Snowflake 감사 로그
Panther는 Snowflake의 ACCOUNT_USAGE 스키마에서 감사 로그를 직접 가져오는 것을 지원합니다
개요
Panther는 가져올 수 있습니다 Snowflake 다음의 뷰를 쿼리하여 감사 정보를 조회합니다 ACCOUNT_USAGE 업로더는 기존 스키마가 있는지 확인한 다음 일치하는 스키마 이름이 없으면 새 스키마를 생성하거나 업데이트를 진행합니다. 에서 SNOWFLAKE 데이터베이스(또는 사용자 지정 데이터베이스/스키마의 유사한 이름의 뷰). 이러한 뷰의 데이터는 Snowflake의 "state data"로 풍부하게 만들 수 있습니다—자세한 내용은 Snowflake Enrichment.
이 통합을 사용하여 어떤 Snowflake 인스턴스든 모니터링할 수 있지만, Panther에 연결된 Snowflake 인스턴스를 모니터링하려면 대신 다음을 사용하는 것이 권장됩니다 스케줄된 검색—참조 스케줄된 검색 예시.
모든 Snowflake 클라우드나 리전의 데이터베이스를 모니터링할 수 있지만, 이러한 요소들은 발생 비용.
사용 가능한 뷰에는 다음이 포함됩니다:
사용자를 사용할 것이며, ACCESS_HISTORY 뷰는 을(를) 요구합니다 Enterprise Edition of Snowflake 이거나 그 이상입니다.
지연 시간
총 데이터 지연 시간은 Snowflake와 Panther 지연 시간의 조합입니다:
지연 시간은 사용 가능한 각 Snowflake 뷰마다 다르며, 특정 경우에는 최대 3시간까지 될 수 있습니다. 각 뷰의 지연 시간을 확인하려면 지연 시간 열을 참조하세요 ACCOUNT_USAGE 뷰들 aws_cloudtrail 이 Snowflake 문서.
Panther는 최소 1시간의 지연을 추가합니다.
비용 고려사항
이 통합 사용으로 발생하는 Snowflake 컴퓨트 비용은 다음을 포함한 다양한 요소의 영향을 받습니다:
사용자를 사용할 것이며, 웨어하우스 Panther가 사용하도록 선택한
Panther는 데이터를 가져오기 위해 쿼리를 실행해야 하므로 활성화된 웨어하우스를 사용해야 합니다.
비용을 최소화하려면: 이미 실행 중인 웨어하우스를 선택하세요.
데이터 새로고침 간격
Panther에서 로그 소스를 설정할 때 Snowflake에서 데이터를 가져오는 빈도를 선택합니다. 이 빈도는 1분마다부터 24시간마다까지 설정할 수 있습니다. 원하는 지연 시간과 비용 간의 균형에 따라 이 간격을 설정해야 합니다.
비용을 최소화하려면: 더 긴 새로고침 간격을 선택하세요.
모니터링하려는 Snowflake 인스턴스의 클라우드 및 리전이 Panther의 Snowflake 인스턴스와 동일한지 여부
비용을 최소화하려면: Panther의 Snowflake 인스턴스와 클라우드 및 리전이 동일한 경우.
자세한 내용은 Snowflake의 전체 비용 이해하기 문서.
제한 사항
Panther의 15 MB 한도를 초과하는 Snowflake 감사 로그 이벤트는 Panther의 한도인 15 MB 건은 건너뜁니다.
Snowflake 감사 로그를 Panther에 온보딩하는 방법
초기 통합을 설정한 후에는 Snowflake 사용자에 연결된 RSA 키를 교체(로테이션)할 수 있습니다.
사전 요구 사항
이 통합을 구성하려면 다음이 필요합니다:
다음 정보를 준비하세요 Snowflake 계정 식별자. 하이픈(마침표 아님)으로 형식화되어야 하며, 예시는 다음과 같습니다:
<org_name>-<account_name>Snowflake 웨어하우스 Panther가 데이터를 가져오기 위해 쿼리를 실행하는 데 사용할 수 있음
Snowflake에서 다음 권한을 보유하세요
CREATE USER,CREATE ROLE및GRANT USAGE권한이는 Panther가 사용할 서비스 사용자를 Snowflake에서 생성할 경우에만 필요합니다. Panther가 이미 사용할 수 있는 서비스 사용자가 있는 경우 이러한 권한은 필요하지 않습니다.
1단계: Snowsight에서 워크시트 생성
이 단계는 Panther가 사용할 수 있는 서비스 사용자를 Snowflake에서 생성해야 하는 경우에만 필요합니다. Panther가 이미 사용할 수 있는 서비스 사용자가 있는 경우 이 단계를 건너뜁니다.
Snowsight에서 워크시트 생성 중 하나로 치환하십시오:
CREATE USER,CREATE ROLE및GRANT USAGE권한.
2단계: Panther에서 새로운 Snowflake 로그 소스 생성
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
“Snowflake Audit Logs”를 검색한 다음 해당 타일을 클릭합니다.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
페이지에서 구성 페이지에서 다음 필드의 값을 입력하세요:
이름: 소스에 대한 설명적 이름을 입력하세요. 예:
Snowflake Prod.계정 식별자: 형식에 맞게 Snowflake 계정 식별자를 입력하세요
<org_name>-<account_name>.조직 이름과 계정 이름 사이에는 마침표가 아닌 하이픈을 사용하세요.
웨어하우스: Panther가 데이터를 가져오기 위해 쿼리를 실행하는 데 사용할 Snowflake 웨어하우스를 입력하세요.
(선택 사항) 사용자 지정 데이터베이스 및 스키마 사용: 감사 로그 뷰를 사용자 지정 데이터베이스 및 스키마에 복제해 두었고(기본 데이터베이스
SNOWFLAKE및 스키마ACCOUNT_USAGE대신) 해당 것을 쿼리하려는 경우 이 옵션을 클릭하세요.데이터베이스: Panther가 쿼리할 사용자 지정 데이터베이스의 이름을 입력하세요.
필요한 경우: Panther가 쿼리할 사용자 지정 스키마의 이름을 입력하세요. * 실행 주기: 다음 필드를 사용하여 Panther가 Snowflake에서 데이터를 가져올 간격을 선택하세요 숫자 와 : 이 예약된 검색을 선택한 일정에 따라 실행되도록 하려면 토글을 간격이 컴퓨트 비용에 미치는 영향에 대해 알아보려면
참조 비용 고려사항 을(를) 참조하세요.
모니터링되는 로그 유형: Panther가 가져올 Snowflake 뷰를 선택하세요.
사용자 지정 데이터베이스 및 스키마를 사용하는 것은 드뭅니다. 추후 단계에서 생성할 서비스 롤의 권한을 특정 Snowflake 데이터베이스 및 스키마로 좁히려는 경우 유용할 수 있습니다.
사용자 지정 데이터베이스 및 스키마를 사용하는 경우, 스키마 내의 뷰 이름은 Panther가 기대하는 내장 Snowflake 뷰 이름(에 나열된)과 정확히 일치해야 합니다. 예를 들어 쿼리 히스토리 로그를 가져오려면 뷰 이름이 개요이어야 합니다 query_history.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Panther 콘솔에서 필드에 값을 입력하세요:
페이지에서 자격증명 설정 페이지에서 폼 필드를 작성하세요. Panther는 이러한 값에 기반하여 RSA 키를 생성합니다.
사용자 이름: Panther가 데이터를 가져오기 위해 사용할 Snowflake 사용자의 사용자 이름입니다. 기본값은
PANTHER_AUDIT_VIEW_USER이지만 필요에 따라 사용자 지정할 수 있습니다.이미 Panther가 사용할 서비스 사용자가 있고 새 사용자를 만들 필요가 없는 경우 여기에 해당 사용자 이름을 입력하세요.
역할: Panther가 데이터를 가져오기 위해 사용할 Snowflake 사용자가 가진 롤의 이름입니다. 기본값은
PANTHER_AUDIT_VIEW_ROLE이지만 필요에 따라 사용자 지정할 수 있습니다.이미 Panther가 사용할 서비스 롤이 있고 새 롤을 만들 필요가 없는 경우 여기에 해당 이름을 입력하세요.
이미 Panther가 사용할 서비스 사용자가 있고 새 사용자를 만들 필요가 없는 경우, 클릭하세요 내 자신의 RSA 키 사용하기 원함, 그런 다음 RSA 키 파일을 업로드하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 다음.
페이지에서 인리치먼트 페이지에서 들어오는 로그를 다음 중 하나 이상으로 풍부하게 만들고 싶다면, 지원되는 Snowflake 풍부화 유형의 각 타일에서 활성화하려는 항목의 토글을 클릭하고
켜기를 설정하세요 새로고침 기간(분).최소 새로고침 기간은 60분입니다. 데이터 변경이 드문 경우 이 값을 늘리는 것이 권장됩니다.
이들 풍부화 소스 중 어느 것을 켜면, 구성 > Enrichments 페이지에 표시됩니다. 자세한 내용은 Snowflake Enrichment.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
자신의 RSA 키를 업로드하지 않았다면, 생성된 SQL 스니펫으로 Panther가 사용할 서비스 사용자를 생성하세요. Panther는 귀하를 대신하여 RSA 키를 생성하며 공개 부분만 제공합니다.
생성된 SQL 스니펫을 복사하세요.
SQL 스니펫을 다음에서 실행하세요 Snowsight 워크시트.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.
모든 것이 올바르면 성공 화면으로 이동합니다:
성공 화면으로 이동됩니다: 선택적으로 하나 이상의.
사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은예
기존 Snowflake 감사 로그 소스의 RSA 키를 교체하는 방법
기존 Snowflake 감사 로그 소스에 연결된 Snowflake 사용자의 RSA 키를 로그 수신을 중단하지 않고 교체하려면:
Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
일반 구성 로그 소스 목록에서 업데이트하려는 Snowflake 감사 로그 소스를 찾아 해당 이름을 클릭하세요.
로그 소스의 세부 정보 페이지에서 구성 탭을 클릭한 다음 편집을 클릭.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 자격증명 설정.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. RSA 키 교체.
페이지에서 RSA 키 교체 팝업 모달에서 클릭하세요 RSA 키 교체.
제공된 RSA 키 교체 SQL을(를) 복사하고 다음에서 실행하세요 Snowsight 워크시트 (권한이 있는 사용자(예:
ACCOUNTADMIN).Panther에서 클릭하세요 "Resource": "<secret ARN>".
지원되는 로그 유형
Snowflake.AccessHistory
Snowflake.DataTransferHistory
Snowflake.LoginHistory
Snowflake.QueryHistory
Snowflake.Sessions
마지막 업데이트
도움이 되었나요?