Malicious IP Protection¶
Visão geral¶
O serviço de proteção contra IP malicioso detecta continuamente as tentativas de acesso à rede originadas de endereços IP mantidos em uma lista selecionada. O serviço protege a instância do Snowflake bloqueando tentativas de acesso à rede originadas desses endereços IP. O serviço reforça a postura de segurança do Snowflake e do cliente, reduzindo o risco de acesso não autorizado, violações de dados e atividades maliciosas.
O Snowflake mantém e seleciona uma lista de endereços IP, com base em dados obtidos de fontes de dados de segurança cibernética de terceiros que fornecem inteligência externa contra ameaças. Os endereços IP são de atores mal-intencionados conhecidos. A tabela a seguir lista e descreve como o Snowflake categoriza endereços IP com base na análise de impacto:
Categoria de IP |
Descrição |
|---|---|
ANONYMOUS_VPN |
Endereços IP associados a serviços de VPN anônimos. |
ANONYMOUS_PROXIES |
Endereços IP associados a servidores proxy anônimos. |
MALICIOUS_BEHAVIOR |
Endereços IP associados a malware e comportamento conhecidos, como tentativas automatizadas de login por força bruta. |
TOR_EXITS |
Endereços IP usados como nós de saída para a rede Tor. |
O serviço de proteção contra IP malicioso bloqueia as tentativas de acesso à rede originadas de endereços IP em todas as categorias nesta lista selecionada por padrão.
Visualizar os detalhes de login na rede¶
Você pode recorrer ao Exibição LOGIN_HISTORY de uso da conta para ver detalhes das tentativas de acesso à rede que o serviço de proteção contra IP malicioso bloqueou. Por exemplo, para visualizar os eventos de login da sua conta, execute a seguinte consulta:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
A seguir, examine as colunas is_success e login_details da saída da exibição LOGIN_HISTORY da sua conta.
NO aparece na coluna is_success para tentativas de acesso à rede bloqueadas.
Os exemplos a seguir mostram a saída que aparece na coluna login_details para os endereços IP bloqueados:
- Exemplo: IP bloqueado categorizado como risco «LOW»:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Exemplo: IP bloqueado categorizado como risco «HIGH»:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
O endereço IP que corresponde a cada resultado aparece na coluna ip_address.
Se você notar que os endereços IP categorizados como de baixo risco foram bloqueados, poderá escolher para não bloquear essa categoria.
Gerenciar a proteção contra IP malicioso para categorias de baixo risco¶
Você pode gerenciar a proteção contra IP malicioso ao desativar o bloqueio de endereços IP categorizados como de baixo risco. Não é possível desativar o bloqueio de endereços IP categorizados como de alto risco.
Para desativar o bloqueio de uma categoria, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY e forneça um nome de categoria de baixo risco como argumento. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Para desativar o bloqueio de outra categoria, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY novamente e forneça ambos os nomes de categorias de baixo risco como argumentos. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Para reabilitar o bloqueio de endereços IP, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY e forneça '' como argumento. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
Opcionalmente, execute a função e forneça um nome de usuário como segundo argumento para desativar ou reabilitar o bloqueio de endereços IP apenas para o usuário que você especificar. Por exemplo, para desabilitar a proteção contra IP malicioso para endereços IP na categoria ANONYMOUS_VPN para o usuário específico JSMITH, execute os seguintes comandos:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
O exemplo a seguir mostra a saída da visualização do uso da conta LOGIN_HISTORY na coluna login_details. O endereço IP para esse resultado foi desativado para bloquear a categoria MALICIOUS_BEHAVIOR executando a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY:
- Exemplo: IP desbloqueado categorizado como risco «LOW»:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}