你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 Snowflake（使用 Azure Functions）连接器

Snowflake 数据连接器提供使用 Snowflake Python 连接器将 Snowflake 登录日志和查询日志引入到 Microsoft Sentinel 的功能。 详细信息请参阅 Snowflake 文档。

这是自动生成的内容。 有关更改，请联系解决方案提供商。

连接器属性

连接器属性	说明
Log Analytics 表	Snowflake_CL
数据收集规则支持	目前不支持
支持的服务	Microsoft Corporation

查询示例

所有 Snowflake 事件

Snowflake_CL

| sort by TimeGenerated desc

先决条件

若要与 Snowflake 集成（使用 Azure Functions），请确保具有：

• Microsoft.Web/sites 权限：必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
• Snowflake 凭据：连接需要 Snowflake 帐户标识符、Snowflake 用户和 Snowflake 密码。 若要详细了解 Snowflake 帐户标识符，请参阅文档。 有关如何为此连接器创建用户的说明，可在下面找到。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Azure Blob 存储 API，以将日志拉取到 Microsoft Sentinel。 这可能会导致在引入数据和在 Azure Blob 存储中存储数据时产生额外成本。 有关详细信息，请查看 Azure Functions 定价页和 Azure Blob 存储定价页。

（可选步骤）将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明，将 Azure Key Vault 与 Azure 函数应用结合使用。

注意

此数据连接器依赖于基于 Kusto 函数的分析程序，以按预期方式使用与 Microsoft Sentinel 解决方案一起部署的 Snowflake。

步骤 1 - 在 Snowflake 中创建用户

若要从 Snowflake 查询数据，需要一个具有权限足够的角色的用户以及一个虚拟仓库群集。 此群集的初始大小将设置为“小”，但如果不够，则可以根据需要增加群集大小。

1. 输入 Snowflake 控制台。

2. 将角色切换到 SECURITYADMIN 并创建新角色：

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;
   

3. 将角色切换为 SYSADMIN 并创建仓库，然后向其授予访问权限：

   USE ROLE SYSADMIN;
   CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
     WAREHOUSE_SIZE = 'SMALL' 
     AUTO_SUSPEND = 5
     AUTO_RESUME = true
     INITIALLY_SUSPENDED = true;
   GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;
   

4. 将角色切换到 SECURITYADMIN 并创建新用户：

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE USER EXAMPLE_USER_NAME
      PASSWORD = 'example_password'
      DEFAULT_ROLE = EXAMPLE_ROLE_NAME
      DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;
   

5. 将角色切换为 ACCOUNTADMIN，并为该角色授予对 snowflake 数据库的访问权限。

   USE ROLE ACCOUNTADMIN;
   GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;
   

6. 将角色切换为 SECURITYADMIN 并将该角色分配给用户：

   USE ROLE SECURITYADMIN;
   GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
   

重要说明：保存此步骤中创建的用户和 API 密码，因为后面要在部署步骤中使用。

第 2 步：从以下两个部署选项中选择一个来部署连接器和关联的 Azure Function

重要说明：在部署数据连接器之前，请准备好工作区 ID、工作区主密钥（可从下面复制）以及 Snowflake 凭据。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。