Trust Center overview¶

Você pode usar o Trust Center para avaliar, monitorar e reduzir os riscos de segurança potenciais em suas contas Snowflake. O Trust Center avalia cada conta Snowflake em relação às recomendações especificadas em verificadores. Os verificadores podem gerar descobertas. Trust Center findings fornecem informações sobre como reduzir os riscos de segurança potenciais em sua conta Snowflake. Nem toda execução de verificador gera uma descoberta. Uma execução de verificador que não encontra nenhum problema de segurança não gera nenhuma descoberta no Trust Center. Você também pode usar o Trust Center para configurar notificações proativas que ajudam a monitorar sua conta em busca de riscos de segurança.

Common Trust Center use cases¶

Para obter mais informações sobre como usar o Trust Center para reduzir os riscos de segurança em sua conta Snowflake, consulte os seguintes tópicos:

Limitações¶

Snowflake reader accounts aren’t supported.

Required roles¶

To view or manage scanners and their findings by using the Trust Center, a user with the ACCOUNTADMIN role must grant the SNOWFLAKE.TRUST_CENTER_VIEWER or SNOWFLAKE.TRUST_CENTER_ADMIN application role to your role.

A tabela a seguir lista as tarefas comuns que você executa usando a interface do usuário do Trust Center e a função de aplicativo mínima necessária para executar essas tarefas:

Nota

Se você estiver usando o Trust Center na conta da organização, use a função GLOBALORGADMIN, e não a ACCOUNTADMIN, para conceder funções de aplicativo à Trust Center.

Consulte a tabela a seguir para obter informações sobre quais funções de aplicativo são necessárias para acessar guias específicas no Trust Center:

Tarefa	Aba do Trust Center	Minimum required application role	Notas
Visualizar descobertas de detecção	Detections	`SNOWFLAKE.TRUST_CENTER_VIEWER`	`SNOWFLAKE.TRUST_CENTER_ADMIN` role can also view detections.
Visualizar descobertas de violação	Violations	`SNOWFLAKE.TRUST_CENTER_VIEWER`	`SNOWFLAKE.TRUST_CENTER_ADMIN` role can also view violations.
Gerenciar o ciclo de vida das descobertas de violação	Violations	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
Manage scanner packages	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
Manage scanners	Manage scanners	`SNOWFLAKE.TRUST_CENTER_ADMIN`	Nenhum.
View org-level violations	Organization	`ORGANIZATION_SECURITY_VIEWER` and `SNOWFLAKE.TRUST_CENTER_ADMIN`	The Organization tab is visible only in an Organization account.

Você pode criar uma função personalizada que forneça acesso somente para exibição às guias Violations e Detections. Você também pode criar uma função separada, de nível de administrador, para gerenciar violações e verificadores usando as guias Violations e Manage scanners. Por exemplo, para criar essas duas funções diferentes, execute os seguintes comandos:

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;

Copy

Nota

Este exemplo não pretende recomendar uma hierarquia de funções completa para usar o Trust Center. Para obter mais informações, consulte cada subseção em Uso do Trust Center.

Using private connectivity with Trust Center¶

O Trust Center oferece suporte à conectividade privada. Para obter mais informações, consulte Uso de conectividade privada.

Trust Center findings¶

Trust Center findings include two kinds of findings: violations and detections. Both findings are generated by scanners as they run in your Snowflake accounts.

You can review findings at the organization level or you can examine more closely the findings for a specific account.

Nota

Atualmente, não é possível visualizar as descobertas de detecção no nível da organização.

Organization-level findings¶

The Organization tab provides insights into the violation findings that are generated in all of the accounts in the organization. This tab includes the following information:

O número de violações na organização.
As contas com as violações mais críticas.
O número de violações de cada conta na organização. Você pode selecionar uma conta para detalhar cada violação.

Nota

You can’t use the Organization tab to resolve or reopen violations. To perform these actions, sign in to the account with the violation, and then access the Violations tab.

Para acessar a guia Organization, você deve atender aos seguintes requisitos:

Faça login na conta da organização.
Use uma função que tenha a função de aplicativo ORGANIZATION_SECURITY_VIEWER. Você também deve ter uma função de aplicativo do Trust Center.

Descobertas no nível da conta¶

Verificadores encontram e relatam violações e detecções por meio do Trust Center. Uma violação persiste ao longo do tempo e representa uma configuração que não está em conformidade com os requisitos de um verificador. Uma detecção ocorre uma única vez e representa um evento único. Você pode usar o Trust Center para visualizar e gerenciar as descobertas da sua conta. Para obter mais informações, consulte Uso do Trust Center.

Violações¶

Um verificador pode examinar uma entidade a qualquer momento e determinar se ela está em violação com base apenas na configuração atual dela. Os verificadores continuam relatando violações, a menos que você altere a configuração para corrigi-las. Por exemplo, um verificador relata uma violação se alguns usuários não configuraram a autenticação multifator (MFA).

The Violations tab provides account-level information about scanner results. It includes the following information:

Um gráfico de violações de verificador ao longo do tempo, codificado por cores e por gravidade baixa, média, alta e crítica.
An interactive list for each violation that is found. Each row in the list contains details about the violation, when the scanner was last run, and how to remediate the violation.

As violações permitem que você identifique as configurações do Snowflake na conta que violam os requisitos dos pacotes de verificadores habilitados. Para cada violação, o Trust Center fornece uma explicação de como remediar a violação. Após corrigir uma violação, ela ainda aparecerá na guia Violations até que a próxima execução agendada do pacote de verificadores que contém o verificador que relatou a violação comece ou até que você execute o pacote de verificadores manualmente.

When you are signed in to the account with the violations, you can use the Violations tab to perform the following actions:

Faça a triagem das violações que se aplicam a você e registre as evidências ou notas de progresso.
Resolva ou reabra as violações por qualquer motivo e registre a justificativa para as necessidades de auditoria.
Sort or filter violations by severity, scanner package, scanner version, scanned time, updated time, or status.
Adicione motivos para uma alteração de status de violação para fornecer um registro claro das ações tomadas.

Você pode corrigir as violações alterando a configuração. Para uma violação, o Trust Center fornece sugestões de correção. Após corrigir o problema, o Trust Center não relatará mais a violação. Você também pode gerenciar o ciclo de vida de uma descoberta de violação alterando o status dele para Resolved. As notificações por e-mail são suprimidas para violações resolvidas. A supressão impede mais notificações enquanto você trabalha para corrigir as configurações incorretas subjacentes. Uma descoberta de violação resolvida não gera mais notificações.

Detecções¶

Uma detecção representa um evento que ocorreu em um horário específico. As descobertas a seguir são exemplos de eventos que podem ser relatados como detecções:

Eventos de login originados de um endereço IP não reconhecido.
Uma grande quantidade de dados foi transferida para uma área de preparação externa.
Uma tarefa apresentou uma alta taxa de erros entre dois momentos distintos.

Os verificadores registram cada detecção com base em um acionador de evento. Por exemplo, um verificador relata uma detecção quando detecta um evento de login suspeito e relata uma detecção separada quando detecta outro evento de login suspeito em um momento diferente. Para uma detecção, o Trust Center fornece informações sobre o evento. Como o evento é único e ocorreu no passado, a remediação direta de uma detecção não é possível.

Com base nas informações fornecidas pelo Trust Center, você pode investigar se a detecção é significativa. Se a detecção for significativa, você pode tomar medidas para impedir eventos semelhantes no futuro.

Nota

Se o verificador que relatou a detecção for executado novamente, ele poderá ou não relatar detecções semelhantes. Atualmente, você não pode gerenciar o ciclo de vida de uma detecção.

Para obter mais informações sobre como gerenciar detecções, consulte View detections.

Verificadores¶

Um verificador é um processo em segundo plano que verifica sua conta em busca de riscos de segurança com base nos seguintes critérios:

Como você configurou sua conta.
Eventos anômalos.

O Trust Center agrupa os verificadores em pacotes de verificadores. Os detalhes do verificador fornecem informações sobre quais riscos de segurança o verificador confere em sua conta, quando o verificador é executado e quem recebe notificações sobre as descobertas do verificador para sua conta. Para ver os detalhes de um verificador específico, siga as instruções em Visualização dos detalhes de um verificador.

Verificadores baseados em cronograma¶

Schedule-based scanners run at specific times, according to their schedules. You must enable a scanner package before you can change the schedule for a scanner. For more information about changing the schedule for a scanner, see Change the schedule for a scanner.

Verificadores orientados por eventos¶

Verificadores orientados por eventos geram detecções com base em eventos relevantes. Exemplos incluem verificadores que detectam logins de endereços IP incomuns e verificadores que detectam alterações em parâmetros confidenciais. Você não pode agendar um verificador orientado por eventos, porque um evento, e não um cronograma, aciona a detecção que um verificador orientado por eventos gera. O Trust Center relata as detecções geradas por verificadores orientados por eventos dentro de uma hora após a ocorrência do evento.

Um verificador baseado em eventos pode detectar eventos que um verificador baseado em cronograma poderia perder. Por exemplo, considere um verificador baseado em cronograma que detecta o estado TRUE ou FALSE de um parâmetro booleano uma vez a cada 10 minutos. A alternância (isto é, a mudança de estado) do valor desse parâmetro de TRUE para FALSE e, em seguida, de volta para TRUE antes de 10 minutos passarem ocorreria sem ser detectada pelo verificador baseado em cronograma. Um verificador baseado em eventos que detecta cada mudança de estado detectaria ambos os eventos.

For a current list of event-driven scanners, see Pacote de verificadores Threat Intelligence.

Nota

Os verificadores orientados por eventos podem aparecer como vários itens em Exibição METERING_HISTORY.

Scanner Packages¶

Pacotes de verificadores contêm uma descrição e uma lista de verificadores que são executados quando você ativa o pacote de verificadores. Depois de habilitar um pacote de verificadores, ele é executado imediatamente, independentemente do cronograma configurado. Depois de ativar um pacote de verificadores, você pode ativar ou desativar verificadores individuais no pacote de verificadores. Sua função deve ter a função de aplicativo SNOWFLAKE.TRUST_CENTER_ADMIN para gerenciar verificadores usando a guia Manage scanners. Para obter mais informações, consulte Required roles.

Os seguintes pacotes de verificadores estão disponíveis:

Pacote de verificadores Segurança Básica
Pacote de verificadores de Benchmarks CIS
Pacote de verificadores Threat Intelligence

For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:

Scanner packages are deactivated by default, except for the Pacote de verificadores Segurança Básica.

Pacote de verificadores Segurança Básica¶

The Security Essentials scanner package scans your account to check whether you have set up the following recommendations:

You have an authentication policy that enforces all human users to enroll in MFA if they use passwords to authenticate.
Todos os usuários humanos estão inscritos em MFA se usarem senhas para autenticação.
You set up an account-level network policy that was configured to only allow access from trusted IP addresses.
Você configurou uma tabela de eventos se sua conta habilitou o compartilhamento de eventos para um aplicativo nativo, para que sua conta receba uma cópia das mensagens de log e das informações de eventos que são compartilhadas com o provedor de aplicativos.

This scanner package only scans users that are human users; that is, user objects with a TYPE property of PERSON or NULL. For more information, see Tipos de usuários.

The Security Essentials scanner package:

Está ativado por padrão. Você não pode desativá-lo.
Runs once a month. You can’t change this schedule.
Is a free scanner package that doesn’t incur serverless compute cost.

Pacote de verificadores de Benchmarks CIS¶

Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Benchmarks CIS, que contém verificadores que avaliam sua conta em relação aos Benchmarks do Center for Internet Security (CIS) do Snowflake. Os CIS Snowflake Benchmarks são uma lista de práticas recomendadas para configurações de conta Snowflake destinadas a reduzir vulnerabilidades de segurança. Os CISSnowflake Benchmarks foram criados por meio da colaboração da comunidade e do consenso entre especialistas no assunto.

Para obter uma cópia dos CIS Snowflake Benchmarks, consulte o site dos CIS Snowflake Benchmarks.

As recomendações encontradas nos CIS Snowflake Benchmarks são numerados por seção e recomendação. Por exemplo, a primeira recomendação da primeira seção é numerada como 1.1. Na aba Violations, o Trust Center fornece números de seção para cada violação se você quiser fazer referência aos CIS Snowflake Benchmarks.

Por padrão, esse pacote de verificadores é executado uma vez por dia, mas você pode alterar o cronograma.

Nota

Para benchmarks CIS específicos do Snowflake, o Snowflake apenas determina se você implementou uma medida de segurança específica, mas não avalia se a medida de segurança foi implementada de uma forma que atinja seu objetivo. Para esses parâmetros de comparação, a ausência de violação não garante que a medida de segurança seja implementada de maneira eficaz. Os seguintes parâmetros de comparação não avaliam se suas implementações de segurança foram implementadas de forma a alcançar seu objetivo, ou o Trust Center não realiza verificações para elas:

Toda a seção 2: garanta que as atividades sejam monitoradas e forneça recomendações para configurar o Snowflake para tratar das atividades que exigem atenção. Esses verificadores contêm consultas complexas cujas violações não aparecem no console do Snowsight.

Um oficial de segurança pode obter informações valiosas dos verificadores da seção 2 executando a seguinte consulta na visualização snowflake.trust_center.findings:
```
SELECT start_timestamp,
       end_timestamp,
       scanner_id,
       scanner_short_description,
       impact,
       severity,
       total_at_risk_count,
       AT_RISK_ENTITIES
  FROM snowflake.trust_center.findings
  WHERE scanner_type = 'Threat' AND
        completion_status = 'SUCCEEDED'
  ORDER BY event_id DESC;
```
Copy
Na saída, a coluna AT_RISK_ENTITIES contém o conteúdo JSON com detalhes sobre as atividades que exigem revisão ou correção. Por exemplo, o verificador CIS_BENCHMARKS_CIS2_1 monitora concessões de privilégios elevados, e os agentes de segurança devem analisar cuidadosamente os eventos relatados por esse verificador, como o seguinte exemplo de evento:
```
[
  {
    "entity_detail": {
      "granted_by": joe_smith,
      "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
      "modified_on": "2025-01-01 07:00:00.000 Z",
      "role_granted": "ACCOUNTADMIN"
    },
    "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
    "entity_object_type": "ROLE"
  }
]
```
O Snowflake sugere as seguintes práticas recomendadas para verificadores de seção 2:
- Não desative os verificadores da seção 2, a menos que você tenha certeza de que possui medidas de monitoramento suficientes.
- Inspect the violations of section 2 scanners on a regular cadence or configure a monitoring task for detections. Specifically, configure monitoring as described in the SUGGESTED_ACTION column of the snowflake.trust_center.findings view.
3.1: Ensure that an account-level network policy was configured to only allow access from trusted IP addresses. Trust Center displays a violation if you don’t have an account-level network policy, but doesn’t evaluate whether the appropriate IP addresses have been allowed or blocked.
4.3: certifique-se de que o parâmetro DATA_RETENTION_TIME_IN_DAYS esteja definido como 90 para dados críticos. O Trust Center exibirá uma violação se o parâmetro DATA_RETENTION_TIME_IN_DAYS associado ao Time Travel não estiver definido como 90 dias para a conta ou pelo menos um objeto, mas não avalia quais dados são considerados críticos.
4.10: certifique-se de que o mascaramento de dados esteja habilitado para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de mascaramento, mas não avalia se os dados confidenciais estão protegidos adequadamente. O Trust Center não avalia se uma política de mascaramento está atribuída a pelo menos uma tabela ou exibição.
4.11: certifique-se de que as políticas de acesso a linhas estejam configuradas para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de acesso a linhas, mas não avalia se os dados confidenciais estão protegidos. O Trust Center não avalia se uma política de acesso a linhas está atribuída a pelo menos uma tabela ou exibição.

Pacote de verificadores Threat Intelligence¶

Você pode acessar insights de segurança adicionais no Trust Center habilitando o pacote de verificadores Threat Intelligence. Esse pacote identifica riscos com base nos seguintes critérios:

Tipos de usuários: Se um usuário da conta Snowflake é um humano ou um serviço.
Authentication methods or policies: Whether a user logs in to their account with a password without being enrolled in MFA.
Atividade de login: se um usuário não fez login recentemente.
Taxas de falha anormais: se um usuário tem um alto número de falhas de autenticação ou erros de trabalho.
Novo! Descobertas de detecção: todos os novos verificadores que relatam descobertas de detecção.

Specific scanners in the Threat Intelligence package identify users that demonstrate potentially risky behavior as risky. The following table provides examples:

Threat Intelligence scanners¶

Scanner	Tipo	Descrição
Migrar usuários humanos para fora do login somente com senha	Baseado em cronograma	Identifies human users who (a) haven’t set up MFA and signed in with a password at least once in the past 90 days and (b) have a password but haven’t set up MFA and haven’t signed in for 90 days.
Migrar usuários de serviços legados para fora do login somente com senha	Baseado em cronograma	Identifies legacy service users who have a password and (a) have signed in with only a password at least once in the past 90 days and (b) haven’t signed in for 90 days.
Identificar usuários com um alto volume de falhas de autenticação	Baseado em cronograma	Identifies users with a high number of authentication failures or job errors, which might indicate attempted takeovers of an account, misconfigurations, exceeded quotas, or permission issues. Provides a risk-severity finding and a risk-mitigation recommendation.

New Threat Intelligence scanners¶

Tanto os verificadores baseados em cronograma quanto os verificadores baseados em eventos podem relatar detecções. Esta versão preliminar adiciona novos verificadores de ambos os tipos. Todos os verificadores adicionados geram detecções em vez de descobertas de violação.

This preview adds the following new scanners to the Pacote de verificadores Threat Intelligence:

Scanner	Tipo	Descrição
Alterações na política de autenticação	Orientado por eventos	Encontra alterações em políticas de autenticação tanto no nível da conta quanto no nível do usuário.
Logins de usuários inativos	Orientado por eventos	Analisa eventos do histórico de logins e sinaliza logins de usuários que não acessaram a conta nos últimos 90 dias.
Entidades com consultas de longa duração	Baseado em cronograma	Encontra IDs de consultas e usuários associados a consultas de longa duração, que são consultas com durações que estão a dois desvios padrão da duração média de uma consulta nos últimos sete dias, ou na última vez que o verificador foi executado, o que for mais recente. Recomendamos configurar esse verificador para ser executado uma vez por dia. Esse verificador pode ter um custo inicial maior, pois cria um cache de 30 dias, que é armazenado posteriormente. O Trust Center relata um evento de detecção na primeira vez que este verificador é executado.
Proteção de login	Orientado por eventos	Encontra logins recentes de endereços IP incomuns. Importante Esses eventos se originam no serviço de proteção contra IP malicioso e exigem atenção imediata.
Proteção de parâmetros confidenciais	Orientado por eventos	Relata a desativação dos seguintes parâmetros confidenciais em nível de conta: PREVENT_UNLOAD_TO_INLINE_URL, REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION e REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION. Esse verificador relata apenas detecções de alteração de `TRUE` para `FALSE` para esses parâmetros, que são definidos como `TRUE` por padrão para a melhor postura de segurança.
Usuários com privilégios de administrador	Baseado em cronograma	Encontra usuários recém-criados cuja função padrão é de administrador, bem como concessões recentes a usuários existentes que lhes concedem a função de administrador.
Usuários com aplicativos incomuns utilizados em sessões	Baseado em cronograma	Encontra usuários que usaram aplicativos cliente incomuns que se conectam ao Snowflake.

O pacote de verificadores Threat Intelligence é executado uma vez por dia por padrão, mas você pode alterar o cronograma.

Próximos passos¶

Introdução ao Trust Center