Łącznik snowflake (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych snowflake zapewnia możliwość pozyskiwania dzienników logowania usługi Snowflake i wykonywania zapytań dotyczących dzienników w usłudze Microsoft Sentinel przy użyciu Połączenie or języka Python snowflake. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Snowflake.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | Snowflake_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie wydarzenia snowflake
Snowflake_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Snowflake (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia usługi Snowflake: Identyfikator konta snowflake, użytkownik snowflake i hasło snowflake są wymagane do nawiązania połączenia. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o identyfikatorze konta usługi Snowflake. Instrukcje dotyczące tworzenia użytkownika dla tego łącznika można znaleźć poniżej.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API usługi Azure Blob Storage w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach usługi Azure Blob Storage. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions i cennik usługi Azure Blob Storage.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami snowflake , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1. Tworzenie użytkownika w aplikacji Snowflake
Do wykonywania zapytań dotyczących danych z usługi Snowflake potrzebny jest użytkownik przypisany do roli z wystarczającymi uprawnieniami i klastrem magazynu wirtualnego. Początkowy rozmiar tego klastra zostanie ustawiony na mały, ale jeśli jest niewystarczający, rozmiar klastra można zwiększyć w razie potrzeby.
Wprowadź konsolę Snowflake.
Przełącz rolę na SECURITYADMIN i utwórz nową rolę:
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Przełącz rolę na SYSADMIN i utwórz magazyn i dostęp do niego:
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Przełącz rolę na SECURITYADMIN i utwórz nowego użytkownika:
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;Przełącz rolę na ACCOUNTADMIN i przyznaj dostęp do bazy danych snowflake dla roli.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Przełącz rolę na SECURITYADMIN i przypisz rolę użytkownikowi:
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
WAŻNE: Zapisz hasło użytkownika i interfejsu API utworzone w tym kroku, ponieważ będzie używane podczas kroku wdrażania.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczeń usługi Snowflake, które są łatwo dostępne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.