Connecteur Snowflake (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données Snowflake offre la possibilité d’ingérer des journaux de connexion et des journaux de requêtes Snowflake dans Microsoft Sentinel à l’aide du connecteur Python Snowflake. Reportez-vous à la documentation Snowflake pour plus d’informations.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Snowflake_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les événements Snowflake
Snowflake_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Snowflake (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification Snowflake : l’identificateur de compte Snowflake, l’utilisateur Snowflake et le mot de passe Snowflake sont requis pour la connexion. Consultez la documentation pour en savoir plus sur l’identificateur de compte Snowflake. Vous trouverez ci-dessous des instructions sur la façon de créer un utilisateur pour ce connecteur.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API Stockage Blob Azure afin d’extraire des journaux dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure. Pour plus de détails, consultez les pages Tarification d’Azure Functions et Tarification du Stockage Blob Azure.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, Snowflake, qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Création d’un utilisateur dans Snowflake
Pour interroger des données à partir de Snowflake, vous avez besoin d’un utilisateur affecté à un rôle disposant de privilèges suffisants, et d’un cluster d’entrepôt virtuel. La taille initiale de ce cluster est définie sur « petite », mais si elle est insuffisante, elle peut être augmentée si nécessaire.
Accédez à la console Snowflake.
Basculez le rôle vers SECURITYADMIN et créez un rôle :
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Basculez le rôle vers SYSADMIN et créez un entrepôt et accordez-lui l’accès :
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Basculez le rôle vers SECURITYADMIN et créez un utilisateur :
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME ;Basculez le rôle vers ACCOUNTADMIN et accordez l’accès à la base de données snowflake pour le rôle.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Basculez le rôle vers SECURITYADMIN et attribuez un rôle à l’utilisateur :
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
IMPORTANT : Enregistrez l’utilisateur et le mot de passe d’API créés lors de cette étape, car ils seront utilisés pendant l’étape de déploiement.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant le déploiement du connecteur de données, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (ils peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification Snowflake, déjà disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.