Konektor Snowflake (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data Snowflake menyediakan kemampuan untuk menyerap log masuk Snowflake dan log kueri ke Microsoft Azure Sentinel menggunakan Snowflake Python Connector. Lihat dokumentasi Snowflake untuk informasi selengkapnya.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | Snowflake_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Semua Peristiwa Snowflake
Snowflake_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Snowflake (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial Snowflake: Pengidentifikasi Akun Snowflake, Pengguna Snowflake, dan Snowflake Password diperlukan untuk koneksi. Lihat dokumentasi untuk mempelajari selengkapnya tentang Pengidentifikasi Akun Snowflake. Petunjuk tentang cara membuat pengguna untuk konektor ini dapat Anda temukan di bawah ini.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke Azure Blob Storage API untuk menarik log ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya tambahan untuk penyerapan data dan untuk menyimpan data dalam biaya Azure Blob Storage. Periksa halaman harga Azure Functions dan halaman harga Azure Blob Storage untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan Snowflake yang disebarkan dengan Solusi Microsoft Sentinel.
LANGKAH 1 - Membuat pengguna di Snowflake
Untuk mengkueri data dari Snowflake, Anda memerlukan pengguna yang ditetapkan ke peran dengan hak istimewa yang memadai dan kluster gudang virtual. Ukuran awal kluster ini akan diatur ke kecil tetapi jika tidak cukup, ukuran kluster dapat ditingkatkan seperlunya.
Masukkan konsol Snowflake.
Beralih peran ke SECURITYADMIN dan buat peran baru:
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;Beralih peran ke SYSADMIN dan buat gudang dan akses besar ke dalamnya:
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;Beralih peran ke SECURITYADMIN dan buat pengguna baru:
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;Beralih peran ke ACCOUNTADMIN dan berikan akses ke database snowflake untuk peran.
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;Beralih peran ke SECURITYADMIN dan tetapkan peran kepada pengguna:
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
PENTING: Simpan kata sandi pengguna dan API yang dibuat selama langkah ini karena akan digunakan selama langkah penyebaran.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor data, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kredensial Snowflake, tersedia dengan mudah.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.