閱讀英文

共用方式為

Snowflake (使用 Azure Functions) 連接器Microsoft Sentinel

  • 發行項

Snowflake 數據連接器提供擷取 Snowflake 登入記錄,並使用 Snowflake Python 連接器將記錄查詢至 Microsoft Sentinel 的功能。 如需詳細資訊, 請參閱 Snowflake 檔

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 Snowflake_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

所有雪花事件

Kusto 
Snowflake_CL

| sort by TimeGenerated desc

必要條件

若要與 Snowflake 整合 (使用 Azure Functions) 請確定您有:

  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions
  • Snowflake 認證需要 Snowflake 帳戶標識碼Snowflake 使用者Snowflake 密碼 才能連線。 請參閱檔以深入瞭解 Snowflake 帳戶標識碼。 如何為此連接器建立使用者的指示,您可以在這裡找到。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Azure Blob 儲存體 API,以將記錄提取至 Microsoft Sentinel。 這可能會導致資料擷取和在 Azure Blob 儲存體中儲存資料的額外成本。 如需詳細資料,請參閱 Azure Functions 價格頁面Azure Blob 儲存體價格頁面

(選用步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

注意

此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期 般運作,而 Snowflake 會與 Microsoft Sentinel 解決方案一起部署。

步驟 1 - 在 Snowflake 中建立使用者

若要從 Snowflake 查詢數據,您需要指派給具有足夠許可權的角色和虛擬倉儲叢集的使用者。 此叢集的初始大小將會設定為小型,但如果不夠,叢集大小可以視需要增加。

  1. 輸入 Snowflake 控制台。

  2. 將角色切換至 SECURITYADMIN 並 建立新的角色

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;

  3. 將角色切換至 SYSADMIN,並 建立倉儲其巨集偉存取 權:

    USE ROLE SYSADMIN;
CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
  WAREHOUSE_SIZE = 'SMALL' 
  AUTO_SUSPEND = 5
  AUTO_RESUME = true
  INITIALLY_SUSPENDED = true;
GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;

  4. 將角色切換至 SECURITYADMIN 並 建立新的使用者

    USE ROLE SECURITYADMIN;
CREATE OR REPLACE USER EXAMPLE_USER_NAME
   PASSWORD = 'example_password'
   DEFAULT_ROLE = EXAMPLE_ROLE_NAME
   DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;

  5. 將角色切換至 ACCOUNTADMIN,並將 角色的存取權授與雪花資料庫

    USE ROLE ACCOUNTADMIN;
GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;

  6. 將角色切換至 SECURITYADMIN,並將 角色 指派給使用者:

    USE ROLE SECURITYADMIN;
GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;

重要: 儲存在此步驟期間建立的使用者和 API 密碼,因為它們將在部署步驟期間使用。

步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式

重要事項: 部署數據連接器之前,請具有工作區標識符和工作區主鍵(可從下列內容複製),以及可供使用 Snowflake 認證。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。