Snowflake in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Snowflake in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 5.0
Endpunkte
Für die Snowflake-Integration werden die folgenden Snowflake-API-Endpunkte verwendet:
/api/statements?async=false: Wird verwendet, um die Verbindung zur Snowflake-Instanz zu testen. An diesem Endpunkt wird eine einfache Abfrage ausgeführt, um die Verbindung zu prüfen./api/statements?async=true: Wird verwendet, um sowohl benutzerdefinierte als auch einfache Abfragen an Snowflake zu senden. Der Parameterasync=trueunterstützt die asynchrone Ausführung und ermöglicht es, mit den Aktionen große Datasets abzurufen, ohne die Google SecOps-Plattform zu blockieren./api/statements/QUERY_ID: Wird verwendet, um die Ergebnisse einer zuvor gesendeten Abfrage abzurufen. Bei der Integration wird der PlatzhalterQUERY_IDdurch die eindeutige ID ersetzt, die vom/api/statements?async=true-Endpunkt zurückgegeben wird.
Hinweise
Wenn Sie die Snowflake-Integration verwenden möchten, generieren Sie einen privaten Schlüssel und codieren Sie ihn im Base64-Format.
Verwenden Sie SnowSQL, um den privaten Schlüssel zu generieren. Weitere Informationen zur Verwendung von SnowSQL finden Sie unter SnowSQL installieren.
Die Snowflake-Integration basiert auf der Schlüsselpaar-Authentifizierung. Weitere Informationen zu Schlüsseln in Snowflake finden Sie unter Using key-pair authentication.
Integrationsparameter
Für die Snowflake-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich. Der API-Stamm der Snowflake-Instanz. Der Standardwert ist |
Account |
Erforderlich. Der Name des Snowflake-Kontos. |
Username |
Erforderlich. Der Nutzername für den Zugriff auf Snowflake. |
Private Key |
Erforderlich. Ein privater Schlüssel für die Authentifizierung. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zu Snowflake validiert. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Benutzerdefinierte Abfrage ausführen
Mit der Aktion Benutzerdefinierte Abfrage ausführen können Sie eine benutzerdefinierte Abfrage in Snowflake ausführen.
Diese Aktion ist asynchron. Passen Sie den Wert für das Script-Zeitlimit in der integrierten Entwicklungsumgebung (IDE) von Google SecOps für die Aktion nach Bedarf an.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Benutzerdefinierte Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Die SQL-Abfrage, die in Snowflake ausgeführt werden soll. Durch die Aktion wird der Anfrage automatisch das Keyword Die Abfrage unterstützt nur einfache Anführungszeichen. |
Database |
Erforderlich. Der Name der Snowflake-Datenbank, die abgefragt werden soll. |
Schema |
Optional. Der Name des Schemas in der angegebenen Datenbank, das abgefragt werden soll. |
Max Results To Return |
Optional. Die maximale Anzahl von Ergebnissen, die für jeden Aktionslauf aus der Anfrage zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Benutzerdefinierte Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Abfrage ausführen empfangen wird:
{
"C_CUSTKEY": "CUSTOMER_KEY",
"C_NAME": "Customer#ID",
"C_ADDRESS": "9Ii4zQn9cX",
"C_NATIONKEY": "14",
"C_PHONE": "800-555-0175"
}
Ausgabemeldungen
Die Aktion Benutzerdefinierte Abfrage ausführen kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute Custom Query". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Abfrage ausführen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Einfache Abfrage ausführen
Mit der Aktion Execute Simple Query (Einfache Abfrage ausführen) können Sie eine Abfrage ausführen, die auf den angegebenen Parametern basiert.
Diese Aktion ist asynchron. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Einfache Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Database |
Erforderlich. Der Name der Datenbank, die abgefragt werden soll. |
Table |
Erforderlich. Der Name der Tabelle, die abgefragt werden soll. |
Schema |
Optional. Der Name des abzufragenden Schemas. |
Where Filter |
Optional. Die Verwenden Sie nicht die Keywords Die Abfrage unterstützt nur einfache Anführungszeichen. |
Fields To Return |
Optional. Eine durch Kommas getrennte Liste der Felder, die zurückgegeben werden sollen. Wenn Sie diesen Parameter nicht konfigurieren, werden alle Felder zurückgegeben. Der Standardwert ist |
Sort Field |
Optional. Der Wert, nach dem die Ergebnisse sortiert werden sollen. |
Sort Order |
Optional. Die Sortierreihenfolge (aufsteigend oder absteigend). Folgende Werte sind möglich:
Der Standardwert ist |
Max Results To Return |
Optional. Die maximale Anzahl der Ergebnisse, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Einfache Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Einfache Abfrage ausführen empfangen wird:
{
"C_CUSTKEY": "CUSTOMER_KEY",
"C_NAME": "Customer#ID",
"C_ADDRESS": "9Ii4zQn9cX",
"C_NATIONKEY": "14",
"C_PHONE": "800-555-0175"
}
Ausgabemeldungen
Die Aktion Einfache Abfrage ausführen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute Simple Query". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Einfache Abfrage ausführen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Snowflake zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Snowflake server with the provided
connection parameters! |
Die Aktion wurde ausgeführt. |
Failed to connect to the Snowflake server! The error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten