Соединитель Snowflake (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Snowflake предоставляет возможность приема журналов входа Snowflake и запросов журналов в Microsoft Sentinel с помощью Подключение python Snowflake. Дополнительные сведения см. в документации по Snowflake.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Snowflake_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все события Snowflake
Snowflake_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Snowflake (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные Snowflake: идентификатор учетной записи Snowflake, пользователь Snowflake и пароль Snowflake требуются для подключения. Дополнительные сведения об идентификаторе учетной записи Snowflake см. в документации. Инструкции по созданию пользователя для этого соединителя см. ниже.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранению данных в Хранилище BLOB-объектов Azure затратах. Дополнительные сведения см. на странице цен Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , Snowflake , развернутой с помощью решения Microsoft Sentinel.
ШАГ 1. Создание пользователя в Snowflake
Чтобы запросить данные из Snowflake, необходимо, чтобы пользователь, которому назначена роль с достаточными привилегиями и кластером виртуального хранилища. Первоначальный размер этого кластера будет иметь небольшой размер, но если недостаточно, размер кластера можно увеличить по мере необходимости.
Введите консоль Snowflake.
Переключите роль на SECURITYADMIN и создайте новую роль:
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Переключите роль на SYSADMIN и создайте к нему хранилище и большой доступ :
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Переключите роль на SECURITYADMIN и создайте нового пользователя:
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;Переключите роль на ACCOUNTADMIN и предоставьте доступ к базе данных snowflake для роли.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Переключение роли на SECURITYADMIN и назначение роли пользователю:
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
ВАЖНО. Сохраните пароль пользователя и API, созданные на этом шаге, так как они будут использоваться во время развертывания.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные Snowflake.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.