悪意のあるIP保護¶
概要¶
悪意のあるIP保護サービスは、厳選されたリストで管理されているIPアドレスから発信されたネットワークアクセスの試行を継続的に検出します。サービスは、Snowflakeインスタンスを保護するために、 IP アドレスから発信されるネットワークアクセスの試行をブロックします。このサービスは、不正アクセス、データ侵害、悪意のあるアクティビティのリスクを低減することにより、Snowflakeと顧客の両方のセキュリティ体制を強化します。
Snowflakeは、外部の脅威インテリジェンスを提供するサードパーティのサイバーセキュリティデータソースから取得したデータに基づき、IPアドレスのリストを維持およびキュレーションします。そのIPアドレスは既知の不正なアクターからのものです。次のテーブルはリストで、影響分析に基づきSnowflakeがIPアドレスを分類する方法を説明しています。
IPカテゴリ |
説明 |
|---|---|
ANONYMOUS_VPN |
匿名VPNサービスに関連するIPアドレス。 |
ANONYMOUS_PROXIES |
匿名プロキシサーバーに関連付けられたIPアドレス。 |
MALICIOUS_BEHAVIOR |
既知のマルウェアや自動ブルートフォースログイン試行などの動作に関連するIPアドレス。 |
TOR_EXITS |
Torネットワークの終了ノードとして使用されるIPアドレス。 |
悪意のあるIP保護サービスは、この厳選されたリストのすべてのカテゴリのIPアドレスから発信されるネットワークアクセス試行をデフォルトでブロックします。
ネットワークログインの詳細を表示¶
アカウント使用状況 LOGIN_HISTORY ビュー を使用して、悪意のあるIP保護サービスがブロックしたネットワークアクセスの試行の詳細を確認できます。たとえば、アカウントのログインイベントを表示するには、次のクエリを実行します。
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
次に、アカウントのLOGIN_HISTORYビュー出力の is_success および login_details 列を確認します。
ブロックされたネットワークアクセス試行について、 is_success 列に NO が表示されます。
次の例は、ブロックされたIPアドレスの login_details 列で表示される出力を示しています。
- 例 --- 「LOW」リスクに分類されたブロック済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 例 --- 「HIGH」リスクに分類されたブロック済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
各結果に対応するIPアドレスが ip_address 列に表示されます。
低リスクとして分類されたIPアドレスがブロックされたことに気付いた場合、そのカテゴリのブロックをオプトアウトすることを選択できます。
低リスクカテゴリに対する悪意のあるIP保護の管理¶
低リスクとして分類されているIPアドレスのブロックのオプトアウトを行って、悪意のあるIP保護を管理できます。高リスクとして分類されているIPアドレスのブロックをオプトアウトすることはできません。
カテゴリのブロックをオプトアウトするには、 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を実行して、引数として低リスクカテゴリ名を指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
別のカテゴリのブロックをオプトアウトするには、 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を再度実行し、引数として 両方 の低リスクカテゴリ名を指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
IPアドレスのブロックを再度有効にするにはSYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を実行して、 '' を引数として指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
必要に応じて、関数を実行し、2番目の引数としてユーザー名を指定して、指定したユーザーに対してのみIPアドレスのブロックをオプトアウトするか、再度有効にします。たとえば、特定のユーザー JSMITH に対して ANONYMOUS_VPN カテゴリのIPアドレスに対する悪意のあるIP保護を無効にするには、次のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
次の例は、 login_details 列のAccount Usage LOGIN_HISTORY ビューの出力を表示しています。この結果のIPアドレスは、SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY関数を実行して、MALICIOUS_BEHAVIORカテゴリのブロックをオプトアウトされています。
- 例 --- 「LOW」リスクに分類されたブロック解除済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}