悪意のあるIP保護¶
概要¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake's and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
IPカテゴリ |
説明 |
|---|---|
ANONYMOUS_VPN |
匿名VPNサービスに関連するIPアドレス。 |
ANONYMOUS_PROXIES |
匿名プロキシサーバーに関連付けられたIPアドレス。 |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
悪意のあるIP保護サービスは、この厳選されたリストのすべてのカテゴリのIPアドレスから発信されるネットワークアクセス試行をデフォルトでブロックします。
ネットワークログインの詳細を表示¶
アカウント使用状況 LOGIN_HISTORY ビュー を使用して、悪意のあるIP保護サービスがブロックしたネットワークアクセスの試行の詳細を確認できます。たとえば、アカウントのログインイベントを表示するには、次のクエリを実行します。
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
次に、アカウントのLOGIN_HISTORYビュー出力の is_success および login_details 列を確認します。
ブロックされたネットワークアクセス試行について、 is_success 列に NO が表示されます。
次の例は、ブロックされたIPアドレスの login_details 列で表示される出力を示しています。
- 例 --- 「LOW」リスクに分類されたブロック済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 例 --- 「HIGH」リスクに分類されたブロック済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
各結果に対応するIPアドレスが ip_address 列に表示されます。
低リスクとして分類されたIPアドレスがブロックされたことに気付いた場合、そのカテゴリのブロックをオプトアウトすることを選択できます。
Manage Malicious IP Protection for low-risk categories¶
低リスクとして分類されているIPアドレスのブロックのオプトアウトを行って、悪意のあるIP保護を管理できます。高リスクとして分類されているIPアドレスのブロックをオプトアウトすることはできません。
カテゴリのブロックをオプトアウトするには、 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を実行して、引数として低リスクカテゴリ名を指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
別のカテゴリのブロックをオプトアウトするには、 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を再度実行し、引数として 両方 の低リスクカテゴリ名を指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
IPアドレスのブロックを再度有効にするにはSYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 関数を実行して、 '' を引数として指定します。例:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
必要に応じて、関数を実行し、2番目の引数としてユーザー名を指定して、指定したユーザーに対してのみIPアドレスのブロックをオプトアウトするか、再度有効にします。たとえば、特定のユーザー JSMITH に対して ANONYMOUS_VPN カテゴリのIPアドレスに対する悪意のあるIP保護を無効にするには、次のコマンドを実行します。
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
次の例は、 login_details 列のAccount Usage LOGIN_HISTORY ビューの出力を表示しています。この結果のIPアドレスは、SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY関数を実行して、MALICIOUS_BEHAVIORカテゴリのブロックをオプトアウトされています。
- 例 --- 「LOW」リスクに分類されたブロック解除済みIP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}