Trust Center overview¶

Vous pouvez utiliser le Centre de confiance pour évaluer, surveiller et réduire les risques potentiels de sécurité dans vos comptes Snowflake. Le Centre de confiance évalue chaque compte Snowflake par rapport aux recommandations spécifiées dans les scanners. Les scanners peuvent générer des résultats. Trust Center findings fournissent des informations sur la manière de réduire les risques potentiels de sécurité dans votre compte Snowflake. Toutes les exécutions de scanners ne génèrent pas un résultat. Une exécution de scanner qui ne trouve aucun problème de sécurité ne génère aucun résultat dans le Centre de confiance. Vous pouvez également utiliser le Centre de confiance pour configurer des notifications proactives qui vous aident à surveiller les risques de sécurité de votre compte.

Common Trust Center use cases¶

Pour plus d’informations sur la manière d’utiliser le Centre de confiance pour réduire les risques de sécurité dans votre compte Snowflake, consultez les rubriques suivantes :

Limitations¶

Snowflake reader accounts aren’t supported.

Required roles¶

To view or manage scanners and their findings by using the Trust Center, a user with the ACCOUNTADMIN role must grant the SNOWFLAKE.TRUST_CENTER_VIEWER or SNOWFLAKE.TRUST_CENTER_ADMIN application role to your role.

Le tableau suivant répertorie les tâches courantes que vous effectuez en utilisant l’interface utilisateur du Centre de confiance, ainsi que le rôle d’application minimal dont votre rôle a besoin pour effectuer ces tâches :

Note

Si vous utilisez le Centre de confiance dans le compte d’organisation, utilisez le rôle GLOBALORGADMIN, et non ACCOUNTADMIN, pour accorder les rôles d’application du Centre de confiance.

Consultez la table suivante pour obtenir des informations sur les rôles d’application dont vous avez besoin pour accéder à des onglets spécifiques du Trust Center :

Tâche	Onglet Centre de confiance	Minimum required application role	Remarques
Afficher les résultats de détection	Detections	`SNOWFLAKE.TRUST_CENTER_VIEWER`	`SNOWFLAKE.TRUST_CENTER_ADMIN` role can also view detections.
Afficher les résultats de violation	Violations	`SNOWFLAKE.TRUST_CENTER_VIEWER`	`SNOWFLAKE.TRUST_CENTER_ADMIN` role can also view violations.
Gérer le cycle de vie des résultats de violation	Violations	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Aucun.
Manage scanner packages	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Aucun.
Manage scanners	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Aucun.
View org-level violations	Organization	`ORGANIZATION_SECURITY_VIEWER` and `SNOWFLAKE.TRUST_CENTER_ADMIN`	The Organization tab is visible only in an Organization account.

Vous pouvez créer un rôle personnalisé qui fournit un accès en vue seule aux onglets Violations et Detections. Vous pouvez également créer un rôle distinct au niveau de l’administrateur pour gérer les violations et les scanners à l’aide des onglets Violations et Manage scanners. Par exemple, pour créer ces deux rôles différents, exécutez les commandes suivantes :

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;

Copy

Note

Cet exemple n’a pas pour but de recommander une hiérarchie complète des rôles pour l’utilisation du Centre de confiance. Pour plus d’informations, voir chaque sous-section dans Utilisation du Trust Center.

Using private connectivity with Trust Center¶

Le Trust Center prend en charge la connectivité privée. Pour plus d’informations, voir Utilisation de la connectivité privée.

Trust Center findings¶

Trust Center findings include two kinds of findings: violations and detections. Both findings are generated by scanners as they run in your Snowflake accounts.

You can review findings at the organization level or you can examine more closely the findings for a specific account.

Note

À l’heure actuelle, vous ne pouvez pas afficher les résultats de détection au niveau de l’organisation.

Organization-level findings¶

The Organization tab provides insights into the violation findings that are generated in all of the accounts in the organization. This tab includes the following information:

Le nombre de violations au sein de l’organisation.
Les comptes présentant les violations les plus graves.
Le nombre de violations pour chaque compte au sein de l’organisation. Vous pouvez sélectionner un compte pour analyser en détail les violations individuelles de ce compte.

Note

You can’t use the Organization tab to resolve or reopen violations. To perform these actions, sign in to the account with the violation, and then access the Violations tab.

Pour accéder à l’onglet Organization, vous devez répondre aux exigences suivantes :

Connectez-vous au compte de l’organisation.
Utilisez un rôle qui possède le rôle d’application ORGANIZATION_SECURITY_VIEWER. Vous devez également disposer d’un rôle d’application du Centre de confiance.

Résultats au niveau d’un compte¶

Les Scanners recherchent et signalent les résultats de violation et de détection par le biais du Centre de confiance. Une violation persiste dans le temps et représente une configuration qui n’est pas conforme aux exigences d’un scanner. Une détection se produit une fois et représente un événement unique. Vous pouvez utiliser le Centre de confiance pour afficher et gérer les résultats de votre compte. Pour plus d’informations, voir Utilisation du Trust Center.

Violations¶

Un scanner peut examiner une entité à tout moment et déterminer s’il s’agit d’une violation en se basant uniquement sur sa configuration actuelle. Les scanners continuent de signaler les violations, à moins que vous ne modifiiez la configuration pour remédier aux violations. Par exemple, un scanner signale une violation si certains utilisateurs n’ont pas configuré l’authentification multifactorielle (MFA).

The Violations tab provides account-level information about scanner results. It includes the following information:

Un graphique des violations de scanner au fil du temps, avec un code couleur pour les degrés de gravité faible, moyen, élevé et critique.
An interactive list for each violation that is found. Each row in the list contains details about the violation, when the scanner was last run, and how to remediate the violation.

Les violations vous permettent d’identifier les configurations Snowflake dans le compte qui violent les exigences des paquets de scanners activés. Pour chaque violation, le Centre de confiance explique comment y remédier. Après avoir remédié à une violation, celle-ci apparaît toujours dans l’onglet Violations jusqu’au début de la prochaine exécution planifiée du module d’analyse contenant le scanner qui a signalé la violation, ou jusqu’à ce que vous exécutiez manuellement le paquet de scanner.

When you are signed in to the account with the violations, you can use the Violations tab to perform the following actions:

Triez les violations qui s’appliquent à vous et enregistrez les preuves ou les notes de progression.
Résolvez ou rouvrez les violations pour quelque raison que ce soit et enregistrez la preuve pour les besoins d’audit.
Sort or filter violations by severity, scanner package, scanner version, scanned time, updated time, or status.
Ajoutez des motifs de modification de l’état de la violation afin de fournir un enregistrement clair des actions entreprises.

Vous pouvez remédier aux violations en modifiant la configuration. Pour une violation, le Centre de confiance fournit des suggestions de remédiation. Une fois que vous avez remédié au problème, le Centre de confiance ne signale plus la violation. Vous pouvez également gérer le cycle de vie d’un résultat de violation en modifiant son statut à Resolved. Les notifications par e-mail sont supprimées pour les violations résolues. La suppression empêche d’autres notifications pendant que vous travaillez à la correction des configurations incorrectes sous-jacentes. Un résultat de violation résolu ne génère plus de notification.

Détections¶

Une détection représente un événement qui s’est produit à un moment donné. Les résultats suivants sont des exemples d’événements qui peuvent être signalés comme des détections :

Événements de connexion provenant d’une adresse IP non reconnue.
Une grande quantité de données a été transférée vers une zone de préparation externe.
Une tâche disposait d’un taux d’erreur élevé entre deux instants donnés.

Les scanners signalent chaque détection en fonction d’un déclencheur d’événement. Par exemple, un scanner signale une détection lorsqu’il détecte un événement de connexion suspect et signale une détection distincte lorsqu’il détecte un autre événement de connexion suspect à un autre moment. Pour une détection, le Centre de confiance fournit des informations sur l’événement. Étant donné que l’événement est unique et s’est produit dans le passé, la remédiation directe d’une détection n’est pas possible.

Sur la base des informations fournies par le Centre de confiance, vous pouvez déterminer si la détection est pertinente. Si la détection est pertinente, vous pouvez prendre des mesures pour éviter des événements similaires à l’avenir.

Note

Si le scanner qui a signalé la détection s’exécute à nouveau, il peut ou non signaler des détections similaires. À l’heure actuelle, vous ne pouvez pas gérer le cycle de vie d’une détection.

Pour plus d’informations sur la gestion des détections, voir View detections.

Scanners¶

Un scanner est un processus d’arrière-plan qui vérifie si votre compte présente des risques de sécurité en fonction des critères suivants :

De quelle manière vous avez configuré votre compte.
Événements anormaux.

Le Centre de confiance regroupe les scanners dans des paquets de scanners. Les détails du scanner fournissent des informations sur les risques de sécurité que le scanner vérifie dans votre compte, quand le scanner s’exécute et qui reçoit les notifications concernant les résultats du scanner pour votre compte. Pour voir les détails d’un scanner spécifique, suivez les instructions indiquées dans Voir les détails d’un scanner.

Scanners basés sur la programmation¶

Schedule-based scanners run at specific times, according to their schedules. You must enable a scanner package before you can change the schedule for a scanner. For more information about changing the schedule for a scanner, see Change the schedule for a scanner.

Scanners basés sur les événements¶

Les scanners basés sur les événements génèrent des détections basées sur des événements pertinents. Il peut s’agir par exemple de scanners détectant les connexions à partir d’adresses IP inhabituelles ou de scanners détectant les modifications de paramètres sensibles. Vous ne pouvez pas programmer un scanner basé sur les événements, car c’est un événement et non une programmation qui détermine la détection générée par un scanner basé sur les événements. Le Centre de confiance signale les détections qui sont générées par des scanners basés sur les événements dans l’heure qui suit la survenue d’un événement.

Un scanner basé sur les événements peut détecter des événements qu’un scanner basé sur la programmation pourrait manquer. Prenons l’exemple d’un scanner basé sur la programmation qui détecte les états TRUE ou FALSE d’un paramètre booléen une fois toutes les 10 minutes. Le fait de basculer — c’est-à-dire de modifier l’état — la valeur de ce paramètre de TRUE à FALSE, puis de revenir à TRUE avant que 10 minutes ne se soient écoulées, passerait inaperçu pour le scanner basé sur la programmation. Un scanner basé sur les événements qui détecte chaque changement d’état détecterait les deux événements.

For a current list of event-driven scanners, see Paquet de scanners Threat Intelligence.

Note

Les scanners basés sur les événements peuvent apparaître sous la forme de plusieurs éléments dans l’Vue METERING_HISTORY.

Scanner Packages¶

Les paquets de scanners contiennent une description et une liste des scanners qui s’exécutent lorsque vous activez le paquet de scanners. Une fois que vous avez activé un paquet de scanner, celui-ci s’exécute immédiatement, quelle que soit la planification configurée. Après avoir activé un paquet de scanners, vous pouvez activer ou désactiver individuellement les scanners de ce paquet de scanners. Votre rôle doit disposer du rôle d’application SNOWFLAKE.TRUST_CENTER_ADMIN pour gérer les scanners à l’aide de l’onglet Manage scanners. Pour plus d’informations, voir Required roles.

Les paquets de scanner suivants sont disponibles :

Paquet de scanner Security Essentials
Paquet de scanners CIS Benchmarks
Paquet de scanners Threat Intelligence

For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:

Scanner packages are deactivated by default, except for the Paquet de scanner Security Essentials.

Paquet de scanner Security Essentials¶

The Security Essentials scanner package scans your account to check whether you have set up the following recommendations:

You have an authentication policy that enforces all human users to enroll in MFA if they use passwords to authenticate.
Tous les utilisateurs humains sont inscrits sur à la MFA s’ils utilisent des mots de passe pour s’authentifier.
You set up an account-level network policy that was configured to only allow access from trusted IP addresses.
Vous avez configuré une table d’événements si votre compte a activé le partage d’événements pour une application native, afin que votre compte reçoive une copie des messages de journalisation et des informations sur les événements qui sont partagés avec le fournisseur d’applications.

This scanner package only scans users that are human users; that is, user objects with a TYPE property of PERSON or NULL. For more information, see Types d’utilisateurs.

The Security Essentials scanner package:

Est activé par défaut. Vous ne pouvez pas le désactiver.
Runs once a month. You can’t change this schedule.
Is a free scanner package that doesn’t incur serverless compute cost.

Paquet de scanners CIS Benchmarks¶

Vous pouvez accéder à des insights de sécurité supplémentaires en activant le paquet de scanner CIS Benchmarks, qui contient des scanners évaluant votre compte par rapport aux critères des Benchmarks pour Snowflake de Center for Internet Security (CIS). Les CIS Benchmarks pour Snowflake sont une liste des meilleures pratiques pour la configuration des comptes Snowflake visant à réduire les vulnérabilités en matière de sécurité. Les CIS Benchmarks pour Snowflake ont été créés grâce à la collaboration de la communauté et au consensus d’experts en la matière.

Pour obtenir une copie du document CIS Benchmarks pour Snowflake, consultez le site Web CIS Benchmark pour Snowflake.

Les recommandations contenues dans les CIS Benchmarks pour Snowflake sont numérotées par section et par recommandation. Par exemple, la première recommandation de la première section est numérotée 1.1. Dans l’onglet Violations, le Centre de confiance fournit des numéros de section pour chaque violation si vous souhaitez faire référence aux CIS Benchmarks de Snowflake.

Ce paquet de scanners s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.

Note

Pour certains CIS Benchmarks pour Snowflake, Snowflake détermine uniquement si vous avez mis en œuvre une mesure de sécurité spécifique, mais n’évalue pas si la mesure de sécurité a été mise en œuvre de manière à atteindre son objectif. Pour ces benchmarks, l’absence de violation ne garantit pas que la mesure de sécurité est mise en œuvre de manière efficace. Les benchmarks suivants n’évaluent pas si vos mesures de sécurité ont été mises en œuvre de manière à atteindre leur objectif, ou bien le Centre de confiance n’effectue pas de vérifications à leur sujet :

All of section 2 : assurez-vous que les activités sont surveillées et fournissez des recommandations pour la configuration de Snowflake afin de traiter les activités qui requièrent une attention particulière. Ces scanners contiennent des requêtes complexes dont les violations n’apparaissent pas dans la console Snowsight.

Un responsable de la sécurité peut obtenir des informations précieuses sur les scanners de la section 2 en exécutant la requête suivante sur la vue snowflake.trust_center.findings :
```
SELECT start_timestamp,
       end_timestamp,
       scanner_id,
       scanner_short_description,
       impact,
       severity,
       total_at_risk_count,
       AT_RISK_ENTITIES
  FROM snowflake.trust_center.findings
  WHERE scanner_type = 'Threat' AND
        completion_status = 'SUCCEEDED'
  ORDER BY event_id DESC;
```
Copy
Dans la sortie, la colonne AT_RISK_ENTITIES contient le contenu de JSON avec des détails sur les activités qui nécessitent une révision ou une remédiation. Par exemple, le scanner CIS_BENCHMARKS_CIS2_1 surveille les octrois de privilèges élevés et les responsables de la sécurité doivent examiner attentivement les événements signalés par ce scanner, tels que l’exemple d’événement suivant :
```
[
  {
    "entity_detail": {
      "granted_by": joe_smith,
      "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
      "modified_on": "2025-01-01 07:00:00.000 Z",
      "role_granted": "ACCOUNTADMIN"
    },
    "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_object_type": "ROLE"
  }
]
```
Snowflake propose les meilleures pratiques suivantes pour les scanners de la section 2 :
- Ne désactivez pas les scanners de la section 2 si vous n’êtes pas sûr d’avoir mis en place des mesures de surveillance suffisantes.
- Inspect the violations of section 2 scanners on a regular cadence or configure a monitoring task for detections. Specifically, configure monitoring as described in the SUGGESTED_ACTION column of the snowflake.trust_center.findings view.
3.1: Ensure that an account-level network policy was configured to only allow access from trusted IP addresses. Trust Center displays a violation if you don’t have an account-level network policy, but doesn’t evaluate whether the appropriate IP addresses have been allowed or blocked.
4.3 : veillez à ce que le paramètre DATA_RETENTION_TIME_IN_DAYS soit défini sur 90 pour les données critiques. Le Trust Center affiche une violation si le paramètre DATA_RETENTION_TIME_IN_DAYS associé à Time Travel n’est pas défini sur 90 jours pour le compte ou au moins pour un objet, mais n’évalue pas quelles données sont considérées comme critiques.
4.10 : assurez-vous que le masquage des données est activé pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique de masquage, mais n’évalue pas si les données sensibles sont protégées de manière appropriée. Le Centre de confiance n’évalue pas si une politique de masquage est affectée à au moins une table ou une vue.
4.11 : veillez à ce que les politiques d’accès aux lignes soient configurées pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique d’accès aux lignes, mais n’évalue pas si les données sensibles sont protégées. Le Centre de confiance n’évalue pas si une politique d’accès aux lignes est affectée à au moins une table ou une vue.

Paquet de scanners Threat Intelligence¶

Vous pouvez accéder à des informations de sécurité supplémentaire dans le Trust Center en activant le paquet de scanner Threat Intelligence. Ce paquet identifie les risques sur la base des critères suivants :

Types d’utilisateurs : Si un utilisateur de compte Snowflake est un humain ou un service.
Authentication methods or policies: Whether a user logs in to their account with a password without being enrolled in MFA.
Activité de connexion : Si un utilisateur ne s’est pas connecté récemment.
Taux d’échecs anormaux : Si un utilisateur présente un nombre élevé d’échecs d’authentification ou d’erreurs de tâches.
Nouveau ! Résultats de détection : tous les nouveaux scanners qui signalent des résultats de détection.

Specific scanners in the Threat Intelligence package identify users that demonstrate potentially risky behavior as risky. The following table provides examples:

Threat Intelligence scanners¶

Scanner	Type	Description
Faire migrer les utilisateurs humains vers une connexion autre que par mot de passe uniquement	Basé sur la programmation	Identifies human users who (a) haven’t set up MFA and signed in with a password at least once in the past 90 days and (b) have a password but haven’t set up MFA and haven’t signed in for 90 days.
Faire migrer les utilisateurs de services hérités vers une connexion autre que par mot de passe uniquement	Basé sur la programmation	Identifies legacy service users who have a password and (a) have signed in with only a password at least once in the past 90 days and (b) haven’t signed in for 90 days.
Identifier les utilisateurs présentant un volume élevé d’échecs d’authentification	Basé sur la programmation	Identifies users with a high number of authentication failures or job errors, which might indicate attempted takeovers of an account, misconfigurations, exceeded quotas, or permission issues. Provides a risk-severity finding and a risk-mitigation recommendation.

New Threat Intelligence scanners¶

Les scanners basés sur la programmation et les scanners basés sur les événements peuvent signaler des détections. Cet prévisualisation ajoute de nouveaux scanners des deux types. Tous les scanners ajoutés génèrent des détections au lieu de résultats de violations.

This preview adds the following new scanners to the Paquet de scanners Threat Intelligence:

Scanner	Type	Description
Modifications apportées aux politiques d’authentification	Basé sur les événements	Recherche les modifications apportées aux politiques d’authentification au niveau du compte et au niveau de l’utilisateur.
Connexions d’utilisateurs inactifs	Basé sur les événements	Analyse les événements de l’historique de connexion et signale les connexions des utilisateurs qui ne se sont pas connectés au cours des 90 derniers jours.
Entités avec requêtes de longue durée	Basé sur la programmation	Recherche les utilisateurs et les IDs de requêtes associés aux requêtes de longue durée, c’est-à-dire les requêtes dont la durée s’écarte de deux écarts-types par rapport à la durée moyenne des requêtes au cours des 7 derniers jours ou depuis la dernière exécution du scanner, selon la date la plus récente. Nous vous recommandons de configurer ce scanner pour qu’il s’exécute une fois par jour. Ce scanner peut coûter plus cher au départ, car il crée un cache de 30 jours, qu’il stocke par la suite. Le Centre de confiance signale un événement de détection la première fois que ce scanner s’exécute.
Protection de la connexion	Basé sur les événements	Recherche des connexions récentes d’adresses IP inhabituelles. Important Ces événements proviennent du service de protection contre les adresses IP malveillantes et requièrent une attention immédiate.
Protection des paramètres sensibles	Basé sur les événements	Signale la désactivation des paramètres sensibles suivants au niveau du compte : PREVENT_UNLOAD_TO_INLINE_URL, REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION et REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION. Ce scanner ne signale que les détections d’un changement de `TRUE` à `FALSE` pour ces paramètres, qui sont définis sur `TRUE` par défaut pour une sécurité optimale.
Utilisateurs disposant de privilèges d’administrateur	Basé sur la programmation	Recherche des utilisateurs nouvellement créés dont le rôle par défaut est un rôle d’administrateur, ainsi que les attributions récentes d’utilisateurs existants qui leur accordent un rôle d’administrateur.
Utilisateurs disposant d’applications inhabituelles utilisées dans les sessions	Basé sur la programmation	Recherche des utilisateurs qui ont utilisé des applications client inhabituelles qui se connectent à Snowflake.

Ce paquet de scanner Threat Intelligence s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.

Prochaines étapes¶

Premiers pas avec le Trust Center