EVALUATE_CANDIDATE_NETWORK_POLICY¶
정책을 활성화하지 않고 과거 수신 트래픽에 대해 후보 네트워크 정책을 적용하는 효과를 시뮬레이션합니다.
관리자는 출력을 분석하여 다음 질문에 답할 수 있습니다.
이 정책으로 무엇이 차단되었나요?
합법적인 사용자가 영향을 받나요?
프로시저는 관찰된 모든 수신 클라이언트 IPs를 평가하고 행 수준의 가상 결과를 생성합니다. 계정 구성은 수정하지 않습니다.
- 참고 항목:
구문¶
인자¶
필수:
POLICY_NAME => 'string'평가할 후보 네트워크 정책의 이름입니다.
선택 사항:
LOOKBACK_DAYS => 'integer'평가할 과거 수신 트래픽의 일수입니다. 시뮬레이션이 얼마나 과거까지 확인할지 제어합니다.
기본값: 90
USER_NAME => 'string'지정된 사용자의 트래픽만 포함하도록 평가를 필터링합니다.
기본값: 필터가 없으며, 모든 사용자가 포함됩니다.
반환¶
(최소한) 다음 열이 있는 테이블을 반환합니다.
열 이름 |
데이터 타입 |
설명 |
|---|---|---|
|
VARCHAR |
과거 수신 트래픽에서 관찰된 클라이언트 IP 주소입니다. |
|
VARCHAR |
후보 정책이 활성화된 경우 IP가 허용되는지( |
해석:
YES— 정책이 활성화된 경우 이 IP가 허용됩니다.NO— 정책이 활성화된 경우 이 IP가 차단됩니다.
평가 결과는 정책을 활성화하지 않습니다. 권장 네트워크 정책을 적용하려면 ALTER ACCOUNT 명령을 실행하여 활성화해야 합니다. 예제는 :ref:`label-gen-and-eval-candidate-network-policy`의 8단계를 참조하세요.
액세스 제어 요구 사항¶
이 저장 프로시저를 실행하려면 사용자에게 최소한 SECURITYADMIN 역할이 있어야 합니다.
지정된 권한 세트로 사용자 지정 역할을 만드는 방법에 대한 지침은 사용자 지정 역할 만들기 섹션을 참조하십시오.
보안 오브젝트 에 대해 SQL 작업을 수행하기 위한 역할과 권한 부여에 대한 일반적인 정보는 액세스 제어의 개요 섹션을 참조하십시오.
사용법 노트¶
이 프로시저는 계정 구성과 관련하여 읽기 전용입니다. 네트워크 정책을 활성화하거나 수정하지 않습니다.
이 프로시저에서는 IP 주소가 조직에 올바르거나 안전한지 판단할 수 없습니다. 정책을 활성화하기 전에 해당 IT 및 보안 팀과 결과를 검증해야 합니다.
대량의 과거 수신 액세스 데이터가 있는 계정의 경우 실행 시간이 1~2분 정도 걸릴 수 있습니다.
트래픽이 많은 계정의 경우 평가 결과가 조밀할 수 있으며 필터링 또는 시각화가 필요할 수 있습니다.
출력의 각 행은 관리자가 검토해야 하는 의사 결정 지점을 나타냅니다.
예¶
기본 조회 기간을 사용하여 후보 네트워크 정책을 평가합니다.
지난 90일간의 수신 트래픽에 대해 후보 네트워크 정책을 평가합니다.
이름이 ``user1``인 사용자에 대한 지난 90일간의 수신 트래픽에 대해 후보 네트워크 정책을 평가합니다.