Udostępnij za pośrednictwem

Łącznik snowflake (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych snowflake zapewnia możliwość pozyskiwania dzienników logowania usługi Snowflake i wykonywania zapytań dotyczących dzienników w usłudze Microsoft Sentinel przy użyciu Połączenie or języka Python snowflake. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Snowflake.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics Snowflake_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Wszystkie wydarzenia snowflake

Snowflake_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Snowflake (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia usługi Snowflake: Identyfikator konta snowflake, użytkownik snowflake i hasło snowflake są wymagane do nawiązania połączenia. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o identyfikatorze konta usługi Snowflake. Instrukcje dotyczące tworzenia użytkownika dla tego łącznika można znaleźć poniżej.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API usługi Azure Blob Storage w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach usługi Azure Blob Storage. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions i cennik usługi Azure Blob Storage.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami snowflake , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

KROK 1. Tworzenie użytkownika w aplikacji Snowflake

Do wykonywania zapytań dotyczących danych z usługi Snowflake potrzebny jest użytkownik przypisany do roli z wystarczającymi uprawnieniami i klastrem magazynu wirtualnego. Początkowy rozmiar tego klastra zostanie ustawiony na mały, ale jeśli jest niewystarczający, rozmiar klastra można zwiększyć w razie potrzeby.

  1. Wprowadź konsolę Snowflake.

  2. Przełącz rolę na SECURITYADMIN i utwórz nową rolę:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;

  3. Przełącz rolę na SYSADMIN i utwórz magazyn i dostęp do niego:

    USE ROLE SYSADMIN;
CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
  WAREHOUSE_SIZE = 'SMALL' 
  AUTO_SUSPEND = 5
  AUTO_RESUME = true
  INITIALLY_SUSPENDED = true;
GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;

  4. Przełącz rolę na SECURITYADMIN i utwórz nowego użytkownika:

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE USER EXAMPLE_USER_NAME
   PASSWORD = 'example_password'
   DEFAULT_ROLE = EXAMPLE_ROLE_NAME
   DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;

  5. Przełącz rolę na ACCOUNTADMIN i przyznaj dostęp do bazy danych snowflake dla roli.

    USE ROLE ACCOUNTADMIN;
GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;

  6. Przełącz rolę na SECURITYADMIN i przypisz rolę użytkownikowi:

    USE ROLE SECURITYADMIN;
GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;

WAŻNE: Zapisz hasło użytkownika i interfejsu API utworzone w tym kroku, ponieważ będzie używane podczas kroku wdrażania.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczeń usługi Snowflake, które są łatwo dostępne.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.