Malicious IP Protection¶
Vue d’ensemble¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake’s and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
Catégorie d’IP |
Description |
|---|---|
ANONYMOUS_VPN |
Adresses IP associées à des services VPN anonymes. |
ANONYMOUS_PROXIES |
Adresses IP associées à des serveurs proxy anonymes. |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
Par défaut, le service de protection contre les adresses IP malveillantes bloque les tentatives d’accès au réseau qui proviennent d’adresses IP figurant dans toutes les catégories de cette liste soigneusement tenue à jour.
Afficher les détails de connexion au réseau¶
Vous pouvez utiliser l’Utilisation du compte Vue LOGIN_HISTORY pour voir les détails des tentatives d’accès au réseau que le service de protection contre les adresses IP malveillantes a bloqué. Par exemple, pour afficher les événements de connexion pour votre compte, exécutez la requête suivante :
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
Ensuite, examinez les colonnes is_success et login_details de la sortie de la vue LOGIN_HISTORY pour votre compte.
NO apparaît dans la colonne is_success pour les tentatives d’accès au réseau bloquées.
Les exemples suivants montrent une sortie qui apparaît dans la colonne login_details pour les adresses IP bloquées :
- Exemple : adresse IP bloquée classée dans la catégorie à « LOW » risque:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Exemple : adresse IP bloquée classée dans la catégorie à « HIGH » risque:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
L’adresse IP qui correspond à chaque résultat apparaît dans la colonne ip_address.
Si vous remarquez que des adresses IP classées dans la catégorie à faible risque ont été bloquées, vous pouvez choisir de désactiver le blocage de cette catégorie.
Manage Malicious IP Protection for low-risk categories¶
Vous pouvez gérer la protection contre les adresses IP malveillantes en désactivant le blocage des adresses IP classées dans la catégorie à faible risque. Vous ne pouvez pas désactiver le blocage des adresses IP classées dans la catégorie à haut risque.
Pour désactiver le blocage d’une catégorie, exécutez la commande SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY et fournissez un nom de catégorie à faible risque comme argument. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Pour désactiver le blocage d’une autre catégorie, exécutez à nouveau la commande SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY, puis fournissez les deux noms de catégories à faible risque comme arguments. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Pour réactiver le blocage des adresses IP, exécutez la fonction SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY et fournissez '' comme argument. Par exemple :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
En option, exécutez la fonction et fournissez un nom d’utilisateur comme deuxième argument pour désactiver ou réactiver le blocage des adresses IP uniquement pour l’utilisateur que vous spécifiez. Par exemple, pour désactiver la protection contre les adresses IP malveillantes pour les adresses IP figurant dans la catégorie ANONYMOUS_VPN pour l’utilisateur spécifique JSMITH, exécutez les commandes suivantes :
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
L’exemple suivant montre la sortie de la vue d’Utilisation du compte LOGIN_HISTORY dans la colonne login_details. L’adresse IP correspondant à ce résultat a été exclue du blocage de la catégorie MALICIOUS_BEHAVIOR en exécutant la fonction SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY :
- Exemple : adresse IP non bloquée classée dans la catégorie à « LOW » risque:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}