Snowflake 감사 로그

개요

Panther는 가져올 수 있습니다 Snowflake 다음의 뷰를 쿼리하여 감사 정보를 ACCOUNT_USAGE 업로더는 기존 스키마가 있는지 확인하고 업데이트를 진행하거나 일치하는 스키마 이름이 없으면 새로 생성합니다. 요일 SNOWFLAKE 데이터베이스(또는 사용자 지정 데이터베이스/스키마의 유사한 이름의 뷰)에서 조회합니다. 이러한 뷰의 데이터는 Snowflake의 "엔리치먼트(state data)"로 확장할 수 있습니다—자세한 내용은 Snowflake Enrichment.

모든 Snowflake 클라우드나 리전에 있는 데이터베이스를 모니터링할 수 있지만, 다음 요인들이 발생하는 비용.

사용 가능한 뷰는 다음을 포함합니다:

• ACCESS_HISTORY

• DATA_TRANSFER_HISTORY

• LOGIN_HISTORY

• QUERY_HISTORY

• SESSIONS

지연 시간

총 데이터 지연 시간은 Snowflake 지연 시간과 Panther 지연 시간의 조합입니다:

• 지연 시간은 사용 가능한 각 Snowflake 뷰마다 다르며, 특정 경우에는 최대 3시간까지 될 수 있습니다. 각 뷰의 지연 시간을 확인하려면 지연 시간 열을 확인하세요 ACCOUNT_USAGE 뷰 테이블에서 이 Snowflake 문서.

• Panther는 최소 1시간의 지연 시간을 추가합니다.

비용 고려사항

이 통합을 사용하면서 발생하는 Snowflake 컴퓨트 비용은 다음을 포함한 다양한 요인의 영향을 받습니다:

• 설정은 웨어하우스 Panther가 사용하도록 선택한

  • Panther는 데이터를 가져오기 위해 쿼리를 실행해야 하므로 활성화된 웨어하우스를 사용해야 합니다.

  • 비용을 최소화하려면: 이미 실행 중인 웨어하우스를 선택하세요.

• 데이터 새로고침 간격

  • Panther에서 로그 소스를 설정할 때 Snowflake에서 데이터를 가져오는 빈도를 선택합니다. 이 빈도는 1분마다부터 최대 24시간마다까지 설정할 수 있습니다. 원하는 지연 시간과 비용 간의 균형에 따라 이 간격을 설정해야 합니다.

  • 비용을 최소화하려면: 더 긴 새로고침 간격을 선택하세요.

• 모니터링하는 Snowflake 인스턴스의 클라우드와 리전이 Panther의 Snowflake 인스턴스와 동일한지 여부

  • 비용을 최소화하려면: 클라우드와 리전이 Panther의 Snowflake 인스턴스와 동일한 경우.

자세한 내용은 Snowflake의 전체 비용 이해하기 문서.

제한사항

Snowflake 감사 로그 이벤트 중 Panther의 15 MB 제한을 초과하는 항목은 건너뜁니다.

Snowflake 감사 로그를 Panther에 온보딩하는 방법

초기 통합을 설정한 후에는 Snowflake 사용자에 연결된 RSA 키를 교체(로테이트)할 수 있습니다.

전제 조건

이 통합을 구성하려면 다음이 필요합니다:

• 다음 정보를 준비하세요 Snowflake 계정 식별자. 하이픈(마침표가 아님)으로 형식화되어야 하며, 예: <org_name>-<account_name>

• Snowflake에 다음이 필요합니다 웨어하우스 Panther가 데이터를 가져오기 위해 쿼리를 실행하는 데 사용할 수 있는

• Snowflake에서 다음 권한을 가지세요 CREATE USER , CREATE ROLE및 GRANT USAGE 권한

  • 이는 Panther가 사용할 서비스 사용자를 Snowflake에 생성할 경우에만 필요합니다. 이미 Panther가 사용할 수 있는 서비스 사용자가 있다면 이러한 권한은 필요하지 않습니다.

1단계: Snowsight에서 워크시트 생성

• Snowsight에서, 워크시트를 생성하세요 를 첫 번째 단계에서 수집한 CREATE USER , CREATE ROLE및 GRANT USAGE 권한.

2단계: Panther에서 새 Snowflake 로그 소스 생성

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

2. 클릭 새로 만들기.

3. “Snowflake Audit Logs”를 검색한 다음 해당 타일을 클릭하세요.

4. 슬라이드 아웃 패널에서, 클릭하세요 설정 시작.\

   
5. 페이지에서 구성 페이지에서 다음 필드에 대한 값을 입력하세요:

   • 이름: 소스에 대한 설명적인 이름을 입력하세요, 예: Snowflake Prod.

   • 계정 식별자: Snowflake 계정 식별자를 형식에 맞게 입력하세요 <org_name>-<account_name>.

     • 조직 이름과 계정 이름 사이에는 마침표가 아닌 하이픈을 사용하세요.

   • 웨어하우스: Panther가 데이터를 가져오기 위해 쿼리를 실행할 때 사용할 Snowflake 웨어하우스를 입력하세요.

   • (선택) 사용자 지정 데이터베이스 및 스키마 사용: 감사 로그 뷰를 기본 데이터베이스(예: SNOWFLAKE, 및 스키마, ACCOUNT_USAGE) 대신 사용자 지정 데이터베이스와 스키마에 복제해두었고 해당 뷰를 쿼리하려면 이 옵션을 클릭하세요.

     • 데이터베이스: Panther가 쿼리할 사용자 지정 데이터베이스 이름을 입력하세요.

     • 스키마: Panther가 쿼리할 사용자 지정 스키마 이름을 입력하세요. * 실행 간격: 데이터를 Panther가 Snowflake에서 가져오는 간격을 선택하려면 숫자 와 다음 중 하나를 클릭하여 스케줄을 구성하세요: 필드를 사용하세요.

   • 참조 비용 고려사항 간격이 컴퓨트 비용에 어떤 영향을 미칠 수 있는지 알아보려면

   • 모니터링되는 로그 유형: Panther가 가져올 Snowflake 뷰를 선택하세요.

1. 클릭 설정.

2. 페이지에서 자격 증명 설정 페이지에서 양식 필드를 작성하세요. Panther는 이러한 값들을 기반으로 RSA 키를 생성합니다.

   • 사용자 이름: Panther가 데이터를 가져오기 위해 사용할 Snowflake 사용자의 사용자 이름입니다. 기본값은 PANTHER_AUDIT_VIEW_USER이지만 이 값을 사용자 지정할 수 있습니다.

     • 이미 Panther가 사용할 수 있는 서비스 사용자가 있다면(새로 생성할 필요가 없다면) 해당 사용자 이름을 여기에 입력하세요.

   • 역할: Panther가 데이터를 가져오기 위해 사용할 Snowflake 사용자가 가진 역할의 이름입니다. 기본값은 PANTHER_AUDIT_VIEW_ROLE이지만 이 값을 사용자 지정할 수 있습니다.

     • 이미 Panther가 사용할 수 있는 서비스 역할이 있다면(새로 생성할 필요가 없다면) 해당 이름을 여기에 입력하세요.

3. 이미 Panther가 사용할 수 있는 서비스 사용자가 있고(새로 생성할 필요가 없다면) 클릭하세요 내 RSA 키를 사용하겠습니다, 그런 다음 RSA 키 파일을 업로드하세요.

   
4. 클릭 다음(Next).

5. 페이지에서 강화 페이지에서 들어오는 로그를 하나 이상 지원되는 Snowflake 엔리치먼트 유형으로각 활성화하려는 항목의 타일에서 토글을 클릭하고 켜기 를 설정하세요 새로고침 주기(분).

   • 최소 새로고침 주기는 60분입니다. 데이터 변경이 드문 경우 이 값을 늘리는 것이 권장됩니다.

   • 이러한 엔리치먼트 소스 중 어느 하나를 켜면, 해당 항목은 구성 > 엔리치먼트 페이지에 표시됩니다. 자세한 내용은 Snowflake Enrichment.

   
6. 클릭 설정.

7. 자체 RSA 키를 업로드하지 않았다면, 생성된 SQL 스니펫으로 Panther가 사용할 서비스 사용자를 생성하세요. Panther는 귀하를 대신해 RSA 키를 생성하며 공개 부분만 제공합니다.

   1. 생성된 SQL 스니펫을 복사하세요.

   2. SQL 스니펫을 다음에서 실행하세요 Snowsight 워크시트.

   3. 클릭 설정.

8. 모든 것이 올바르면 성공 화면으로 이동합니다:

   

   • 선택적으로 하나 이상의 탐지 팩(Detection Packs).

   • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예. 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

     

기존 Snowflake 감사 로그 소스의 RSA 키를 교체하는 방법

로그의 수신 흐름을 중단하지 않고 기존 Snowflake 감사 로그 소스에 연결된 Snowflake 사용자의 RSA 키를 교체하려면:

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

2. 다음 로그 소스 목록에서 업데이트하려는 Snowflake 감사 로그 소스를 찾아 이름을 클릭하세요.

3. 로그 소스의 세부 정보 페이지에서 구성 탭을 클릭한 다음 편집을 클릭하고.\

   
4. 클릭 자격 증명 설정.

5. 클릭 RSA 키 교체.

   
6. 페이지에서 RSA 키 교체 팝업 모달에서 RSA 키 교체.

7. 제공된 항목을 복사하세요 RSA 키 교체 SQL, 그리고 다음에서 실행하세요 Snowsight 워크시트 (권한이 있는 사용자(예: -수준 권한을 필요로 합니다).

8. Panther에서 클릭하세요 저장.

지원되는 로그 유형

Snowflake.AccessHistory

Snowflake.DataTransferHistory

Snowflake.LoginHistory

Snowflake.QueryHistory

Snowflake.Sessions