Visão geral do Trust Center¶

Você pode usar o Trust Center para avaliar, monitorar e reduzir os riscos de segurança potenciais em suas contas Snowflake. O Trust Center avalia cada conta Snowflake em relação às recomendações especificadas em verificadores. Os verificadores podem gerar descobertas. Descobertas do Trust Center fornecem informações sobre como reduzir os riscos de segurança potenciais em sua conta Snowflake. Nem toda execução de verificador gera uma descoberta. Uma execução de verificador que não encontra nenhum problema de segurança não gera nenhuma descoberta no Trust Center. Você também pode usar o Trust Center para configurar notificações proativas que ajudam a monitorar sua conta em busca de riscos de segurança.

Casos de uso comuns do Trust Center¶

Para obter mais informações sobre como usar o Trust Center para reduzir os riscos de segurança em sua conta Snowflake, consulte os seguintes tópicos:

Limitações¶

Contas de leitor Snowflake não são compatíveis.

Funções necessárias¶

Para visualizar ou gerenciar verificadores e as descobertas deles usando o Trust Center, um usuário com a função ACCOUNTADMIN role deve conceder a função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER ou SNOWFLAKE.TRUST_CENTER_ADMIN :ref:` <label-native_apps_app_roles_about>` à sua função.

A tabela a seguir lista as tarefas comuns que você executa usando a interface do usuário do Trust Center e a função de aplicativo mínima necessária para executar essas tarefas:

Nota

Se você estiver usando o Trust Center na conta da organização, use a função GLOBALORGADMIN, e não a ACCOUNTADMIN, para conceder funções de aplicativo à Trust Center.

Consulte a tabela a seguir para obter informações sobre quais funções de aplicativo são necessárias para acessar guias específicas no Trust Center:

Tarefa	Aba do Trust Center	Função mínima de aplicativo necessária	Notas
Visualizar descobertas de detecção	Detections	`SNOWFLAKE.TRUST_CENTER_VIEWER`	A função `SNOWFLAKE.TRUST_CENTER_ADMIN` também pode visualizar detecções.
Visualizar descobertas de violação	Violations	`SNOWFLAKE.TRUST_CENTER_VIEWER`	A função `SNOWFLAKE.TRUST_CENTER_ADMIN` também pode visualizar violações.
Gerenciar o ciclo de vida das descobertas de violação	Violations	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
Gerenciar pacotes de verificadores	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
Gerenciar verificadores	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
Visualizar violações no nível da organização	Organization	`ORGANIZATION_SECURITY_VIEWER` e `SNOWFLAKE.TRUST_CENTER_ADMIN`	A guia Organization é visível somente em uma conta da organização :doc:` </user-guide/organization-accounts>`.

Você pode criar uma função personalizada que forneça acesso somente para exibição às guias Violations e Detections. Você também pode criar uma função separada, de nível de administrador, para gerenciar violações e verificadores usando as guias Violations e Manage scanners. Por exemplo, para criar essas duas funções diferentes, execute os seguintes comandos:

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;

Copy

Nota

Este exemplo não pretende recomendar uma hierarquia de funções completa para usar o Trust Center. Para obter mais informações, consulte cada subseção em Uso do Trust Center.

Uso da conectividade privada com o Trust Center¶

O Trust Center oferece suporte à conectividade privada. Para obter mais informações, consulte Uso de conectividade privada.

Descobertas do Trust Center¶

As descobertas do Trust Center incluem dois tipos: violações e detecções. Ambas as descobertas são geradas por verificadores à medida que são executados em suas contas Snowflake.

Você pode analisar as descobertas no :ref:` nível da organização <label-trust_center_findings_org>` ou pode examinar mais detalhadamente as :ref:` descobertas de uma conta específica <label-trust_center_findings_account>`.

Nota

Atualmente, não é possível visualizar as descobertas de detecção no nível da organização.

Descobertas no nível da organização¶

A guia Organization fornece informações sobre as descobertas de violação geradas em todas as contas da organização. Essa guia inclui as seguintes informações:

O número de violações na organização.
As contas com as violações mais críticas.
O número de violações de cada conta na organização. Você pode selecionar uma conta para detalhar cada violação.

Nota

Você não pode usar a guia Organization para resolver ou reabrir violações. Para executar essas ações, faça login na conta com a violação e acesse a guia Violations.

Para acessar a guia Organization, você deve atender aos seguintes requisitos:

Faça login na conta da organização.
Use uma função que tenha a função de aplicativo ORGANIZATION_SECURITY_VIEWER. Você também deve ter uma função de aplicativo do Trust Center.

Descobertas no nível da conta¶

Verificadores encontram e relatam violações e detecções por meio do Trust Center. Uma violação persiste ao longo do tempo e representa uma configuração que não está em conformidade com os requisitos de um verificador. Uma detecção ocorre uma única vez e representa um evento único. Você pode usar o Trust Center para visualizar e gerenciar as descobertas da sua conta. Para obter mais informações, consulte Uso do Trust Center.

Violações¶

Um verificador pode examinar uma entidade a qualquer momento e determinar se ela está em violação com base apenas na configuração atual dela. Os verificadores continuam relatando violações, a menos que você altere a configuração para corrigi-las. Por exemplo, um verificador relata uma violação se alguns usuários não configuraram a autenticação multifator (MFA).

A guia Violations mostra informações no nível da conta sobre os resultados do verificador, que incluem:

Um gráfico de violações de verificador ao longo do tempo, codificado por cores e por gravidade baixa, média, alta e crítica.
Uma lista interativa para cada violação encontrada. Cada linha da lista contém detalhes sobre a violação, quando o verificador foi executado pela última vez e como corrigir a violação.

As violações permitem que você identifique as configurações do Snowflake na conta que violam os requisitos dos pacotes de verificadores habilitados. Para cada violação, o Trust Center fornece uma explicação de como remediar a violação. Após corrigir uma violação, ela ainda aparecerá na guia Violations até que a próxima execução agendada do pacote de verificadores que contém o verificador que relatou a violação comece ou até que você execute o pacote de verificadores manualmente.

Quando você estiver conectado à conta com as violações, poderá usar a guia Violations para executar as seguintes ações:

Faça a triagem das violações que se aplicam a você e registre as evidências ou notas de progresso.
Resolva ou reabra as violações por qualquer motivo e registre a justificativa para as necessidades de auditoria.
Classifique ou filtre violações por gravidade, pacote do verificador, versão do verificador, horário da verificação, horário da atualização ou status.
Adicione motivos para uma alteração de status de violação para fornecer um registro claro das ações tomadas.

Você pode corrigir as violações alterando a configuração. Para uma violação, o Trust Center fornece sugestões de correção. Após corrigir o problema, o Trust Center não relatará mais a violação. Você também pode gerenciar o ciclo de vida de uma descoberta de violação alterando o status dele para Resolved. As notificações por e-mail são suprimidas para violações resolvidas. A supressão impede mais notificações enquanto você trabalha para corrigir as configurações incorretas subjacentes. Uma descoberta de violação resolvida não gera mais notificações.

Detecções¶

Uma detecção representa um evento que ocorreu em um horário específico. As descobertas a seguir são exemplos de eventos que podem ser relatados como detecções:

Eventos de login originados de um endereço IP não reconhecido.
Uma grande quantidade de dados foi transferida para uma área de preparação externa.
Uma tarefa apresentou uma alta taxa de erros entre dois momentos distintos.

Os verificadores registram cada detecção com base em um acionador de evento. Por exemplo, um verificador relata uma detecção quando detecta um evento de login suspeito e relata uma detecção separada quando detecta outro evento de login suspeito em um momento diferente. Para uma detecção, o Trust Center fornece informações sobre o evento. Como o evento é único e ocorreu no passado, a remediação direta de uma detecção não é possível.

Com base nas informações fornecidas pelo Trust Center, você pode investigar se a detecção é significativa. Se a detecção for significativa, você pode tomar medidas para impedir eventos semelhantes no futuro.

Nota

Se o verificador que relatou a detecção for executado novamente, ele poderá ou não relatar detecções semelhantes. Atualmente, você não pode gerenciar o ciclo de vida de uma detecção.

Para obter mais informações sobre como gerenciar detecções, consulte Visualização das detecções.

Verificadores¶

Um verificador é um processo em segundo plano que verifica sua conta em busca de riscos de segurança com base nos seguintes critérios:

Como você configurou sua conta.
Eventos anômalos.

O Trust Center agrupa os verificadores em pacotes de verificadores. Os detalhes do verificador fornecem informações sobre quais riscos de segurança o verificador confere em sua conta, quando o verificador é executado e quem recebe notificações sobre as descobertas do verificador para sua conta. Para ver os detalhes de um verificador específico, siga as instruções em Visualização dos detalhes de um verificador.

Verificadores baseados em cronograma¶

Os verificadores baseados em cronograma são executados em horários específicos, de acordo com os respectivos cronogramas. Você deve habilitar um pacote de verificadores antes de poder alterar o cronograma de um verificador. Para obter mais informações sobre como alterar o cronograma de um verificador, consulte Alteração do cronograma de um verificador.

Verificadores orientados por eventos¶

Verificadores orientados por eventos geram detecções com base em eventos relevantes. Exemplos incluem verificadores que detectam logins de endereços IP incomuns e verificadores que detectam alterações em parâmetros confidenciais. Você não pode agendar um verificador orientado por eventos, porque um evento, e não um cronograma, aciona a detecção que um verificador orientado por eventos gera. O Trust Center relata as detecções geradas por verificadores orientados por eventos dentro de uma hora após a ocorrência do evento.

Um verificador baseado em eventos pode detectar eventos que um verificador baseado em cronograma poderia perder. Por exemplo, considere um verificador baseado em cronograma que detecta o estado TRUE ou FALSE de um parâmetro booleano uma vez a cada 10 minutos. A alternância (isto é, a mudança de estado) do valor desse parâmetro de TRUE para FALSE e, em seguida, de volta para TRUE antes de 10 minutos passarem ocorreria sem ser detectada pelo verificador baseado em cronograma. Um verificador baseado em eventos que detecta cada mudança de estado detectaria ambos os eventos.

Para obter uma lista atual de verificadores orientados por eventos, consulte Pacote de verificadores Threat Intelligence.

Nota

Os verificadores orientados por eventos podem aparecer como vários itens em Exibição METERING_HISTORY.

Pacotes de verificadores¶

Pacotes de verificadores contêm uma descrição e uma lista de verificadores que são executados quando você ativa o pacote de verificadores. Depois de habilitar um pacote de verificadores, ele é executado imediatamente, independentemente do cronograma configurado. Depois de ativar um pacote de verificadores, você pode ativar ou desativar verificadores individuais no pacote de verificadores. Sua função deve ter a função de aplicativo SNOWFLAKE.TRUST_CENTER_ADMIN para gerenciar verificadores usando a guia Manage scanners. Para obter mais informações, consulte Funções necessárias.

Os seguintes pacotes de verificadores estão disponíveis:

Pacote de verificadores Segurança Básica
Pacote de verificadores de Benchmarks CIS
Pacote de verificadores Threat Intelligence

Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados, como alterar o cronograma de um pacote de verificador e como visualizar a lista de verificadores atuais em um pacote, consulte os seguintes tópicos:

Os pacotes de verificadores são desativados por padrão, exceto o Pacote de verificadores Segurança Básica.

Pacote de verificadores Segurança Básica¶

O pacote de verificadores Security Essentials examina sua conta para ver se você configurou as seguintes recomendações:

Você tem uma política de autenticação que obriga todos os usuários humanos a se inscreverem na MFA se usarem senhas para autenticação.
Todos os usuários humanos estão inscritos em MFA se usarem senhas para autenticação.
Você definiu uma política de redes em nível de conta que foi configurada para permitir acesso somente de endereços IP confiáveis.
Você configurou uma tabela de eventos se sua conta habilitou o compartilhamento de eventos para um aplicativo nativo, para que sua conta receba uma cópia das mensagens de log e das informações de eventos que são compartilhadas com o provedor de aplicativos.

Esse pacote de verificadores verifica apenas usuários que são humanos; ou seja, objetos de usuário com uma propriedade TYPE de PERSON ou NULL. Para obter mais informações, consulte Tipos de usuários.

O pacote de verificadores Security Essentials:

Está ativado por padrão. Você não pode desativá-lo.
É executado uma vez por mês. Você não pode alterar essa programação.
É um pacote de verificadores gratuito que não gera custos de computação sem servidor.

Pacote de verificadores de Benchmarks CIS¶

Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Benchmarks CIS, que contém verificadores que avaliam sua conta em relação aos Benchmarks do Center for Internet Security (CIS) do Snowflake. Os CIS Snowflake Benchmarks são uma lista de práticas recomendadas para configurações de conta Snowflake destinadas a reduzir vulnerabilidades de segurança. Os CISSnowflake Benchmarks foram criados por meio da colaboração da comunidade e do consenso entre especialistas no assunto.

Para obter uma cópia dos CIS Snowflake Benchmarks, consulte o site dos CIS Snowflake Benchmarks.

As recomendações encontradas nos CIS Snowflake Benchmarks são numerados por seção e recomendação. Por exemplo, a primeira recomendação da primeira seção é numerada como 1.1. Na aba Violations, o Trust Center fornece números de seção para cada violação se você quiser fazer referência aos CIS Snowflake Benchmarks.

Por padrão, esse pacote de verificadores é executado uma vez por dia, mas você pode alterar o cronograma.

Nota

Para benchmarks CIS específicos do Snowflake, o Snowflake apenas determina se você implementou uma medida de segurança específica, mas não avalia se a medida de segurança foi implementada de uma forma que atinja seu objetivo. Para esses parâmetros de comparação, a ausência de violação não garante que a medida de segurança seja implementada de maneira eficaz. Os seguintes parâmetros de comparação não avaliam se suas implementações de segurança foram implementadas de forma a alcançar seu objetivo, ou o Trust Center não realiza verificações para elas:

Toda a seção 2: garanta que as atividades sejam monitoradas e forneça recomendações para configurar o Snowflake para tratar das atividades que exigem atenção. Esses verificadores contêm consultas complexas cujas violações não aparecem no console do Snowsight.

Um oficial de segurança pode obter informações valiosas dos verificadores da seção 2 executando a seguinte consulta na visualização snowflake.trust_center.findings:
```
SELECT start_timestamp,
       end_timestamp,
       scanner_id,
       scanner_short_description,
       impact,
       severity,
       total_at_risk_count,
       AT_RISK_ENTITIES
  FROM snowflake.trust_center.findings
  WHERE scanner_type = 'Threat' AND
        completion_status = 'SUCCEEDED'
  ORDER BY event_id DESC;
```
Copy
Na saída, a coluna AT_RISK_ENTITIES contém o conteúdo JSON com detalhes sobre as atividades que exigem revisão ou correção. Por exemplo, o verificador CIS_BENCHMARKS_CIS2_1 monitora concessões de privilégios elevados, e os agentes de segurança devem analisar cuidadosamente os eventos relatados por esse verificador, como o seguinte exemplo de evento:
```
[
  {
    "entity_detail": {
      "granted_by": joe_smith,
      "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
      "modified_on": "2025-01-01 07:00:00.000 Z",
      "role_granted": "ACCOUNTADMIN"
    },
    "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_object_type": "ROLE"
  }
]
```
O Snowflake sugere as seguintes práticas recomendadas para verificadores de seção 2:
- Não desative os verificadores da seção 2, a menos que você tenha certeza de que possui medidas de monitoramento suficientes.
- Inspecione as violações dos verificadores da seção 2 em uma cadência regular ou configure uma tarefa de monitoramento para detecções. Especificamente, configure o monitoramento conforme descrito na coluna SUGGESTED_ACTION da exibição snowflake.trust_center.findings.
3.1: Certifique-se de que uma política de redes em nível de conta foi configurada para permitir o acesso somente de endereços IP confiáveis. O Trust Center exibirá uma violação se você não tiver uma política de redes em nível de conta, mas não avalia se os endereços IP apropriados foram permitidos ou bloqueados.
4.3: certifique-se de que o parâmetro DATA_RETENTION_TIME_IN_DAYS esteja definido como 90 para dados críticos. O Trust Center exibirá uma violação se o parâmetro DATA_RETENTION_TIME_IN_DAYS associado ao Time Travel não estiver definido como 90 dias para a conta ou pelo menos um objeto, mas não avalia quais dados são considerados críticos.
4.10: certifique-se de que o mascaramento de dados esteja habilitado para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de mascaramento, mas não avalia se os dados confidenciais estão protegidos adequadamente. O Trust Center não avalia se uma política de mascaramento está atribuída a pelo menos uma tabela ou exibição.
4.11: certifique-se de que as políticas de acesso a linhas estejam configuradas para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de acesso a linhas, mas não avalia se os dados confidenciais estão protegidos. O Trust Center não avalia se uma política de acesso a linhas está atribuída a pelo menos uma tabela ou exibição.

Pacote de verificadores Threat Intelligence¶

Você pode acessar insights de segurança adicionais no Trust Center habilitando o pacote de verificadores Threat Intelligence. Esse pacote identifica riscos com base nos seguintes critérios:

Tipos de usuários: Se um usuário da conta Snowflake é um humano ou um serviço.
Métodos ou políticas de autenticação: se um usuário faz login na conta com uma senha sem estar inscrito na MFA.
Atividade de login: se um usuário não fez login recentemente.
Taxas de falha anormais: se um usuário tem um alto número de falhas de autenticação ou erros de trabalho.
Novo! Descobertas de detecção: todos os novos verificadores que relatam descobertas de detecção.

Verificadores específicos no pacote Threat Intelligence identificam como de risco os usuários que demonstram comportamento potencialmente de risco. A tabela a seguir fornece exemplos:

Verificadores Threat Intelligence¶

Verificador	Tipo	Descrição
Migrar usuários humanos para fora do login somente com senha	Baseado em cronograma	Identifica usuários humanos que (a) não configuraram a MFA e não fizeram login com uma senha pelo menos uma vez nos últimos 90 dias e (b) têm uma senha, mas não configuraram a MFA e não fizeram login nos últimos 90 dias.
Migrar usuários de serviços legados para fora do login somente com senha	Baseado em cronograma	Identifica usuários de serviços legados que têm uma senha e (a) fizeram login apenas com senha pelo menos uma vez nos últimos 90 dias e (b) não fizeram login nos últimos 90 dias.
Identificar usuários com um alto volume de falhas de autenticação	Baseado em cronograma	Identifica usuários com um alto número de falhas de autenticação ou erros de tarefas, o que pode indicar tentativas de apropriação de uma conta, configurações incorretas, cotas excedidas ou problemas de permissão. Fornece uma classificação de gravidade do risco e uma recomendação de mitigação de risco.

Novos verificadores Threat Intelligence¶

Tanto os verificadores baseados em cronograma quanto os verificadores baseados em eventos podem relatar detecções. Esta versão preliminar adiciona novos verificadores de ambos os tipos. Todos os verificadores adicionados geram detecções em vez de descobertas de violação.

Esta versão preliminar adiciona os seguintes novos verificadores ao Pacote de verificadores Threat Intelligence:

Verificador	Tipo	Descrição
Alterações na política de autenticação	Orientado por eventos	Encontra alterações em políticas de autenticação tanto no nível da conta quanto no nível do usuário.
Logins de usuários inativos	Orientado por eventos	Analisa eventos do histórico de logins e sinaliza logins de usuários que não acessaram a conta nos últimos 90 dias.
Entidades com consultas de longa duração	Baseado em cronograma	Encontra IDs de consultas e usuários associados a consultas de longa duração, que são consultas com durações que estão a dois desvios padrão da duração média de uma consulta nos últimos sete dias, ou na última vez que o verificador foi executado, o que for mais recente. Recomendamos configurar esse verificador para ser executado uma vez por dia. Esse verificador pode ter um custo inicial maior, pois cria um cache de 30 dias, que é armazenado posteriormente. O Trust Center relata um evento de detecção na primeira vez que este verificador é executado.
Proteção de login	Orientado por eventos	Encontra logins recentes de endereços IP incomuns. Importante Esses eventos se originam no serviço de proteção contra IP malicioso e exigem atenção imediata.
Proteção de parâmetros confidenciais	Orientado por eventos	Relata a desativação dos seguintes parâmetros confidenciais em nível de conta: PREVENT_UNLOAD_TO_INLINE_URL, REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION e REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION. Esse verificador relata apenas detecções de alteração de `TRUE` para `FALSE` para esses parâmetros, que são definidos como `TRUE` por padrão para a melhor postura de segurança.
Usuários com privilégios de administrador	Baseado em cronograma	Encontra usuários recém-criados cuja função padrão é de administrador, bem como concessões recentes a usuários existentes que lhes concedem a função de administrador.
Usuários com aplicativos incomuns utilizados em sessões	Baseado em cronograma	Encontra usuários que usaram aplicativos cliente incomuns que se conectam ao Snowflake.

O pacote de verificadores Threat Intelligence é executado uma vez por dia por padrão, mas você pode alterar o cronograma.

Próximos passos¶

Introdução ao Trust Center