Lire en anglais

Partager via

Connecteur Snowflake (avec Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données Snowflake offre la possibilité d’ingérer des journaux de connexion et des journaux de requêtes Snowflake dans Microsoft Sentinel à l’aide du connecteur Python Snowflake. Reportez-vous à la documentation Snowflake pour plus d’informations.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Snowflake_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Tous les événements Snowflake

Kusto 
Snowflake_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer Snowflake (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification Snowflake : l’identificateur de compte Snowflake, l’utilisateur Snowflake et le mot de passe Snowflake sont requis pour la connexion. Consultez la documentation pour en savoir plus sur l’identificateur de compte Snowflake. Vous trouverez ci-dessous des instructions sur la façon de créer un utilisateur pour ce connecteur.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure. Pour plus de détails, consultez les pages Tarification d’Azure Functions et Tarification du Stockage Blob Azure.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, Snowflake, qui est déployé avec la solution Microsoft Sentinel.

ÉTAPE 1 - Création d’un utilisateur dans Snowflake

Pour interroger des données à partir de Snowflake, vous avez besoin d’un utilisateur affecté à un rôle disposant de privilèges suffisants, et d’un cluster d’entrepôt virtuel. La taille initiale de ce cluster est définie sur « petite », mais si elle est insuffisante, elle peut être augmentée si nécessaire.

  1. Accédez à la console Snowflake.

  2. Basculez le rôle vers SECURITYADMIN et créez un rôle :

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;

  3. Basculez le rôle vers SYSADMIN et créez un entrepôt et accordez-lui l’accès :

    USE ROLE SYSADMIN;
CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
  WAREHOUSE_SIZE = 'SMALL' 
  AUTO_SUSPEND = 5
  AUTO_RESUME = true
  INITIALLY_SUSPENDED = true;
GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;

  4. Basculez le rôle vers SECURITYADMIN et créez un utilisateur :

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE USER EXAMPLE_USER_NAME
   PASSWORD = 'example_password'
   DEFAULT_ROLE = EXAMPLE_ROLE_NAME
   DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;

  5. Basculez le rôle vers ACCOUNTADMIN et accordez l’accès à la base de données snowflake pour le rôle.

    USE ROLE ACCOUNTADMIN;
GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;

  6. Basculez le rôle vers SECURITYADMIN et attribuez un rôle à l’utilisateur :

    USE ROLE SECURITYADMIN;
GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;

IMPORTANT : Enregistrez l’utilisateur et le mot de passe d’API créés lors de cette étape, car ils seront utilisés pendant l’étape de déploiement.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant le déploiement du connecteur de données, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (ils peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification Snowflake, déjà disponibles.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.