我们的安全组要求我们在本季度末之前将Snowflake审计记录吸收到我们的本地SIEM中。我找到了information_schema。login_history记录,但我正在努力找到SIEM可能想要的任何其他内容(特权使用等)。如有任何有关视图或功能的建议,我们将不胜感激。
一些表可以用来理解查询&Snowflake用户的登录尝试次数以及各种维度。有关详细信息,请查看:
https://docs.snowflake.net/manuals/sql-reference/functions/login_history.htmlhttps://docs.snowflake.net/manuals/sql-reference/functions/query_history.html
下面是一些可能会派上用场的SNOWFLAKE ACCOUNT_USAGE SCHEMA查询。
Access_History,Query_History将帮助找出谁以及如何访问Snowflake DB,Query History将显示执行的查询,角色,仓库,开始时间,结束时间等。
也尝试登录到Snowsight获得一个特定角色的完整血统。
——查找该帐户中的活跃用户——从"SNOWFLAKE" "ACCOUNT_USAGE" "USERS"中查询FIRST_NAME,LAST_NAME,DISPLAY_NAME;其中deleted_on为空组由first_name, last_name, display_name
——查找帐户中的活动用户和角色——SELECT ROLE,GRANTEE_NAME,GRANTED_BY FROM "SNOWFLAKE";ACCOUNT_USAGE";其中deleted_on为空按角色、grantee_name、granted_by分组
——查找角色对对象的有效授权——SELECT PRIVILEGE,TABLE_CATALOG,GRANTEE_NAME,GRANTED_BY FROM SNOWFLAKE";ACCOUNT_USAGE";其中deleted_on为空按特权、表目录、grantee_name、granted_by分组