موصل Snowflake (باستخدام Azure Functions) ل Microsoft Sentinel

يوفر موصل بيانات Snowflake القدرة على استيعاب سجلات تسجيل الدخول إلى Snowflake وسجلات الاستعلام في Microsoft Sentinel باستخدام Snowflake Python الاتصال or. راجع وثائق Snowflake لمزيد من المعلومات.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل	‏‏الوصف
جدول (جداول) Log Analytics	Snowflake_CL
دعم قواعد جمع البيانات	غير مدعوم حاليًا
مدعومة من قبل	Microsoft Corporation

عينات الاستعلام

جميع أحداث Snowflake

Snowflake_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Snowflake (باستخدام Azure Functions) تأكد من أن لديك:

• أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
• بيانات اعتماد Snowflake: مطلوب معرف حساب Snowflake ومستخدم Snowflake وكلمة مرور Snowflake للاتصال. راجع الوثائق لمعرفة المزيد حول معرف حساب Snowflake. إرشادات حول كيفية إنشاء مستخدم لهذا الموصل يمكنك العثور عليه أدناه.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب Azure Blob Storage API لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف Azure Blob Storage. تحقق من صفحة تسعير Azure Functions وصفحة تسعير Azure Blob Storage للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع Snowflake الذي يتم نشره مع حل Microsoft Sentinel.

الخطوة 1 - إنشاء مستخدم في Snowflake

للاستعلام عن البيانات من Snowflake، تحتاج إلى مستخدم تم تعيينه لدور له امتيازات كافية وكتلة مستودع ظاهري. سيتم تعيين الحجم الأولي لنظام المجموعة هذا إلى صغير ولكن إذا لم يكن كافيا، يمكن زيادة حجم نظام المجموعة حسب الضرورة.

1. أدخل وحدة تحكم Snowflake.

2. بدل الدور إلى SECURITYADMIN وأنشئ دورا جديدا:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;
   

3. قم بتبديل الدور إلى SYSADMIN وإنشاء مستودع ووصول كبير إليه:

   USE ROLE SYSADMIN;
   CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
     WAREHOUSE_SIZE = 'SMALL' 
     AUTO_SUSPEND = 5
     AUTO_RESUME = true
     INITIALLY_SUSPENDED = true;
   GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;
   

4. بدل الدور إلى SECURITYADMIN وأنشئ مستخدما جديدا:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE USER EXAMPLE_USER_NAME
      PASSWORD = 'example_password'
      DEFAULT_ROLE = EXAMPLE_ROLE_NAME
      DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;
   

5. قم بتبديل الدور إلى ACCOUNTADMIN ومنح حق الوصول إلى قاعدة بيانات snowflake للدور.

   USE ROLE ACCOUNTADMIN;
   GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;
   

6. قم بتبديل الدور إلى SECURITYADMIN وتعيين دور للمستخدم:

   USE ROLE SECURITYADMIN;
   GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
   

هام: حفظ كلمة مرور المستخدم وواجهة برمجة التطبيقات التي تم إنشاؤها أثناء هذه الخطوة كما سيتم استخدامها أثناء خطوة النشر.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل البيانات، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى بيانات اعتماد Snowflake، متوفرة بسهولة.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.