次の方法で共有


Microsoft Sentinel 用 Snowflake (Azure Functions を使用) コネクタ

Snowflake データ コネクタは、Snowflake Python コネクタを使用して Snowflake のログイン ログクエリ ログを Microsoft Sentinel に取り込む機能を提供します。 詳細については、Snowflake のドキュメントを参照してください。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Snowflake_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

すべての Snowflake イベント

Snowflake_CL

| sort by TimeGenerated desc

前提条件

Snowflake と (Azure Functions を使用して) 統合するには、次のものがあることをご確認ください:

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して Azure Blob Storage API に接続し、ログを Microsoft Sentinel にプルします。 これにより、データ インジェストと、Azure Blob Storage にデータを格納するための追加コストが発生する可能性があります。 詳細については、Azure Functions の価格ページAzure Blob Storage の価格ページを参照してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

注意

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して、Microsoft Sentinel ソリューションと共にデプロイされている Snowflake を期待どおりに動作させます。

ステップ 1 - Snowflake でのユーザーの作成

Snowflake からデータを照会するには、十分な権限と仮想ウェアハウス クラスターを持つ役割に割り当てられているユーザーが必要です。 このクラスターの初期サイズは small に設定されますが、不十分な場合は、必要に応じてクラスター サイズを増やすことができます。

  1. Snowflake コンソールに移動します。

  2. 役割を SECURITYADMIN に切り替え、次の新しい役割を作成します

    USE ROLE SECURITYADMIN;
    CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;
    
  3. 役割を SYSADMIN に切り替え、ウェアハウスを作成し、それに対するアクセス権を付与します。

    USE ROLE SYSADMIN;
    CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
      WAREHOUSE_SIZE = 'SMALL' 
      AUTO_SUSPEND = 5
      AUTO_RESUME = true
      INITIALLY_SUSPENDED = true;
    GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;
    
  4. 役割を SECURITYADMIN に切り替え、次の新しいユーザーを作成します

    USE ROLE SECURITYADMIN;
    CREATE OR REPLACE USER EXAMPLE_USER_NAME
       PASSWORD = 'example_password'
       DEFAULT_ROLE = EXAMPLE_ROLE_NAME
       DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;
    
  5. 役割を ACCOUNTADMIN に切り替え、役割にsnowflake データベースへのアクセス権を付与します。

    USE ROLE ACCOUNTADMIN;
    GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;
    
  6. 役割を SECURITYADMIN に切り替え、ユーザーに次の役割を割り当てます

    USE ROLE SECURITYADMIN;
    GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
    

重要: このステップで作成したユーザーと API のパスワードは、デプロイのステップで使用するので、保存してください。

ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Snowflake の資格情報をすぐに使用できるようにしておいてください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。