connexions à partir d’adresses IP inhabituelles ou de scanners détectant les modifications de paramètres sensibles. Vous ne pouvez pas programmer un scanner basé sur les événements, car c’est un événement et non une programmation qui détermine la détection générée par un scanner basé sur les événements. Le Centre de confiance signale les détections qui sont générées par des scanners basés sur les événements dans l’heure qui suit la survenue d’un événement.
Un scanner basé sur les événements peut détecter des événements qu’un scanner basé sur la programmation pourrait manquer. Prenons l’exemple d’un scanner basé sur la programmation qui détecte les états TRUE ou FALSE d’un paramètre booléen une fois toutes les 10 minutes. Le fait de basculer — c’est-à-dire de modifier l’état — la valeur de ce paramètre de TRUE à FALSE, puis de revenir à TRUE avant que 10 minutes ne se soient écoulées, passerait inaperçu pour le scanner basé sur la programmation. Un scanner basé sur les événements qui détecte chaque changement d’état détecterait les deux événements.
Pour une liste à jour des scanners basés sur les événements, voir Paquet de scanners Threat Intelligence.
Note
Les scanners basés sur les événements peuvent apparaître sous la forme de plusieurs éléments dans l’Vue METERING_HISTORY.
Paquets de scanner¶
Les paquets de scanners contiennent une description et une liste des scanners qui s’exécutent lorsque vous activez le paquet de scanners. Une fois que vous avez activé un paquet de scanner, celui-ci s’exécute immédiatement, quelle que soit la planification configurée. Après avoir activé un paquet de scanners, vous pouvez activer ou désactiver individuellement les scanners de ce paquet de scanners. Votre rôle doit disposer du rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN pour gérer les scanners à l’aide de l’onglet Manage scanners. Pour plus d’informations, voir Rôles requis..
Les paquets de scanner suivants sont disponibles :
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners, la façon de modifier la programmation d’un paquet de scanners et la façon d’afficher la liste des scanners à jour dans un paquet, consultez les rubriques suivantes :
Les paquets de scanners sont désactivés par défaut, à l’exception du Paquet de scanner Security Essentials.
Paquet de scanner Security Essentials¶
Le paquet de scanners **Security Essentials**analyse votre compte pour vérifier que vous avez configuré les recommandations suivantes :
Vous avez une politique d’authentification qui impose à tous les utilisateurs humains d’adopter une MFA s’ils utilisent des mots de passe pour s’authentifier.
Tous les utilisateurs humains sont inscrits sur à la MFA s’ils utilisent des mots de passe pour s’authentifier.
Vous avez défini une politique réseau au niveau du compte qui a été configurée pour n’autoriser l’accès qu’à partir d’adresses IP de confiance.
Vous avez configuré une table d’événements si votre compte a activé le partage d’événements pour une application native, afin que votre compte reçoive une copie des messages de journalisation et des informations sur les événements qui sont partagés avec le fournisseur d’applications.
Ce paquet de scanners analyse uniquement les utilisateurs humains, c’est-à-dire les objets utilisateur dont la propriété TYPE est définie sur PERSON ou NULL. Pour plus d’informations, voir Types d’utilisateurs.
Le paquet de scanners Security Essentials :
Est activé par défaut. Vous ne pouvez pas le désactiver.
S’exécute une fois par mois. Vous ne pouvez pas modifier cette programmation.
Est un paquet de scanners gratuit qui n’entraîne pas de frais de calcul sans serveur.
Paquet de scanners CIS Benchmarks¶
Vous pouvez accéder à des insights de sécurité supplémentaires en activant le paquet de scanner CIS Benchmarks, qui contient des scanners évaluant votre compte par rapport aux critères des Benchmarks pour Snowflake de Center for Internet Security (CIS). Les CIS Benchmarks pour Snowflake sont une liste des meilleures pratiques pour la configuration des comptes Snowflake visant à réduire les vulnérabilités en matière de sécurité. Les CIS Benchmarks pour Snowflake ont été créés grâce à la collaboration de la communauté et au consensus d’experts en la matière.
Pour obtenir une copie du document CIS Benchmarks pour Snowflake, consultez le site Web CIS Benchmark pour Snowflake.
Les recommandations contenues dans les CIS Benchmarks pour Snowflake sont numérotées par section et par recommandation. Par exemple, la première recommandation de la première section est numérotée 1.1. Dans l’onglet Violations, le Centre de confiance fournit des numéros de section pour chaque violation si vous souhaitez faire référence aux CIS Benchmarks de Snowflake.
Ce paquet de scanners s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners, la façon de modifier la programmation d’un paquet de scanners et la façon d’afficher la liste des scanners à jour dans un paquet, consultez les rubriques suivantes :
Note
Pour certains CIS Benchmarks pour Snowflake, Snowflake détermine uniquement si vous avez mis en œuvre une mesure de sécurité spécifique, mais n’évalue pas si la mesure de sécurité a été mise en œuvre de manière à atteindre son objectif. Pour ces benchmarks, l’absence de violation ne garantit pas que la mesure de sécurité est mise en œuvre de manière efficace. Les benchmarks suivants n’évaluent pas si vos mesures de sécurité ont été mises en œuvre de manière à atteindre leur objectif, ou bien le Centre de confiance n’effectue pas de vérifications à leur sujet :
All of section 2 : assurez-vous que les activités sont surveillées et fournissez des recommandations pour la configuration de Snowflake afin de traiter les activités qui requièrent une attention particulière. Ces scanners contiennent des requêtes complexes dont les violations n’apparaissent pas dans la console Snowsight.
Un responsable de la sécurité peut obtenir des informations précieuses sur les scanners de la section 2 en exécutant la requête suivante sur la vue
snowflake.trust_center.findings:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
Dans la sortie, la colonne
AT_RISK_ENTITIEScontient le contenu de JSON avec des détails sur les activités qui nécessitent une révision ou une remédiation. Par exemple, le scanner CIS_BENCHMARKS_CIS2_1 surveille les octrois de privilèges élevés et les responsables de la sécurité doivent examiner attentivement les événements signalés par ce scanner, tels que l’exemple d’événement suivant :[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflake propose les meilleures pratiques suivantes pour les scanners de la section 2 :
Ne désactivez pas les scanners de la section 2 si vous n’êtes pas sûr d’avoir mis en place des mesures de surveillance suffisantes.
Inspectez les violations des scanners de la section 2 à intervalles réguliers ou configurez une tâche de surveillance pour les détections. Plus précisément, configurez la surveillance comme décrit dans la colonne
SUGGESTED_ACTIONde la vuesnowflake.trust_center.findings.
3.1 : assurez-vous qu’une politique réseau au niveau du compte a été configurée pour n’autoriser l’accès qu’à partir d’adresses de confiance. Assurez-vous qu’une stratégie réseau au niveau du compte a été configurée pour n’autoriser l’accès qu’à partir d’adresses IP fiables. Le Centre de confiance affiche une violation si vous n’avez pas de politique réseau au niveau du compte, mais n’évalue pas si les adresses IP appropriées ont été autorisées ou bloquées.
4.3 : veillez à ce que le paramètre DATA_RETENTION_TIME_IN_DAYS soit défini sur 90 pour les données critiques. Le Trust Center affiche une violation si le paramètre DATA_RETENTION_TIME_IN_DAYS associé à Time Travel n’est pas défini sur 90 jours pour le compte ou au moins pour un objet, mais n’évalue pas quelles données sont considérées comme critiques.
4.10 : assurez-vous que le masquage des données est activé pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique de masquage, mais n’évalue pas si les données sensibles sont protégées de manière appropriée. Le Centre de confiance n’évalue pas si une politique de masquage est affectée à au moins une table ou une vue.
4.11 : veillez à ce que les politiques d’accès aux lignes soient configurées pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique d’accès aux lignes, mais n’évalue pas si les données sensibles sont protégées. Le Centre de confiance n’évalue pas si une politique d’accès aux lignes est affectée à au moins une table ou une vue.
Paquet de scanners Threat Intelligence¶
Vous pouvez accéder à des informations de sécurité supplémentaire dans le Trust Center en activant le paquet de scanner Threat Intelligence. Ce paquet identifie les risques sur la base des critères suivants :
Types d’utilisateurs : Si un utilisateur de compte Snowflake est un humain ou un service.
Méthodes ou politiques d’authentification : Si un utilisateur se connecte à son compte avec un mot de passe sans être inscrit à MFA.
Activité de connexion : Si un utilisateur ne s’est pas connecté récemment.
Taux d’échecs anormaux : Si un utilisateur présente un nombre élevé d’échecs d’authentification ou d’erreurs de tâches.
Nouveau ! Résultats de détection : tous les nouveaux scanners qui signalent des résultats de détection.
Des scanners spécifiques du paquet Threat Intelligence identifient les utilisateurs qui démontrent un comportement potentiellement à risque comme étant à risque. Le tableau suivant fournit des exemples :
Scanners Threat Intelligence¶
Scanner |
Type |
Description |
|---|---|---|
Faire migrer les utilisateurs humains vers une connexion autre que par mot de passe uniquement |
Basé sur la programmation |
Identifie les utilisateurs humains qui (a) n’ont pas configuré l’authentification MFA et se sont connectés avec un mot de passe au moins une fois au cours des 90 derniers jours et (b) disposent d’un mot de passe, mais n’ont pas configuré l’authentification MFA et ne se sont pas connectés depuis 90 jours. |
Faire migrer les utilisateurs de services hérités vers une connexion autre que par mot de passe uniquement |
Basé sur la programmation |
Identifie les utilisateurs de services hérités qui disposent d’un mot de passe et (a) qui se sont connectés uniquement par mot de passe au moins une fois au cours des 90 derniers jours et (b) qui ne se sont pas connectés depuis 90 jours. |
Identifier les utilisateurs présentant un volume élevé d’échecs d’authentification |
Basé sur la programmation |
Identifie les utilisateurs présentant un nombre élevé d’échecs d’authentification ou d’erreurs de tâches, ce qui peut indiquer des tentatives de piratage de compte, des erreurs de configurations, des quotas dépassés ou des problèmes d’autorisation. Fournit un résultat sur la gravité des risques et une recommandation sur l’atténuation des risques. |
Nouveaux scanners Threat Intelligence¶
Fonctionnalité en avant-première — En accès libre
Disponible pour tous les comptes.
Les scanners basés sur la programmation et les scanners basés sur les événements peuvent signaler des détections. Cet prévisualisation ajoute de nouveaux scanners des deux types. Tous les scanners ajoutés génèrent des détections au lieu de résultats de violations.
Cet prévisualisation ajoute les nouveaux scanners suivants au Paquet de scanners Threat Intelligence:
Scanner |
Type |
Description |
|---|---|---|
Modifications apportées aux politiques d’authentification |
Basé sur les événements |
Recherche les modifications apportées aux politiques d’authentification au niveau du compte et au niveau de l’utilisateur. |
Connexions d’utilisateurs inactifs |
Basé sur les événements |
Analyse les événements de l’historique de connexion et signale les connexions des utilisateurs qui ne se sont pas connectés au cours des 90 derniers jours. |
Entités avec requêtes de longue durée |
Basé sur la programmation |
Recherche les utilisateurs et les IDs de requêtes associés aux requêtes de longue durée, c’est-à-dire les requêtes dont la durée s’écarte de deux écarts-types par rapport à la durée moyenne des requêtes au cours des 7 derniers jours ou depuis la dernière exécution du scanner, selon la date la plus récente. Nous vous recommandons de configurer ce scanner pour qu’il s’exécute une fois par jour. Ce scanner peut coûter plus cher au départ, car il crée un cache de 30 jours, qu’il stocke par la suite. Le Centre de confiance signale un événement de détection la première fois que ce scanner s’exécute. |
Protection de la connexion |
Basé sur les événements |
Recherche des connexions récentes d’adresses IP inhabituelles. Important Ces événements proviennent du service de protection contre les adresses IP malveillantes et requièrent une attention immédiate. |
Protection des paramètres sensibles |
Basé sur les événements |
Signale la désactivation des paramètres sensibles suivants au niveau du compte : PREVENT_UNLOAD_TO_INLINE_URL, REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION et REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION. Ce scanner ne signale que les détections d’un changement de |
Utilisateurs disposant de privilèges d’administrateur |
Basé sur la programmation |
Recherche des utilisateurs nouvellement créés dont le rôle par défaut est un rôle d’administrateur, ainsi que les attributions récentes d’utilisateurs existants qui leur accordent un rôle d’administrateur. |
Utilisateurs disposant d’applications inhabituelles utilisées dans les sessions |
Basé sur la programmation |
Recherche des utilisateurs qui ont utilisé des applications client inhabituelles qui se connectent à Snowflake. |
Ce paquet de scanner Threat Intelligence s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners, la façon de modifier la programmation d’un paquet de scanners et la façon d’afficher la liste des scanners à jour dans un paquet, consultez les rubriques suivantes :