Snowflake-Connector (mithilfe von Azure-Funktionen) für Microsoft Sentinel

  • Artikel

Der Snowflake-Datenconnector bietet die Möglichkeit, Anmeldeprotokolle und Abfrageprotokolle von Snowflake mithilfe des Snowflake Python-Connectors in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zu Snowflake.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Snowflake_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Alle Snowflake-Ereignisse

Snowflake_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Snowflake (mithilfe von Azure-Funktionen) sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Snowflake-Anmeldeinformationen: Snowflake-Kontobezeichner, Snowflake-Benutzer und Snowflake-Kennwort sind für die Verbindung erforderlich. Weitere Informationen zum Snowflake-Kontobezeichner finden Sie in der Dokumentation. Im Folgenden finden Sie eine Anleitung zum Erstellen des Benutzers für diesen Connector.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit der Azure Blob Storage-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions und der Seite mit der Preisübersicht von Azure Blob Storage.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Dieser Datenconnector benötigt einen Parser, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert: Snowflake, bereitgestellt mit der Microsoft Sentinel-Lösung.

SCHRITT 1: Erstellen eines Benutzers in Snowflake

Zum Abfragen von Daten aus Snowflake benötigen Sie einen Benutzer, der einer Rolle mit ausreichenden Berechtigungen zugewiesen ist, sowie einen virtuellen Warehousecluster. Die anfängliche Größe dieses Clusters wird auf „klein“ festgelegt, und wenn dies nicht ausreicht, kann die Clustergröße bei Bedarf erhöht werden.

  1. Öffnen Sie die Snowflake-Konsole.

  2. Wechseln Sie zur Rolle SECURITYADMIN, und erstellen Sie eine neue Rolle:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;

  3. Wechseln Sie zur Rolle SYSADMIN, erstellen Sie ein Warehouse, und gewähren Sie Zugriff darauf:

    USE ROLE SYSADMIN;
CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
  WAREHOUSE_SIZE = 'SMALL' 
  AUTO_SUSPEND = 5
  AUTO_RESUME = true
  INITIALLY_SUSPENDED = true;
GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;

  4. Wechseln Sie zur Rolle SECURITYADMIN, und erstellen Sie einen neuen Benutzer:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE USER EXAMPLE_USER_NAME
   PASSWORD = 'example_password'
   DEFAULT_ROLE = EXAMPLE_ROLE_NAME
   DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;

  5. Wechseln Sie zur Rolle ACCOUNTADMIN, und gewähren Sie der Rolle Zugriff auf die Snowflake-Datenbank.

    USE ROLE ACCOUNTADMIN;
GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;

  6. Wechseln Sie zur Rolle SECURITYADMIN, und weisen Sie die Rolle dem Benutzer zu:

    USE ROLE SECURITYADMIN;
GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;

WICHTIG: Speichern Sie den Benutzer und das API-Kennwort, den/das Sie in diesem Schritt erstellt haben, da beide Werte im Bereitstellungsschritt verwendet werden.

SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie die Anmeldeinformationen für Snowflake zur Hand haben.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.