CloudWatch Pipeline-Konfiguration für SentinelOne - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Pipeline-Konfiguration für SentinelOne

Das SentinelOne Setup on AWS liest Protokolldaten aus Amazon S3 S3-Buckets mithilfe von Amazon SQS SQS-Benachrichtigungen für neue Objektereignisse.

Konfigurieren Sie die Zscalar-Quelle mit den folgenden Parametern:

source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "sentinelone_endpointsecurity"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
Parameters
notification_type (Erforderlich)

Gibt den Benachrichtigungsmechanismus an. Muss „sqs“ sein, um SQS für S3-Ereignisbenachrichtigungen verwenden zu können.

data_source_name (Erforderlich)

Identifiziert die Datenquelle. Dies kann ein beliebiger Zeichenfolgenwert sein, der Ihre Datenquelle darstellt. Beispiel: „sentinelone_endpointsecurity“.

aws.region (Erforderlich)

Die AWS Region, in der sich der S3-Bucket und die SQS-Warteschlange befinden.

aws.sts_role_arn (Erforderlich)

Der ARN der IAM-Rolle, die für den Zugriff auf S3- und SQS-Ressourcen übernommen werden soll.

codec (Erforderlich)

Codec-Konfiguration für das Parsen von S3-Objekten. Unterstützt CSV-, JSON- und Ndjson-Codecs.

compression (optional)

Komprimierungstyp der S3-Objekte. Gültige Werte sind „none“, „gzip“, „automatic“. Die Standardeinstellung ist „none“.

sqs.queue_url(für SQS erforderlich)

Die vollständige URL der SQS-Warteschlange, die S3-Bucket-Benachrichtigungen empfängt, wenn neue Objekte erstellt werden.

on_error (optional)

Legt fest, wie Fehler in Amazon SQS behandelt werden. Kann entweder retain_messages oder delete_messages sein. Die Standardeinstellung ist retain_messages.