Snowflake-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Snowflake-dataanslutningsappen ger möjlighet att mata in Snowflake-inloggningsloggar och frågeloggar i Microsoft Sentinel med hjälp av Snowflake Python-Anslut eller. Mer information finns i Snowflake-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Snowflake_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla Snowflake-händelser
Snowflake_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Snowflake (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Snowflake-autentiseringsuppgifter: Snowflake-kontoidentifierare, Snowflake-användare och Snowflake-lösenord krävs för anslutning. Mer information om Snowflake-kontoidentifierare finns i dokumentationen. Instruktioner för hur du skapar en användare för den här anslutningsappen hittar du nedan.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Azure Blob Storage-API:et för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning och för lagring av data i Azure Blob Storage-kostnader. Mer information finns på prissättningssidan för Azure Functions och prissidan för Azure Blob Storage.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
Kommentar
Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat Snowflake som distribueras med Microsoft Sentinel-lösningen.
STEG 1 – Skapa användare i Snowflake
För att köra frågor mot data från Snowflake behöver du en användare som är tilldelad till en roll med tillräcklig behörighet och ett virtuellt lagerkluster. Den ursprungliga storleken på det här klustret kommer att vara liten, men om det inte är tillräckligt kan klusterstorleken ökas efter behov.
Ange Snowflake-konsolen.
Växla roll till SECURITYADMIN och skapa en ny roll:
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Växla roll till SYSADMIN och skapa lager och stor åtkomst till den:
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Växla roll till SECURITYADMIN och skapa en ny användare:
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;Växla roll till ACCOUNTADMIN och bevilja åtkomst till snowflake-databasen för rollen.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Växla roll till SECURITYADMIN och tilldela rollen till användaren:
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
VIKTIGT: Spara användar- och API-lösenord som skapats under det här steget eftersom de kommer att användas under distributionssteget.
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT! Innan du distribuerar dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Snowflake-autentiseringsuppgifter, som är lättillgängliga.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.