構文¶

SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => <integer>
  [, USER_NAME => '<string>' ]
  )

引数¶

必須：

LOOKBACK_DAYS => 'integer'

分析対象となる成功したイングレスアクセスの日数。

オプション：

USER_NAME => 'string'

推奨結果を指定されたユーザーからのトラフィックのみを含むようにフィルタリングします。

デフォルト：なし（アカウント内のすべてのユーザーを含みます）。

戻り値¶

SQLステートメントの例を含む人間可読なテキストを返します。出力には、次の情報が含まれます。

• 分析された個別のIPアドレスの数と、生成されたCIDRブロックの数の概要。

• イングレスネットワークルールのCREATE OR REPLACE NETWORK RULEステートメントの例。

• ルールを参照するネットワークポリシーのCREATE OR REPLACE NETWORK POLICYステートメントの例。

使用上の注意¶

• プロシージャは、アカウント構成に関して読み取り専用です。ネットワークルールやポリシーを作成したり変更したりすることはありません。

• 推奨事項は、過去の**成功した**イングレスのみに基づいています。ブロックされたアクセスや失敗したアクセスは、許可リストへの追加対象として推奨されません。

• このプロシージャは、どのIPアドレスが組織にとって正しいか、または安全かを判断できません。生成されたSQLを実行する前に、ITおよびセキュリティチームと結果を検証する必要があります。

• コピー＆ペーストのワークフローをサポートするために、SQLはテキストとして提供されます。

• 出力は、トラフィック量とルックバックウィンドウによって異なる場合があります。

• USER_NAMEフィルターはオプションです。省略した場合、推奨事項はアカウント内のすべてのユーザーを対象とします。

• プロシージャは、**1,000件のCIDRブロック**という上限を適用します。推奨がこの制限を超えた場合、プロシージャはエラーを返します。制限内にとどまるには、ルックバックウィンドウを短くするか、ユーザーでフィルターしてみてください。

例¶

特定のユーザーの過去1日のトラフィックに基づいて、推奨ネットワークポリシーを生成します。

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 1,
  USER_NAME => 'user1'
  );

すべてのユーザーの過去30日間のトラフィックに基づいて、推奨ネットワークポリシーを生成します。

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 30
  );

Recommended candidate network policy based on 1,000 distinct IP addresses,
optimized to 99 CIDR blocks from the last 30 days.

You can execute the following statements with appropriate privileges:

-- Create a network rule

CREATE OR REPLACE NETWORK RULE my_ingress_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('203.0.113.0/24', ...);

-- Create a network policy

CREATE OR REPLACE NETWORK POLICY my_ingress_policy
  ALLOWED_NETWORK_RULE_LIST = ('my_ingress_rule');