EVALUATE_CANDIDATE_NETWORK_POLICY

Simula o efeito da aplicação de uma política de redes candidata ao tráfego de entrada histórico, sem ativar a política.

A análise da saída permite que os administradores respondam às seguintes perguntas:

  • O que esta política teria bloqueado?

  • Os usuários legítimos seriam afetados?

O procedimento avalia todos os IPs de cliente de entrada observados e produz um resultado hipotético no nível da linha. Ele não modifica a configuração da conta.

Consulte também:

RECOMMEND_NETWORK_POLICY

Sintaxe

SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => '<string>'
  [, LOOKBACK_DAYS => <integer> ]
  [, USER_NAME => <string> ])

Argumentos

Obrigatório:

POLICY_NAME => 'string'

O nome da política de redes candidata a ser avaliada.

Opcional:

LOOKBACK_DAYS => 'integer'

O número de dias do tráfego de entrada histórico para usar como base da avaliação. Controla até que data no passado a simulação vai abranger.

Padrão: sem valor. 90

USER_NAME => 'string'

Filtra a avaliação para incluir apenas o tráfego do usuário especificado.

Padrão: sem valor. Sem filtro. Todos os usuários são incluídos.

Retornos

Retorna uma tabela com (no mínimo) as seguintes colunas:

Nome da coluna

Tipo de dados

Descrição

ACCESS_CLIENT_IP

VARCHAR

O endereço IP de cliente observado no tráfego de entrada histórico.

IS_ALLOWED

VARCHAR

Se o IP será permitido (YES) ou bloqueado (NO) caso a política candidata seja ativada.

Interpretação:

  • YES — Este IP será permitido se a política for ativada.

  • NO — Este IP será bloqueado se a política for ativada.

Os resultados da avaliação não ativam a política. Você deve ativar a política de redes recomendada se quiser aplicá-la, executando o comando ALTER ACCOUNT. Para obter um exemplo, consulte a etapa 8 em Gerar e avaliar uma política de redes candidata.

Requisitos de controle de acesso

Um usuário deve ter no mínimo a função SECURITYADMIN para executar este procedimento armazenado.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Notas de uso

  • O procedimento é somente leitura no que se refere à configuração da conta. Ele não ativa ou modifica nenhuma política de redes.

  • Este procedimento não pode determinar os endereços IP que estão corretos ou são seguros para sua organização. Você deve validar os resultados com suas equipes de IT e de segurança antes de ativar a política.

  • O tempo de execução pode ser de 1 a 2 minutos para contas com grandes quantidades de dados de acesso de entrada históricos.

  • Os resultados da avaliação podem ser densos para contas de alto tráfego e exigir filtragem ou visualização.

  • Cada linha na saída representa um ponto de decisão que os administradores devem revisar.

Exemplos

Avaliar uma política de redes candidata usando a janela de retrospectiva padrão:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY'
  );

Avaliar uma política de redes candidata em relação aos últimos 90 dias de tráfego de entrada:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90
  );

Avaliar uma política de redes candidata em relação aos últimos 90 dias de tráfego de entrada para um usuário chamado user1:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90,
  USER_NAME => 'user1'
  );