我们的安全小组要求我们在本季度末将 Snowflake 审计记录纳入我们的本地 SIEM。我找到了 information_schema.login_history 记录,但我很难找到 SIEM 可能想要的任何其他内容(特权使用等)。任何有关相关视图或功能的提示将不胜感激。
回答1
一些 tables 可用于了解 Snowflake 用户的查询和登录尝试以及各种维度。详情请看:
https://docs.snowflake.net/manuals/sql-reference/functions/login_history.htmlhttps://docs.snowflake.net/manuals/sql-reference/functions/query_history.html
回答2
以下是一些可能派上用场的 SNOWFLAKE ACCOUNT_USAGE SCHEMA QUERIES。
Access_History ,Query_History 将有助于找出谁以及如何访问 Snowflake DB,Query History 将显示执行的查询、角色、仓库、开始时间、结束时间等。
也尝试登录到 Snowsight 获取特定角色的完整血统。
--查找帐户中的活动用户-- 从“SNOWFLAKE”中选择 FIRST_NAME、LAST_NAME、DISPLAY_NAME。“ACCOUNT_USAGE”。“USERS”其中 DELETED_ON 为 NULL GROUP BY FIRST_NAME,LAST_NAME,DISPLAY_NAME ORDER BY FIRST_NAME DESC;
--查找帐户中的活动用户和角色--从“SNOWFLAKE”.“ACCOUNT_USAGE”.“GRANTS_TO_USERS”中选择角色、GRANTE_NAME、GRANTED_BY,其中 DELETED_ON 为 NULL GROUP BY ROLE、GRANTEE_NAME、GRANTED_BY ORDER BY GRANTE_NAME DESC;
--要查找对象的角色的活动授予--从“SNOWFLAKE”中选择特权、表_目录、授予名称、授予_BY。“帐户_使用”。“授予_TO_ROLES”其中DELETED_ON是空组按特权、表_目录、授予_名称、授予_按表排序;