Snowflake-connector (met behulp van Azure Functions) voor Microsoft Sentinel

De Snowflake-gegevensconnector biedt de mogelijkheid om snowflake-aanmeldingslogboeken en querylogboeken op te nemen in Microsoft Sentinel met behulp van de Snowflake Python-Verbinding maken or. Raadpleeg de documentatie van Snowflake voor meer informatie.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk	Beschrijving
Log Analytics-tabellen	Snowflake_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Microsoft Corporation

Voorbeelden van query's

Alle Snowflake-gebeurtenissen

Snowflake_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Snowflake (met behulp van Azure Functions), moet u het volgende hebben:

• Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
• Snowflake-referenties: Snowflake-account-id, Snowflake-gebruiker en Snowflake-wachtwoord zijn vereist voor verbinding. Zie de documentatie voor meer informatie over de Snowflake-account-id. Instructies voor het maken van een gebruiker voor deze connector vindt u hieronder.

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Azure Blob Storage-API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage-kosten. Raadpleeg de pagina met prijzen van Azure Functions en de pagina met prijzen voor Azure Blob Storage voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

Notitie

Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht Snowflake dat wordt geïmplementeerd met de Microsoft Sentinel-oplossing.

STAP 1: Gebruiker maken in Snowflake

Als u gegevens uit Snowflake wilt opvragen, hebt u een gebruiker nodig die is toegewezen aan een rol met voldoende bevoegdheden en een virtueel magazijncluster. De initiële grootte van dit cluster wordt ingesteld op klein, maar als dit onvoldoende is, kan de clustergrootte indien nodig worden verhoogd.

1. Voer de Snowflake-console in.

2. Schakel over naar SECURITYADMIN en maak een nieuwe rol:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;
   

3. Schakel de rol over naar SYSADMIN en maak er een magazijn en grote toegang tot :

   USE ROLE SYSADMIN;
   CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
     WAREHOUSE_SIZE = 'SMALL' 
     AUTO_SUSPEND = 5
     AUTO_RESUME = true
     INITIALLY_SUSPENDED = true;
   GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;
   

4. Schakel over naar SECURITYADMIN en maak een nieuwe gebruiker:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE USER EXAMPLE_USER_NAME
      PASSWORD = 'example_password'
      DEFAULT_ROLE = EXAMPLE_ROLE_NAME
      DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;
   

5. Schakel de rol over naar ACCOUNTADMIN en ververleent toegang tot de snowflake-database voor rol.

   USE ROLE ACCOUNTADMIN;
   GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;
   

6. Schakel over naar SECURITYADMIN en wijs de rol toe aan de gebruiker:

   USE ROLE SECURITYADMIN;
   GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
   

BELANGRIJK: Sla gebruikers- en API-wachtwoord op dat tijdens deze stap is gemaakt, omdat deze worden gebruikt tijdens de implementatiestap.

STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals de Referenties van Snowflake, die direct beschikbaar zijn.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.