Snowflake 보강(베타)

탐지 및 검색에 사용할 Snowflake 데이터 가져오고 저장하기

개요

Snowflake 보강 기능은 Panther 버전 1.113부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀과 공유해 주세요.

Panther에서 Snowflake 감사 로그 소스 를 구성하여 "상태(state)" 데이터를 포함하는 테이블을 가져오도록 Snowflake 보강 테이블을 생성할 수 있습니다(로그 소스 자체가 읽는 테이블은 시계열 보안 데이터를 포함합니다). 즉, 이 정보를 탐지 로직과 검색 쿼리에서 참조할 수 있습니다.

Snowflake 보강 데이터는 Snowflake 감사 로그 소스에서 로그를 가져오도록 구성한 동일한 간격으로 새로 고쳐집니다.

다음 방법을 알아보세요 여기에 저장된 보강 데이터를 보는 방법.

수신된 로그가 Snowflake 데이터로 보강되는 방법

다음 후에 보강을 설정하면 다음에 대해 Snowflake 감사 소스에 대해, 들어오는 로그(어떤 스키마로 파싱되었든)는 일치 항목이 발견되면 Snowflake 데이터로 보강됩니다 이는 지표 필드에 의한.

Panther에서 Snowflake 보강 설정 방법

Panther에서 Snowflake 감사 로그 소스 통합을 처음 설정할 때 또는 이후에 소스를 편집하여 Snowflake 보강을 구성할 수 있습니다. 어느 흐름에서든 페이지에서 원하는 강화 보강 유형 을(를) 켜도록 토글합니다..

이를 활성화하려면 먼저(또는 동시에) Snowflake를 로그 소스로 온보딩해야 합니다. Snowflake 보강을 설정하는 것은 불가능합니다 없이 Panther에서 Snowflake를 로그 소스로 온보딩하지 않고는 Snowflake 보강을 설정할 수 없습니다.

Snowflake 감사 소스 설정 중 Panther에서 Snowflake 보강 구성

다음을 따르십시오 Panther에서 새 Snowflake 감사 소스를 생성하려면 다음 지침을 따르십시오다음 항목에 특히 주의하십시오 강화 페이지를 참조하세요.

초기 Snowflake 감사 소스 설정 후 Panther에서 Snowflake 보강 구성

Panther에서 이미 로그 소스 통합을 처음 설정할 때 또는 이후에 소스를 편집하여 Snowflake 보강을 구성할 수 있습니다. 어느 흐름에서든 로그 소스를 생성한 후 소스를 편집하여 Snowflake 보강을 설정할 수 있습니다:

Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
보강을 설정하려는 Snowflake 감사 로그 소스를 찾아 이름을 클릭합니다.
로그 소스 페이지의 오른쪽 상단에서 구성, 그런 다음 편집 을 클릭합니다.
오른쪽 상단에서 클릭하십시오 강화.
아래 보강 설정에서 활성화하려는 각 을(를) 켜도록 토글합니다. 타일에서 토글을 클릭하세요 켜기 를 설정하세요 새로고침 주기(분).
- 최소 새로고침 주기는 60분입니다. 데이터 변경이 드문 경우 이 값을 늘리는 것이 권장됩니다.
클릭 저장.

지원되는 보강 유형

Panther는 Snowflake에서 다양한 테이블을 가져오는 것을 지원합니다 ACCOUNT_USAGE 업로더는 기존 스키마가 있는지 확인하고 업데이트를 진행하거나 일치하는 스키마 이름이 없으면 새로 생성합니다.. 아래에는 각 보강 유형의 데이터가 어떻게 구성되는지에 대한 스키마가 나와 있습니다.

Snowflake.Users

스키마: Snowflake.Users
설명: Snowflake 사용자
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/users
필드:
  - 이름: match
    설명: LUT의 일치 항목
    type: array
    element:
      type: string
  - 이름: BYPASS_MFA_UNTIL
    설명: 다단계 인증(MFA)이 우회되는 유효 기간 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: COMMENT
    설명: 사용자에 대한 설명(코멘트)
    type: string
  - name: CREATED_ON
    required: true
    설명: 사용자가 생성된 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DEFAULT_NAMESPACE
    설명: 사용자에게 할당된 기본 네임스페이스
    type: string
  - 이름: DEFAULT_ROLE
    설명: 사용자에게 할당된 기본 역할
    type: string
  - 이름: DEFAULT_SECONDARY_ROLE
    설명: 사용자에 대한 기본 보조 역할을 지정합니다(예: ALL) 또는 설정되지 않은 경우 NULL
    type: string
  - 이름: DEFAULT_WAREHOUSE
    설명: 사용자에게 할당된 기본 웨어하우스
    type: string
  - 이름: DELETED_ON
    설명: 사용자가 삭제된 타임스탬프(삭제된 경우)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DISABLED
    설명: 사용자가 비활성화되었는지 여부를 나타냄
    유형: boolean
  - 이름: DISPLAY_NAME
    설명: 사용자의 표시 이름
    type: string
  - 이름: EMAIL
    설명: 사용자의 이메일 주소
    type: string
    지표:
      - 이메일
  - 이름: EXT_AUTHN_DUO
    설명: Duo를 통한 외부 인증이 활성화되었는지 여부를 나타냄
    유형: boolean
  - 이름: EXT_AUTHN_ID
    설명: Duo Security에 사용되는 인증 ID
    type: string
  - 이름: EXPIRES_AT
    설명: 사용자의 상태가 EXPIRED로 설정되어 더 이상 로그인할 수 없는 날짜 및 시간
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: FIRST_NAME
    설명: 사용자의 이름(First name)
    type: string
  - 이름: LAST_NAME
    설명: 사용자의 성(Last name)
    type: string
  - 이름: HAS_MFA
    설명: 사용자가 다단계 인증을 활성화했는지 여부를 나타냄
    유형: boolean
  - 이름: HAS_PASSWORD
    설명: 사용자에게 비밀번호가 설정되어 있는지 여부를 나타냄
    유형: boolean
  - 이름: HAS_RSA_PUBLIC_KEY
    설명: 사용자에게 RSA 공개 키가 설정되어 있는지 여부를 나타냄
    유형: boolean
  - 이름: LAST_SUCCESS_LOGIN
    설명: 마지막 성공적인 로그인 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: LOCKED_UNTIL_TIME
    설명: 사용자가 잠금 해제될 시간의 타임스탬프(잠겨 있는 경우)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: LOGIN_NAME
    설명: 사용자의 로그인 이름
    type: string
  - 이름: MUST_CHANGE_PASSWORD
    설명: 사용자가 비밀번호를 변경해야 하는지 여부를 나타냄
    유형: boolean
  - 이름: NAME
    required: true
    설명: 사용자 이름
    type: string
    지표:
      - username
  - 이름: OWNER
    설명: 사용자 계정의 소유자
    type: string
  - 이름: PASSWORD_LAST_SET_TIME
    설명: 사용자를 위해 마지막으로 null이 아닌 비밀번호가 설정된 타임스탬프. 비밀번호가 설정되지 않은 경우 기본값은 null
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: SNOWFLAKE_LOCK
    설명: 사용자가 Snowflake에서 잠겨 있는지 여부를 나타냄
    유형: boolean
  - 이름: TYPE
    설명: '사용자 유형을 지정합니다. PERSON, SERVICE, LEGACY_SERVICE 또는 NULL. 기본값: NULL'
    type: string
  - 이름: USER_ID
    required: true
    설명: 사용자의 고유 식별자
    type: string

Snowflake.Roles

스키마: Snowflake.Roles
설명: Snowflake 계정에 정의된 모든 역할에 대한 정보
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/roles
필드:
  - 이름: match
    설명: 조회(match)를 위한 일치 항목, ROLE_ID, ROLE_INSTANCE_ID 및 NAME과 일치
    type: array
    element:
      type: string
  - 이름: ROLE_ID
    required: true
    설명: 역할에 대한 내부/시스템 생성 식별자
    type: string
  - name: CREATED_ON
    required: true
    설명: 역할이 생성된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DELETED_ON
    설명: 역할이 삭제된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: NAME
    required: true
    설명: 역할 이름
    type: string
  - 이름: COMMENT
    설명: 역할에 대한 설명(코멘트)
    type: string
  - 이름: OWNER
    설명: 객체에 대한 OWNERSHIP 권한을 가진 역할
    type: string
  - name: ROLE_TYPE
    설명: ROLE, DATABASE_ROLE 또는 INSTANCE_ROLE 중 하나
    type: string
  - 이름: ROLE_DATABASE_NAME
    설명: 역할이 데이터베이스 역할인 경우 해당 데이터베이스의 이름
    type: string
  - 이름: ROLE_INSTANCE_ID
    설명: 역할이 속한 클래스 인스턴스에 대한 내부/시스템 생성 식별자
    type: string
  - 이름: OWNER_ROLE_TYPE
    설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake Native App이 객체를 소유한 경우 값은 APPLICATION입니다. 객체를 삭제하면 삭제된 객체에는 소유자 역할이 없으므로 Snowflake는 NULL을 반환합니다.
    type: string

Snowflake.GrantsToUsers

스키마: Snowflake.GrantsToUsers
설명: 사용자에게 부여된 Snowflake 권한
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/grants_to_users
필드:
  - 이름: match
    설명: 조회를 위한 일치 필드
    type: array
    element:
      type: string
  - name: CREATED_ON
    required: true
    설명: 역할이 부여된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DELETED_ON
    설명: 역할이 철회된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: GRANTED_BY
    설명: 권한을 부여한 역할의 식별자
    type: string
  - 이름: GRANTED_TO
    required: true
    설명: 이 로그 유형의 경우 값은 USER입니다
    type: string
  - 이름: GRANTEE_NAME
    required: true
    설명: 권한이 부여된 사용자 이름
    type: string
    지표:
      - username
  - 이름: ROLE
    required: true
    설명: 사용자에게 부여된 역할의 식별자
    type: string

Snowflake.GrantsToRoles

스키마: Snowflake.GrantsToRoles
설명: 역할에게 부여된 Snowflake 권한
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/grants_to_roles
필드:
  - 이름: match
    설명: 조회를 위한 일치 필드
    type: array
    element:
      type: string
  - name: CREATED_ON
    required: true
    설명: 권한이 역할에 부여된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DELETED_ON
    설명: 권한이 취소된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: GRANTED_BY
    설명: 권한을 부여한 역할의 식별자 또는 애플리케이션 역할에 대한 부여가 있는 경우 Snowflake Native App 객체의 이름
    type: string
    지표:
      - username
  - 이름: GRANTED_BY_ROLE_TYPE
    설명: APPLICATION, ROLE 또는 DATABASE_ROLE 중 하나
    type: string
  - 이름: GRANTED_TO
    required: true
    설명: ROLE, DATABASE_ROLE, INSTANCE_ROLE, APPLICATION_ROLE 또는 APPLICATION 중 하나
    type: string
  - 이름: GRANTED_ON
    required: true
    설명: 권한이 부여된 객체 종류(예: TABLE 또는 DATABASE)
    type: string
  - 이름: GRANTEE_NAME
    required: true
    설명: 권한이 부여된 대상 역할의 식별자 또는 Snowflake Native App 객체의 이름
    type: string
    지표:
      - username
  - 이름: GRANT_OPTION
    설명: TRUE로 설정된 경우 수신 역할이 해당 권한을 다른 역할에게 부여할 수 있음
    유형: boolean
  - 이름: MODIFIED_ON
    설명: 권한이 업데이트된 날짜 및 시간(UTC 시간대)
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: NAME
    설명: 권한이 부여된 객체의 이름
    type: string
  - 이름: PRIVILEGE
    설명: 역할에 추가된 권한의 이름
    type: string
  - 이름: TABLE_CATALOG
    설명: 현재 테이블의 데이터베이스 이름 또는 클래스 인스턴스를 저장하는 데이터베이스의 이름
    type: string
  - 이름: TABLE_SCHEMA
    설명: 현재 테이블의 스키마 이름 또는 클래스 인스턴스를 저장하는 스키마의 이름
    type: string
  - 이름: OBJECT_INSTANCE
    설명: database.schema.class 형식의 특정 클래스에 대한 인스턴스 역할을 포함하는 객체의 정규화된 전체 이름
    유형: json

Snowflake.Stages

스키마: Snowflake.Stages
설명: Snowflake 스테이지
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/stages
필드:
  - 이름: match
    설명: LUT의 일치 항목
    type: array
    element:
      type: string
  - 이름: CREATED
    required: true
    설명: 스테이지가 생성된 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DELETED
    설명: 스테이지가 삭제된 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: INSTANCE_ID
    설명: 객체가 속한 인스턴스에 대한 내부/시스템 생성 식별자
    type: string
  - 이름: LAST_ALTERED
    설명: 스테이지가 마지막으로 변경된 타임스탬프
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: OWNER_ROLE_TYPE
    설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake Native App이 객체를 소유한 경우 값은 APPLICATION
    type: string
  - 이름: STAGE_CATALOG
    설명: 스테이지가 위치한 카탈로그
    type: string
  - 이름: STAGE_CATALOG_ID
    required: true
    설명: 스테이지 카탈로그의 고유 식별자
    type: string
  - 이름: STAGE_ID
    required: true
    설명: 스테이지의 고유 식별자
    type: string
  - 이름: STAGE_NAME
    required: true
    설명: 스테이지 이름
    type: string
  - 이름: STAGE_REGION
    설명: 스테이지가 위치한 리전
    type: string
  - 이름: STAGE_SCHEMA
    설명: 스테이지가 속한 스키마
    type: string
  - 이름: STAGE_OWNER
    설명: 스테이지를 소유한 역할의 이름; 드롭된 경우 NULL
    type: string
  - 이름: COMMENT
    설명: 이 스테이지에 대한 설명(코멘트). 설명이 제공되지 않으면 NULL
    type: string
  - 이름: STAGE_SCHEMA_ID
    required: true
    설명: 스테이지 스키마의 고유 식별자
    type: string
  - 이름: STAGE_TYPE
    설명: 스테이지의 유형(예: External Named)
    type: string
  - 이름: STAGE_URL
    설명: 스테이지의 URL
    type: string
  - 이름: STORAGE_INTEGRATION
    설명: 스테이지와 연관된 스토리지 통합
    type: string

Snowflake.NetworkPolicies

보강은 행 크기 제한이 65KB이므로, ALLOWED_IP_LIST 와 BLOCKED_IP_LIST 필드들의 결합된 값의 크기가 40KB를 초과하면 이 제한을 맞추기 위해 잘리게 됩니다.

스키마: Snowflake.NetworkPolicies
설명: Snowflake 네트워크 정책
참고 URL: https://docs.snowflake.com/en/sql-reference/account-usage/network_policies
필드:
  - 이름: match
    설명: 일치를 위한 네트워크 정책의 ID
    type: array
    element:
      type: string
  - 이름: ID
    required: true
    설명: 네트워크 정책에 대한 내부 시스템 생성 식별자
    type: string
  - 이름: NAME
    required: true
    설명: 네트워크 정책 이름
    type: string
  - 이름: OWNER
    설명: 네트워크 정책을 소유한 역할의 이름
    type: string
  - 이름: OWNER_ROLE_TYPE
    설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake Native App이 객체를 소유한 경우 값은 APPLICATION입니다. 객체를 삭제하면 삭제된 객체에는 소유자 역할이 없으므로 Snowflake는 NULL을 반환합니다.
    type: string
  - 이름: COMMENT
    설명: 네트워크 정책에 대한 설명(있는 경우)
    type: string
  - 이름: CREATED
    설명: 네트워크 정책이 생성된 날짜 및 시간
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: LAST_ALTERED
    required: true
    설명: 네트워크 정책이 마지막으로 변경된 날짜 및 시간
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: DELETED
    설명: 네트워크 정책이 삭제된 날짜 및 시간
    type: timestamp
    timeFormats:
      - '%Y-%m-%d %H:%M:%S.%f %z'
      - '%a, %d %b %Y %H:%M:%S %z'
  - 이름: ALLOWED_IP_LIST
    설명: 해당 네트워크 정책에서 허용된 IPv4 주소 및 CIDR 블록 범위의 목록
    type: array
    element:
      type: string
  - 이름: BLOCKED_IP_LIST
    설명: 해당 네트워크 정책에서 차단된 IPv4 주소 및 CIDR 블록 범위의 목록
    type: array
    element:
      type: string

PreviousOpen Threat Exchange (OTX)(베타)NextTor 종료 노드

Last updated 1 month ago

Was this helpful?

hashtag개요

hashtag수신된 로그가 Snowflake 데이터로 보강되는 방법

hashtagPanther에서 Snowflake 보강 설정 방법

hashtagSnowflake 감사 소스 설정 중 Panther에서 Snowflake 보강 구성

hashtag초기 Snowflake 감사 소스 설정 후 Panther에서 Snowflake 보강 구성

hashtag지원되는 보강 유형

hashtagSnowflake.Users

hashtagSnowflake.Roles

hashtagSnowflake.GrantsToUsers

hashtagSnowflake.GrantsToRoles

hashtagSnowflake.Stages

hashtagSnowflake.NetworkPolicies

개요