Microsoft Sentinel için Snowflake (Azure İşlevleri kullanarak) bağlayıcısı

Snowflake veri bağlayıcısı, Snowflake Python Bağlan or kullanarak Snowflake oturum açma günlüklerini ve sorgu günlüklerini Microsoft Sentinel'e alma olanağı sağlar. Daha fazla bilgi için Snowflake belgelerine bakın .

Bağlan or öznitelikleri

Bağlan or özniteliği	Tanım
Log Analytics tabloları	Snowflake_CL
Veri toplama kuralları desteği	Şu anda desteklenmiyor
Destekleyen:	Microsoft Corporation

Sorgu örnekleri

Tüm Snowflake Olayları

Snowflake_CL

| sort by TimeGenerated desc

Ön koşullar

Snowflake ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
• Snowflake Kimlik Bilgileri: Snowflake Hesap Tanımlayıcısı, Snowflake Kullanıcısı ve Snowflake Parolası bağlantı için gereklidir. Snowflake Hesap Tanımlayıcısı hakkında daha fazla bilgi edinmek için belgelere bakın. Bu bağlayıcı için kullanıcı oluşturma yönergelerini aşağıda bulabilirsiniz.

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Dekont

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen Snowflake işlevinin çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

ADIM 1 - Snowflake'te kullanıcı oluşturma

Snowflake'ten verileri sorgulamak için, yeterli ayrıcalıklara ve sanal ambar kümesine sahip bir role atanmış bir kullanıcıya ihtiyacınız vardır. Bu kümenin ilk boyutu küçük olarak ayarlanır, ancak yetersizse, küme boyutu gerektiği gibi artırılabilir.

1. Snowflake konsoluna girin.

2. Rolü SECURITYADMIN'e geçin ve yeni bir rol oluşturun:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;
   

3. Rolü SYSADMIN'e geçirip ambarve genel erişim oluşturun:

   USE ROLE SYSADMIN;
   CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME
     WAREHOUSE_SIZE = 'SMALL' 
     AUTO_SUSPEND = 5
     AUTO_RESUME = true
     INITIALLY_SUSPENDED = true;
   GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;
   

4. Rolü SECURITYADMIN'e geçin ve yeni bir kullanıcı oluşturun:

   USE ROLE SECURITYADMIN;
   CREATE OR REPLACE USER EXAMPLE_USER_NAME
      PASSWORD = 'example_password'
      DEFAULT_ROLE = EXAMPLE_ROLE_NAME
      DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME
   ;
   
   

5. Rolü ACCOUNTADMIN'e geçin ve rol için snowflake veritabanına erişim verin.

   USE ROLE ACCOUNTADMIN;
   GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;
   

6. Rolü SECURITYADMIN'e geçin ve kullanıcıya rol atayın:

   USE ROLE SECURITYADMIN;
   GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
   

ÖNEMLİ: Bu adım sırasında oluşturulan kullanıcı ve API parolasını dağıtım adımı sırasında kullanılacağı için kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve snowflake kimlik bilgilerine sahip olun.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.