Integra Snowflake en Google SecOps
En este documento, se explica cómo integrar Snowflake en Google Security Operations (Google SecOps).
Versión de integración: 5.0
Extremos
La integración de Snowflake usa los siguientes endpoints de la API de Snowflake:
/api/statements?async=false: Se usa para probar la conexión a la instancia de Snowflake. Este extremo ejecuta una consulta simple para verificar la conectividad./api/statements?async=true: Se usa para enviar consultas personalizadas y simples a Snowflake. El parámetroasync=trueadmite la ejecución asíncrona y permite que las acciones recuperen grandes conjuntos de datos sin bloquear la plataforma de Google SecOps./api/statements/QUERY_ID: Se usa para recuperar los resultados de una búsqueda enviada anteriormente. La integración reemplaza el marcador de posiciónQUERY_IDpor el identificador único que devuelve el extremo/api/statements?async=true.
Antes de comenzar
Para usar la integración de Snowflake, genera una clave privada y codifícala en formato base64.
Para generar la clave privada, usa SnowSQL. Para obtener más información sobre cómo usar SnowSQL, consulta Instalación de SnowSQL.
La integración de Snowflake se basa en la autenticación con pares de claves. Para obtener más información sobre las claves en Snowflake, consulta Usa la autenticación con pares de claves.
Parámetros de integración
La integración de Snowflake requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Es la raíz de la API de la instancia de Snowflake. El valor predeterminado es |
Account |
Obligatorio. Es el nombre de la cuenta de Snowflake. |
Username |
Obligatorio. Nombre de usuario para acceder a Snowflake. |
Private Key |
Obligatorio. Es una clave privada para la autenticación. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta a Snowflake. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu Workdesk y Cómo realizar una acción manual.
Ejecutar consulta personalizada
Usa la acción Ejecutar consulta personalizada para ejecutar una consulta personalizada en Snowflake.
Esta acción es asíncrona. Ajusta el valor de tiempo de espera del script en el entorno de desarrollo integrado (IDE) de Google SecOps para la acción según sea necesario.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta personalizada requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es la consulta en SQL que se ejecutará en Snowflake. La acción agrega automáticamente la palabra clave La consulta solo admite comillas simples. |
Database |
Obligatorio. Nombre de la base de datos de Snowflake que se consultará. |
Schema |
Opcional. Es el nombre del esquema dentro de la base de datos especificada que se consultará. |
Max Results To Return |
Opcional. Es la cantidad máxima de resultados que se devolverán de la búsqueda para cada ejecución de la acción. El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta personalizada proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta personalizada:
{
"C_CUSTKEY": "CUSTOMER_KEY",
"C_NAME": "Customer#ID",
"C_ADDRESS": "9Ii4zQn9cX",
"C_NATIONKEY": "14",
"C_PHONE": "800-555-0175"
}
Mensajes de salida
La acción Ejecutar consulta personalizada puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute Custom Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta personalizada:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecuta una consulta simple
Usa la acción Ejecutar consulta simple para ejecutar una consulta basada en los parámetros proporcionados.
Esta acción es asíncrona. Ajusta el valor de tiempo de espera del script en el IDE de Google SecOps para la acción según sea necesario.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta simple requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Database |
Obligatorio. Es el nombre de la base de datos que se consultará. |
Table |
Obligatorio. Es el nombre de la tabla que se consultará. |
Schema |
Opcional. Es el nombre del esquema que se consultará. |
Where Filter |
Opcional. Es la cláusula No uses las palabras clave La consulta solo admite comillas simples. |
Fields To Return |
Opcional. Es una lista de campos separados por comas que se devolverán. Si no configuras este parámetro, la acción devolverá todos los campos. El valor predeterminado es |
Sort Field |
Opcional. Es el valor según el cual se ordenan los resultados. |
Sort Order |
Opcional. Orden de clasificación (ascendente o descendente). Los valores posibles son los siguientes:
El valor predeterminado es |
Max Results To Return |
Opcional. Es la cantidad máxima de resultados que se devolverán para cada ejecución de la acción. El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta simple proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta simple:
{
"C_CUSTKEY": "CUSTOMER_KEY",
"C_NAME": "Customer#ID",
"C_ADDRESS": "9Ii4zQn9cX",
"C_NATIONKEY": "14",
"C_PHONE": "800-555-0175"
}
Mensajes de salida
La acción Ejecutar consulta simple puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute Simple Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta simple:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad a Snowflake.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Snowflake server with the provided
connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Snowflake server! The error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.