Configuración de canalizaciones de CloudWatch para SentinelOne
La configuración de SentinelOne en AWS lee los datos de registro de los buckets de Amazon S3 mediante las notificaciones de Amazon SQS para eventos de objetos nuevos.
Configure el origen de Zscaler con los siguientes parámetros:
source: s3: aws: region: "us-east-1" sts_role_arn: "arn:aws:iam::<account>:role/<role-name>" compression: "gzip" codec: ndjson: data_source_name: "sentinelone_endpointsecurity" default_bucket_owner: "123456789012" bucket_owners: my-bucket: "123456789012" disable_bucket_ownership_validation: false notification_type: "sqs" sqs: queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>" on_error: "retain_messages"
Parameters
notification_type(obligatorio)-
Especifica el mecanismo de notificación. Debe ser “sqs” para poder usar SQS en las notificaciones de eventos de S3.
data_source_name(obligatorio)-
Identifica el origen de datos. Puede ser cualquier valor de cadena que represente el origen de datos. Ejemplo: “sentinelone_endpointsecurity”.
aws.region(obligatorio)-
La región de AWS en la que se encuentran el bucket de S3 y la cola de SQS.
aws.sts_role_arn(obligatorio)-
El ARN del rol de IAM que se asumirá para acceder a los recursos de S3 y SQS.
codec(obligatorio)-
Configuración de códecs para analizar objetos de S3. Compatible con los códecs csv, json y ndjson.
compression(opcional)-
Tipo de compresión de los objetos de S3. Los valores válidos son “none”, “gzip” y “automatic”. El valor predeterminado es “none”.
sqs.queue_url(obligatorio para SQS)-
La URL completa de la cola de SQS que recibe las notificaciones del bucket de S3 cuando se crean nuevos objetos.
on_error(opcional)-
Determina cómo se gestionan los errores en Amazon SQS. Puede ser retain_messages o delete_messages. El valor predeterminado es retain_messages.
