Snowflake 보강은 Panther 버전 1.113부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트 및 기능 요청은 Panther 지원팀에 공유해 주세요.
다음 항목을 구성하여 Panther에서 Snowflake 보강 테이블을 생성할 수 있습니다 Snowflake 감사 로그 소스 로그 소스 자체에서 읽는 시계열 보안 데이터와 달리 "state" 데이터를 포함하는 테이블을 가져오도록 설정합니다. 이는 이 정보를 디텍션 로직 및 검색 쿼리에서 참조할 수 있음을 의미합니다.
Snowflake 보강 데이터는 Snowflake 감사 로그 소스가 로그를 가져오도록 구성한 동일한 간격으로 새로 고쳐집니다.
Panther에서 Snowflake 감사 로그 소스 통합을 처음 설정할 때 또는 이후에 소스를 편집하여 Snowflake 보강을 구성할 수 있습니다. 두 흐름 중 어느 쪽이든 Snowflake 감사 로그 소스 통합을 설정하는 동안 또는 이후에 소스를 편집하여 보강을 구성할 수 있습니다. 두 흐름 중 어느 쪽이든, 보강 페이지에서 원하는 보강 유형.
을(를) 켜려면 먼저(또는 동시에) Snowflake를 로그 소스로 온보딩해야 합니다. Snowflake를 하지 않고는 Snowflake 보강을 설정할 수 없습니다 Panther에 로그 소스로 Snowflake 온보딩 없이
스키마: Snowflake.Users
설명: Snowflake 사용자
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/users
필드:
- name: match
설명: LUT의 매치
유형: 배열
요소:
유형: 문자열
- name: BYPASS_MFA_UNTIL
설명: 다중 인증이 우회되는 시점까지의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: COMMENT
설명: 사용자에 대한 코멘트
유형: 문자열
- name: CREATED_ON
필수: true
설명: 사용자가 생성된 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DEFAULT_NAMESPACE
설명: 사용자에게 할당된 기본 네임스페이스
유형: 문자열
- name: DEFAULT_ROLE
설명: 사용자에게 할당된 기본 역할
유형: 문자열
- name: DEFAULT_SECONDARY_ROLE
설명: 사용자에 대한 기본 보조 역할을 지정합니다(예: ALL) 또는 설정되지 않은 경우 NULL
유형: 문자열
- name: DEFAULT_WAREHOUSE
설명: 사용자에게 할당된 기본 웨어하우스
유형: 문자열
- name: DELETED_ON
설명: 사용자가 삭제된 경우 삭제된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DISABLED
설명: 사용자가 비활성화되었는지 여부를 나타냅니다
유형: 불리언
- name: DISPLAY_NAME
설명: 사용자의 표시 이름
유형: 문자열
- name: EMAIL
설명: 사용자의 이메일 주소
유형: 문자열
지표:
- email
- name: EXT_AUTHN_DUO
설명: Duo를 통한 외부 인증이 활성화되었는지 여부를 나타냅니다
유형: 불리언
- name: EXT_AUTHN_ID
설명: Duo Security에 사용되는 인증 ID
유형: 문자열
- name: EXPIRES_AT
설명: 사용자 상태가 EXPIRED로 설정되어 더 이상 로그인이 불가능해지는 날짜 및 시간
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: FIRST_NAME
설명: 사용자의 이름
유형: 문자열
- name: LAST_NAME
설명: 사용자의 성
유형: 문자열
- name: HAS_MFA
설명: 사용자가 다중 인증을 활성화했는지 여부를 나타냅니다
유형: 불리언
- name: HAS_PASSWORD
설명: 사용자가 비밀번호를 설정했는지 여부를 나타냅니다
유형: 불리언
- name: HAS_RSA_PUBLIC_KEY
설명: 사용자가 RSA 공개 키를 설정했는지 여부를 나타냅니다
유형: 불리언
- name: LAST_SUCCESS_LOGIN
설명: 마지막 성공적 로그인 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: LOCKED_UNTIL_TIME
설명: 사용자가 잠겨 있는 경우 잠금이 해제되는 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: LOGIN_NAME
설명: 사용자의 로그인 이름
유형: 문자열
- name: MUST_CHANGE_PASSWORD
설명: 사용자가 비밀번호를 변경해야 하는지 여부를 나타냅니다
유형: 불리언
- name: NAME
필수: true
설명: 사용자 이름
유형: 문자열
지표:
- username
- name: OWNER
설명: 사용자 계정의 소유자
유형: 문자열
- name: PASSWORD_LAST_SET_TIME
설명: 사용자를 위해 마지막으로 null이 아닌 비밀번호가 설정된 타임스탬프. 비밀번호가 설정되지 않은 경우 기본값은 null입니다
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: SNOWFLAKE_LOCK
설명: 사용자가 Snowflake에서 잠겨있는지 여부를 나타냅니다
유형: 불리언
- name: TYPE
설명: '사용자 유형을 지정합니다. PERSON, SERVICE, LEGACY_SERVICE 또는 NULL. 기본값: NULL'
유형: 문자열
- name: USER_ID
필수: true
설명: 사용자의 고유 식별자
유형: 문자열
스키마: Snowflake.Roles
설명: Snowflake 계정에 정의된 모든 역할에 대한 정보
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/roles
필드:
- name: match
설명: 룩업을 위한 매치, ROLE_ID, ROLE_INSTANCE_ID 및 NAME과 매치됨
유형: 배열
요소:
유형: 문자열
- name: ROLE_ID
필수: true
설명: 역할에 대한 내부/시스템 생성 식별자
유형: 문자열
- name: CREATED_ON
필수: true
설명: 역할이 생성된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DELETED_ON
설명: 역할이 삭제된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: NAME
필수: true
설명: 역할 이름
유형: 문자열
- name: COMMENT
설명: 역할에 대한 코멘트
유형: 문자열
- name: OWNER
설명: 객체에 대한 OWNERSHIP 권한을 가진 역할
유형: 문자열
- name: ROLE_TYPE
설명: ROLE, DATABASE_ROLE 또는 INSTANCE_ROLE 중 하나
유형: 문자열
- name: ROLE_DATABASE_NAME
설명: 역할이 데이터베이스 역할인 경우 해당 데이터베이스의 이름
유형: 문자열
- name: ROLE_INSTANCE_ID
설명: 역할이 속한 클래스 인스턴스에 대한 내부/시스템 생성 식별자
유형: 문자열
- name: OWNER_ROLE_TYPE
설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake 네이티브 앱이 객체를 소유하면 값은 APPLICATION입니다. 객체를 삭제하면 삭제된 객체는 소유자 역할이 없으므로 Snowflake는 NULL을 반환합니다
유형: 문자열
스키마: Snowflake.GrantsToUsers
설명: Snowflake 사용자에 대한 권한 부여
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/grants_to_users
필드:
- name: match
설명: 룩업을 위한 매치 필드
유형: 배열
요소:
유형: 문자열
- name: CREATED_ON
필수: true
설명: 권한이 부여된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DELETED_ON
설명: 권한이 회수된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: GRANTED_BY
설명: 권한을 부여한 역할의 식별자
유형: 문자열
- name: GRANTED_TO
필수: true
설명: 이 로그 유형의 경우 값은 USER입니다
유형: 문자열
- name: GRANTEE_NAME
필수: true
설명: 권한이 부여된 사용자 이름
유형: 문자열
지표:
- username
- name: ROLE
필수: true
설명: 사용자에게 부여된 역할의 식별자
유형: 문자열
스키마: Snowflake.GrantsToRoles
설명: Snowflake 역할에 대한 권한 부여
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/grants_to_roles
필드:
- name: match
설명: 룩업을 위한 매치 필드
유형: 배열
요소:
유형: 문자열
- name: CREATED_ON
필수: true
설명: 권한이 역할에 부여된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DELETED_ON
설명: 권한이 역할에서 회수된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: GRANTED_BY
설명: 권한을 부여한 역할의 식별자 또는 애플리케이션 역할에 대한 부여가 있을 때 Snowflake 네이티브 앱 객체의 이름
유형: 문자열
지표:
- username
- name: GRANTED_BY_ROLE_TYPE
설명: APPLICATION, ROLE 또는 DATABASE_ROLE 중 하나
유형: 문자열
- name: GRANTED_TO
필수: true
설명: ROLE, DATABASE_ROLE, INSTANCE_ROLE, APPLICATION_ROLE 또는 APPLICATION 중 하나
유형: 문자열
- name: GRANTED_ON
필수: true
설명: 권한이 부여된 객체 종류(예: TABLE 또는 DATABASE)
유형: 문자열
- name: GRANTEE_NAME
필수: true
설명: 수신자 역할의 식별자, 권한이 부여된 역할 또는 Snowflake 네이티브 앱 객체의 이름
유형: 문자열
지표:
- username
- name: GRANT_OPTION
설명: TRUE로 설정된 경우 수신자 역할이 해당 권한을 다른 역할에 부여할 수 있습니다
유형: 불리언
- name: MODIFIED_ON
설명: 권한이 업데이트된 날짜 및 시간(UTC 시간대)
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: NAME
설명: 권한이 부여된 객체의 이름
유형: 문자열
- name: PRIVILEGE
설명: 역할에 추가된 권한의 이름
유형: 문자열
- name: TABLE_CATALOG
설명: 현재 테이블의 데이터베이스 이름 또는 클래스 인스턴스를 저장하는 데이터베이스의 이름
유형: 문자열
- name: TABLE_SCHEMA
설명: 현재 테이블의 스키마 이름 또는 클래스 인스턴스를 저장하는 스키마의 이름
유형: 문자열
- name: OBJECT_INSTANCE
설명: database.schema.class 형식의 특정 클래스에 대한 인스턴스 역할을 포함하는 객체의 정규화된 전체 이름
유형: json
스키마: Snowflake.Stages
설명: Snowflake 단계(Stages)
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/stages
필드:
- name: match
설명: LUT의 매치
유형: 배열
요소:
유형: 문자열
- name: CREATED
필수: true
설명: 스테이지가 생성된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DELETED
설명: 스테이지가 삭제된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: INSTANCE_ID
설명: 객체가 속한 인스턴스에 대한 내부/시스템 생성 식별자
유형: 문자열
- name: LAST_ALTERED
설명: 스테이지가 마지막으로 수정된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: OWNER_ROLE_TYPE
설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake 네이티브 앱이 객체를 소유하면 값은 APPLICATION입니다
유형: 문자열
- name: STAGE_CATALOG
설명: 스테이지가 위치한 카탈로그
유형: 문자열
- name: STAGE_CATALOG_ID
필수: true
설명: 스테이지 카탈로그의 고유 식별자
유형: 문자열
- name: STAGE_ID
필수: true
설명: 스테이지의 고유 식별자
유형: 문자열
- name: STAGE_NAME
필수: true
설명: 스테이지 이름
유형: 문자열
- name: STAGE_REGION
설명: 스테이지가 위치한 리전
유형: 문자열
- name: STAGE_SCHEMA
설명: 스테이지가 위치한 스키마
유형: 문자열
- name: STAGE_OWNER
설명: 스테이지를 소유한 역할의 이름; 삭제된 경우 NULL
유형: 문자열
- name: COMMENT
설명: 이 스테이지에 대한 코멘트. 제공되지 않은 경우 NULL
유형: 문자열
- name: STAGE_SCHEMA_ID
필수: true
설명: 스테이지 스키마의 고유 식별자
유형: 문자열
- name: STAGE_TYPE
설명: 스테이지 유형(예: External Named)
유형: 문자열
- name: STAGE_URL
설명: 스테이지의 URL
유형: 문자열
- name: STORAGE_INTEGRATION
설명: 스테이지와 연관된 스토리지 통합
유형: 문자열
스키마: Snowflake.NetworkPolicies
설명: Snowflake 네트워크 정책
참조 URL: https://docs.snowflake.com/en/sql-reference/account-usage/network_policies
필드:
- name: match
설명: 매칭을 위한 네트워크 정책 ID
유형: 배열
요소:
유형: 문자열
- name: ID
필수: true
설명: 네트워크 정책에 대한 내부 시스템 생성 식별자
유형: 문자열
- name: NAME
필수: true
설명: 네트워크 정책 이름
유형: 문자열
- name: OWNER
설명: 네트워크 정책을 소유한 역할의 이름
유형: 문자열
- name: OWNER_ROLE_TYPE
설명: 객체를 소유한 역할의 유형(예: ROLE). Snowflake 네이티브 앱이 객체를 소유하면 값은 APPLICATION입니다. 객체를 삭제하면 삭제된 객체는 소유자 역할이 없으므로 Snowflake는 NULL을 반환합니다
유형: 문자열
- name: COMMENT
설명: 네트워크 정책에 대한 코멘트(있는 경우)
유형: 문자열
- name: CREATED
설명: 네트워크 정책이 생성된 날짜 및 시간
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: LAST_ALTERED
필수: true
설명: 네트워크 정책이 마지막으로 수정된 날짜 및 시간
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: DELETED
설명: 네트워크 정책이 삭제된 날짜 및 시간
유형: 타임스탬프
시간 형식:
- '%Y-%m-%d %H:%M:%S.%f %z'
- '%a, %d %b %Y %H:%M:%S %z'
- name: ALLOWED_IP_LIST
설명: 해당 네트워크 정책에서 허용된 IPv4 주소 및 CIDR 블록 범위 목록
유형: 배열
요소:
유형: 문자열
- name: BLOCKED_IP_LIST
설명: 해당 네트워크 정책에서 차단된 IPv4 주소 및 CIDR 블록 범위 목록
유형: 배열
요소:
유형: 문자열
