Konektor Snowflake (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Snowflake poskytuje možnost ingestovat protokoly přihlášení Snowflake a dotazovat se do Microsoft Sentinelu pomocí Připojení oru Snowflake Pythonu. Další informace najdete v dokumentaci ke Snowflake.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | Snowflake_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny události Snowflake
Snowflake_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se Službou Snowflake (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje snowflake: Pro připojení se vyžaduje identifikátor účtu Snowflake, uživatel Snowflake a heslo Snowflake. Další informace o identifikátoru účtu Snowflake najdete v dokumentaci. Pokyny k vytvoření uživatele pro tento konektor najdete níže.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní API služby Azure Blob Storage k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat a ukládání dat do služby Azure Blob Storage. Podrobnosti najdete na stránce s cenami služby Azure Functions a na stránce s cenami služby Azure Blob Storage.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání Snowflake , která se nasadí s řešením Microsoft Sentinel.
KROK 1 : Vytvoření uživatele ve Snowflake
K dotazování dat ze Snowflake potřebujete uživatele, který je přiřazen k roli s dostatečnými oprávněními a clusterem virtuálního skladu. Počáteční velikost tohoto clusteru bude nastavená na malou, ale pokud není dostatečná, je možné podle potřeby zvětšit velikost clusteru.
Zadejte konzolu Snowflake.
Přepněte roli na SECURITYADMIN a vytvořte novou roli:
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Přepněte roli na SYSADMIN a vytvořte k němu sklad a velký přístup :
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Přepněte roli na SECURITYADMIN a vytvořte nového uživatele:
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;Přepněte roli na ACCOUNTADMIN a udělte přístup k databázi snowflake pro roli.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Přepněte roli na SECURITYADMIN a přiřaďte roli uživateli:
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
DŮLEŽITÉ: Uložte heslo uživatele a rozhraní API vytvořené během tohoto kroku, protože se použije během kroku nasazení.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru získáte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje Snowflake, které jsou snadno dostupné.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.