使用 Trust Center¶

本主题介绍如何使用 Trust Center Snowsight 界面监控 Trust Center 成本，并管理扫描器、扫描结果及安全风险。

监控成本¶

Trust Center 在扫描 Snowflake 环境中是否存在安全漏洞时，会产生无服务器计算成本。

您可以使用 ACCOUNT_USAGE 和 ORGANIZATION_USAGE 架构中的成本相关视图来跟踪与 Trust Center 相关的成本。在查询这些视图时，请对 service_type 列进行筛选以查找 TRUST_CENTER 值。


视图	架构	`service_type`	具有所需权限的角色
METERING_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMIN 角色 USAGE_VIEWER 数据库角色
METERING_DAILY_HISTORY	ACCOUNT_USAGE	TRUST_CENTER	ACCOUNTADMIN 角色 USAGE_VIEWER 数据库角色
METERING_DAILY_HISTORY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMIN 角色 ORGANIZATION_USAGE_VIEWER 数据库角色
USAGE_IN_CURRENCY_DAILY	ORGANIZATION_USAGE	TRUST_CENTER	ORGADMIN 角色 ORGANIZATION_BILLING_VIEWER 数据库角色

示例： 查看 Trust Center 在 2024 年 12 月 1 日至 2024 年 12 月 31 日期间产生的总费用。

SELECT
   SUM(credits_used) AS total_credits
FROM snowflake.account_usage.metering_history
WHERE
   service_type = 'TRUST_CENTER' AND
   start_time >= '2024-12-01' AND
   end_time <= '2024-12-31';

示例： 查看 Trust Center 在 2024 年 12 月 1 日之后产生的每日费用。

SELECT
   usage_date AS date,
   credits_used AS credits
FROM snowflake.account_usage.metering_daily_history
WHERE
   service_type = 'TRUST_CENTER' AND
   date > '2024-12-01';

有关每个计算小时为 Trust Center 运营收取多少 credit 的信息，请参阅 `Snowflake 服务消耗表 `_ 中的表 5。

使用 Trust Center Snowsight 界面¶

此预览版引入了对 Trust Center 的几项变更。Trust Center Snowsight 界面现在具有以下选项卡：

Overview – 显示您账户的 Trust Center 调查结果的高级摘要。在 Overview 的每个部分选择 View 选项，以查看有关账户安全态势特定方面的更多详细信息。
Violations - 此选项卡此前名为 Findings。该选项卡用于显示违规情况，提供相应的修复建议，并展示违规的详细信息。有关如何使用此选项卡的说明，请前往 Violations 选项卡，并按照管理违规发现结果的生命周期和管理安全风险中的指引操作。
Detections - 此选项卡显示扫描器检测到的结果，并提供相关说明信息。有关此选项卡的使用方法，请参阅查看 Trust Center 检测结果。
Manage scanners - 现在包含 Scanner packages 选项卡。您可以通过该选项卡查看和管理扫描器包以及单个扫描器。在此预览版本中新增的事件驱动型扫描器，会在 SCHEDULE 列中显示为 Event driven。有关如何使用此选项卡的说明，请前往选项卡，并按照管理扫描器包和管理扫描器中的指引操作。
Manage scanners - 现在包含 Extensions 选项卡。您可以使用 Snowflake Native App Framework 来创建 Trust Center 扩展。有关更多信息，请参阅使用 Trust Center 扩展。

管理扫描器包¶

您可以完成以下任务，以管理 Trust Center 中的扫描器包：

查看扫描器包中的扫描器列表
启用扫描器包。
查看可用的扫描器包。
更改扫描器包的运行计划。
按需运行扫描器包。

查看扫描器包中的扫描器列表¶

要查看某个扫描器包中所包含的扫描器列表，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
在列表中选择一个扫描器包。

启用扫描器包¶

要启用扫描器包，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
选择 Enable Package。

启用扫描器包后，您可以启用或禁用扫描器包中的单个扫描器。

查看可用的扫描器包¶

要查看可用的扫描器包，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
（可选）选择 Provider、Status 或 Search 筛选可用的扫描器包列表。

更改扫描器包的运行计划¶

除 Security Essentials 扫描器包之外，您可以修改所有扫描器包的运行计划。

小技巧

启用扫描器包后，您可以针对该扫描器包中的单个扫描器分别调整其运行计划。

要更改扫描器包的运行计划，请按照以下步骤操作：

确保已启用 CIS Benchmarks 扫描器包。
登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
选择 Settings 选项卡。
在 Scanner Package Schedule 下，选择 Edit。
设置您想要的 Frequency。
选择 Continue。

按需运行扫描器包¶

要按需运行扫描器包，请执行以下步骤：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
在 Search 旁，选择 Run Package。

管理扫描器¶

您可以完成以下任务，以管理 Trust Center 中的扫描器：

查看扫描器的详细信息。
启用或禁用扫描器包中的扫描器。
更改扫描器的运行计划。
将扫描器的计划重置为其所属扫描器包的计划。
按需运行扫描器。

查看扫描器的详细信息¶

如需查看各个扫描器的功能说明和详细信息，请执行以下步骤：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
从扫描器名称列表中选择一个扫描器。

启用或禁用扫描器包中的扫描器¶

注意

扫描器以最低的成本提供有关可能的安全风险的宝贵信息。在禁用扫描器之前，我们建议评估扫描器提供的信息的价值与运行该扫描器的成本的关系。有关评估扫描器相关成本的更多信息，请参阅监控成本。

如果禁用某个扫描器包，包中的所有扫描器（包括单独启用的扫描器）都会被禁用。

要启用或禁用扫描器包中的扫描器，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
在扫描器 STATE 中，启用或禁用扫描器。
在确认框中，选择 Confirm。

更改扫描器的运行计划¶

您可以修改基于计划运行的扫描器的执行计划。您无法更改基于事件的扫描器的执行计划。您只能启用或禁用事件驱动的扫描器。

备注

当为单个扫描器设置自定义计划时，即使扫描器包计划发生更改，也会使用该设置代替其扫描器包计划。

要更改扫描器的计划，请按以下步骤操作：

请确保您已启用扫描器。
登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
为扫描器选择 More，然后选择 Edit schedule。
设置您想要的 Frequency。
选择 Save。

将扫描器的计划重置为其所属扫描器包的计划¶

要将扫描器的计划调整为与其扫描器包计划一致，请按以下步骤操作：

请确保您已启用扫描器。
登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
为扫描器选择 More，然后选择 Edit schedule。
选择 Reset，然后选择 Reset to scanner package schedule。
选择 Save。

按需运行扫描器¶

要按需运行扫描器，请执行以下步骤：

请确保您已启用扫描器。
登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Manage scanners 选项卡。
从列表中选择一个扫描器包。
为扫描器选择 More，然后选择 Run scanner。

管理违规发现结果的生命周期¶

特定应用程序角色允许您使用 Violations 选项卡查看和管理违规发现结果。有关更多信息，请参阅 Required roles。

查看违规行为¶

要查看并筛选违规数据，以了解当前处理进度，请按以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_VIEWER 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Violations 选项卡。
从 Status 下拉菜单中选择相应选项，可查看未解决、已静默或所有违规的列表。
选择任意违规项，即可查看包含摘要、建议和活动记录的详细信息窗格。
在违规栏中，选择 Activity 可查看注释历史记录和责任用户。
选择 Scanned，可查看扫描器的最近一次运行时间以及该违规的生成时间。
选择 Updated，可查看违规状态的最近一次更改时间。

更改违规发现项的状态¶

注意

将违规标记为 Muted 是对未解决违规进行分类的一种方式，便于您优先处理对当前环境最重要的问题。静默违规行为还会停止针对该违规行为的定期电子邮件通知。无论违规状态是 Open 还是 Muted，扫描器都会按既定计划继续运行。只要配置未发生变化，扫描器就会持续运行并检测违规情况。

所有新发现的安全违规都会以 Open 状态创建。您可以基于多种原因将违规标记为静默，例如该违规不适用于您的账户、已延期至未来处理、正在整改中，或其他原因。

您也可以因任何原因更改违规状态，例如该违规不适用于您的账户、计划延期处理、整改正在进行中，或其他原因。要更改违规状态，请执行以下步骤：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Violations 选项卡。
选择可打开其详细窗格的违规行为。默认情况下，仅显示状态为 Open 的违规行为。
选择 Mute notification 按钮。
（可选）您可以添加注释，以说明理由。
选择 Submit。

如需重新打开已静默的违规，请选择 Unmute 按钮。

备注

客户无需强制手动将违规发现项标记为静默。当扫描器运行确认错误配置已被修复，或整改步骤已正确执行时，Trust Center 会自动从 Violations 选项卡中移除相应的违规发现结果。

使用 Cortex Code 修复违规项¶

您可以直接在 Snowsight 中使用 Cortex Code 获取针对 Trust Center 违规项的 AI 引导式修复。当您针对某项发现选择 Begin Remediation 时，Cortex Code 会打开一个聊天界面，结合您账户的上下文解释该违规项，推荐修复步骤，并可在获得您批准后执行修复操作。

Cortex Code 提供交互式、对话式的修复体验，并且会根据您账户的具体配置进行个性化定制。与 Remediation 选项卡上的静态修复说明不同，Cortex Code 能够根据违规项所涉及的实体和配置来调整其指导内容，回答后续问题，并生成可供您审阅和运行的 SQL 语句。

先决条件¶

要使用 Cortex Code 进行违规项修复，必须满足以下条件：

您的账户必须可以使用 Snowsight 中的 Cortex Code。
必须将 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色授予您的角色。有关授予此角色的更多信息，请参阅 Required roles。
必须将 SNOWFLAKE.CORTEX_USER 数据库角色授予您的角色。

使用 Cortex Code 修复违规项¶

要通过 Cortex Code 修复违规项，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予此角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Violations 选项卡。
选择一个违规项以打开发现项详情面板，然后选择 Begin Remediation，或者在违规项列表中选择 Cortex 图标。

Cortex Code 将在屏幕右侧的聊天面板中打开。该聊天会预先填充所选违规项的上下文信息，包括违规类型、严重性、受影响的实体以及扫描器详细信息。
查看 Cortex Code 提供的解释和修复步骤。您可以：
- 提出后续问题以更详细地了解该违规项。
- 请求替代的修复方法。
- 要求 Cortex Code 生成用于修复的 SQL 语句。
- 直接从聊天中审阅并运行 SQL 语句。
完成修复后，等待下一次计划的扫描器运行，或者按需运行扫描器，以验证违规项的根本原因已修复。在扫描器确认修复后，Trust Center 会自动从 Violations 选项卡中移除该违规项。在违规项被修复且扫描器重新运行后，已修复的发现项可能在 Snowsight 中最多显示为未处理状态 3 小时。

备注

AI 引导式修复仅适用于违规项。检测项代表过去发生的唯一事件，没有直接的修复步骤。不过，您也可以使用 Cortex Code 来调查检测发现项并规划行动方案。

注意事项¶

Cortex Code 根据您账户的配置和具体违规项的详细信息生成修复建议。在运行建议的 SQL 语句之前，请务必对其进行检查。
某些违规项需要 Snowflake 之外的操作，例如协调组织范围内的 MFA 策略更改，或调查来自未识别 IP 地址的登录是否合法。在这些情况下，Cortex Code 会说明所需步骤，但无法代表您执行这些操作。
完成修复后，您可以通过按需运行扫描器来验证修复结果，而无需等待下一次计划运行。有关更多信息，请参阅按需运行扫描器包。

查看 Trust Center 检测结果¶

Detections 选项卡显示 Trust Center 报告的检测结果信息，并允许您对这些结果进行查看和分析：

备注

目前，您无法管理检测结果的生命周期（即无法将其标记为已静默或重新打开）。检测结果目前尚未汇总到组织账户中。

查看检测结果¶

要查看检测结果，请按以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色或 SNOWFLAKE.TRUST_CENTER_VIEWER 应用程序角色的角色。

有关授予这些角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Detections 选项卡。

图表显示指定时间范围内的检测信息。您可以调整筛选条件，以更改选项卡中显示的检测结果。有关如何修改筛选条件的信息，请参阅下一步。

检测结果栏显示每项检测的详细信息，例如检测类型、实体类型、实体名称以及其他相关信息。
要分析选项卡中显示的检测结果，请调整以下筛选条件：
- Detection Type - 清除筛选条件以显示所有类型的检测，或选择某一类型以仅显示该类型的检测结果。例如 Abnormal Account Activities、Insecure Login 或 Privilege Escalation。
- Severity - 清除筛选条件以显示所有严重级别的检测，或选择某一严重级别以仅显示该级别的检测结果。例如 Critical、High、Medium 或 Low。
- Entity Type - 清除筛选条件以显示所有实体类型的检测，或选择某一实体类型以仅显示该实体类型的检测结果。例如 QUERY、ROLE 或 USER。
- Reported By - 清除筛选条件以显示 Security Essentials 和 Threat Intelligence 扫描器包中所有扫描器报告的检测结果，或选择某一扫描器包，以仅显示该扫描器包中的扫描器所报告的检测结果。
- Time Range - 清除筛选条件以显示任意时间报告的所有检测结果，或选择一个时间范围以查看在该所选时间范围内报告的检测结果。
要查看包含检测摘要、修复建议和活动信息的详细窗格，请选择任意一条检测结果。

要打开一个包含可运行查询的工作表以获取有关扫描器输出的更多信息，请在 Remediation 选项卡中选择 Open a Worksheet。

管理安全风险¶

您可以完成以下任务，管理 Trust Center 的安全风险：

查看安全风险。
补救安全风险。

查看安全风险¶

要查看安全风险，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_VIEWER 或 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予这些角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Violations 选项卡。
从违规列表中选择一项建议，以查看与该建议相关的违规的详细信息。
（可选）选择 Severity、Violations 或 Search 筛选所显示的建议列表。

补救安全风险¶

查看单个安全风险时，您可以了解如何补救与显示的建议相关的风险，从而加强您账户的安全性。

要补救安全风险，请按照以下步骤操作：

登录 Snowsight。
切换到被授予 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色的角色。

有关授予这些角色的更多信息，请参阅 Required roles。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Violations 选项卡。
从违规列表中选择一条建议。
在 Remediation 选项卡中，按照显示的步骤操作。