Malicious IP Protection¶
Visão geral¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake’s and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
Categoria de IP |
Descrição |
|---|---|
ANONYMOUS_VPN |
Endereços IP associados a serviços de VPN anônimos. |
ANONYMOUS_PROXIES |
Endereços IP associados a servidores proxy anônimos. |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
O serviço de proteção contra IP malicioso bloqueia as tentativas de acesso à rede originadas de endereços IP em todas as categorias nesta lista selecionada por padrão.
Visualizar os detalhes de login na rede¶
Você pode recorrer ao Exibição LOGIN_HISTORY de uso da conta para ver detalhes das tentativas de acesso à rede que o serviço de proteção contra IP malicioso bloqueou. Por exemplo, para visualizar os eventos de login da sua conta, execute a seguinte consulta:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
A seguir, examine as colunas is_success e login_details da saída da exibição LOGIN_HISTORY da sua conta.
NO aparece na coluna is_success para tentativas de acesso à rede bloqueadas.
Os exemplos a seguir mostram a saída que aparece na coluna login_details para os endereços IP bloqueados:
- Exemplo: IP bloqueado categorizado como risco «LOW»:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Exemplo: IP bloqueado categorizado como risco «HIGH»:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
O endereço IP que corresponde a cada resultado aparece na coluna ip_address.
Se você notar que os endereços IP categorizados como de baixo risco foram bloqueados, poderá escolher para não bloquear essa categoria.
Manage Malicious IP Protection for low-risk categories¶
Você pode gerenciar a proteção contra IP malicioso ao desativar o bloqueio de endereços IP categorizados como de baixo risco. Não é possível desativar o bloqueio de endereços IP categorizados como de alto risco.
Para desativar o bloqueio de uma categoria, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY e forneça um nome de categoria de baixo risco como argumento. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Para desativar o bloqueio de outra categoria, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY novamente e forneça ambos os nomes de categorias de baixo risco como argumentos. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Para reabilitar o bloqueio de endereços IP, execute a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY e forneça '' como argumento. Por exemplo:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
Opcionalmente, execute a função e forneça um nome de usuário como segundo argumento para desativar ou reabilitar o bloqueio de endereços IP apenas para o usuário que você especificar. Por exemplo, para desabilitar a proteção contra IP malicioso para endereços IP na categoria ANONYMOUS_VPN para o usuário específico JSMITH, execute os seguintes comandos:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
O exemplo a seguir mostra a saída da visualização do uso da conta LOGIN_HISTORY na coluna login_details. O endereço IP para esse resultado foi desativado para bloquear a categoria MALICIOUS_BEHAVIOR executando a função SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY:
- Exemplo: IP desbloqueado categorizado como risco «LOW»:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}