Megosztás a következőn keresztül:

Snowflake (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Snowflake adatösszekötő lehetővé teszi a Snowflake bejelentkezési naplóinak és lekérdezési naplóinak a Microsoft Sentinelbe való betöltését a Snowflake Python Csatlakozás or használatával. További információért tekintse meg a Snowflake dokumentációját .

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) Snowflake_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Minden snowflake esemény

Snowflake_CL

| sort by TimeGenerated desc

Előfeltételek

A Snowflake-nal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Snowflake hitelesítő adatok: Snowflake fiókazonosító, Snowflake felhasználó és Snowflake jelszó szükséges a kapcsolathoz. A Snowflake-fiókazonosítóval kapcsolatos további információkért tekintse meg a dokumentációt. Az összekötő felhasználójának létrehozásáról az alábbiakban talál útmutatást.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik az Azure Blob Storage API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további költségeket eredményezhet az adatbetöltéshez és az adatok Azure Blob Storage-ban való tárolásához. A részletekért tekintse meg az Azure Functions díjszabási oldalát és az Azure Blob Storage díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön a Microsoft Sentinel-megoldással üzembe helyezett Snowflake.

1. LÉPÉS – Felhasználó létrehozása a Snowflake-ben

A Snowflake adatainak lekérdezéséhez olyan felhasználóra van szükség, aki megfelelő jogosultságokkal és virtuális raktárfürttel rendelkezik egy szerepkörhöz rendelve. A fürt kezdeti mérete kicsi lesz, de ha nem elegendő, a fürt mérete szükség szerint növelhető.

  1. Adja meg a Snowflake konzolt.

  2. Váltson Standard kiadás CURITYADMIN szerepkörre, és hozzon létre egy új szerepkört:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;

  3. Váltson a szerepkörre a SYSADMIN-re, és hozzon létre egy raktárat és egy teljes hozzáférést hozzá:

    USE ROLE SYSADMIN;
CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
  WAREHOUSE_SIZE = 'SMALL' 
  AUTO_SUSPEND = 5
  AUTO_RESUME = true
  INITIALLY_SUSPENDED = true;
GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;

  4. Váltson Standard kiadás CURITYADMIN szerepkörre, és hozzon létre egy új felhasználót:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE USER EXAMPLE_USER_NAME
   PASSWORD = 'example_password'
   DEFAULT_ROLE = EXAMPLE_ROLE_NAME
   DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;

  5. Váltson a szerepkörre az ACCOUNTADMIN-re, és adjon hozzáférést a snowflake-adatbázishoz a szerepkörhöz.

    USE ROLE ACCOUNTADMIN;
GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;

  6. Szerepkör váltása Standard kiadás CURITYADMIN-ra, és szerepkör hozzárendelése a felhasználóhoz:

    USE ROLE SECURITYADMIN;
GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;

FONTOS: Mentse az ebben a lépésben létrehozott felhasználói és API-jelszót, mivel azok az üzembe helyezési lépés során lesznek használva.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: Az adatösszekötő üzembe helyezése előtt rendelkezzen a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Snowflake hitelesítő adataival, amelyek könnyen elérhetők.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.