Microsoft Sentinel 用 Snowflake (Azure Functions を使用) コネクタ
Snowflake データ コネクタは、Snowflake Python コネクタを使用して Snowflake のログイン ログとクエリ ログを Microsoft Sentinel に取り込む機能を提供します。 詳細については、Snowflake のドキュメントを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Snowflake_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべての Snowflake イベント
Snowflake_CL
| sort by TimeGenerated desc
前提条件
Snowflake と (Azure Functions を使用して) 統合するには、次のものがあることをご確認ください:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Snowflake の資格情報: 接続には、Snowflake アカウント識別子、Snowflake ユーザー、Snowflake パスワードが必要です。 詳細については、Snowflake アカウント識別子のドキュメントを参照してください。 このコネクタのユーザーの作成方法については、以下をご覧ください。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Azure Blob Storage API に接続し、ログを Microsoft Sentinel にプルします。 これにより、データ インジェストと、Azure Blob Storage にデータを格納するための追加コストが発生する可能性があります。 詳細については、Azure Functions の価格ページと Azure Blob Storage の価格ページを参照してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
注意
このデータ コネクタは、Kusto 関数に基づくパーサーに依存して、Microsoft Sentinel ソリューションと共にデプロイされている Snowflake を期待どおりに動作させます。
ステップ 1 - Snowflake でのユーザーの作成
Snowflake からデータを照会するには、十分な権限と仮想ウェアハウス クラスターを持つ役割に割り当てられているユーザーが必要です。 このクラスターの初期サイズは small に設定されますが、不十分な場合は、必要に応じてクラスター サイズを増やすことができます。
Snowflake コンソールに移動します。
役割を SECURITYADMIN に切り替え、次の新しい役割を作成します。
USE ROLE SECURITYADMIN; CREATE OR REPLACE ROLE EXAMPLE_ROLE_NAME;役割を SYSADMIN に切り替え、ウェアハウスを作成し、それに対するアクセス権を付与します。
USE ROLE SYSADMIN; CREATE OR REPLACE WAREHOUSE EXAMPLE_WAREHOUSE_NAME WAREHOUSE_SIZE = 'SMALL' AUTO_SUSPEND = 5 AUTO_RESUME = true INITIALLY_SUSPENDED = true; GRANT USAGE, OPERATE ON WAREHOUSE EXAMPLE_WAREHOUSE_NAME TO ROLE EXAMPLE_ROLE_NAME;役割を SECURITYADMIN に切り替え、次の新しいユーザーを作成します。
USE ROLE SECURITYADMIN; CREATE OR REPLACE USER EXAMPLE_USER_NAME PASSWORD = 'example_password' DEFAULT_ROLE = EXAMPLE_ROLE_NAME DEFAULT_WAREHOUSE = EXAMPLE_WAREHOUSE_NAME;役割を ACCOUNTADMIN に切り替え、役割にsnowflake データベースへのアクセス権を付与します。
USE ROLE ACCOUNTADMIN; GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO ROLE EXAMPLE_ROLE_NAME;役割を SECURITYADMIN に切り替え、ユーザーに次の役割を割り当てます。
USE ROLE SECURITYADMIN; GRANT ROLE EXAMPLE_ROLE_NAME TO USER EXAMPLE_USER_NAME;
重要: このステップで作成したユーザーと API のパスワードは、デプロイのステップで使用するので、保存してください。
ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Snowflake の資格情報をすぐに使用できるようにしておいてください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示