Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudWatch configurazione delle pipeline per SentinelOne
La SentinelOne configurazione su AWS legge i dati di log dai bucket Amazon S3 utilizzando le notifiche di Amazon SQS per gli eventi di nuovi oggetti.
Configura la sorgente Zscalar utilizzando i seguenti parametri:
source: s3: aws: region: "us-east-1" sts_role_arn: "arn:aws:iam::<account>:role/<role-name>" compression: "gzip" codec: ndjson: data_source_name: "sentinelone_endpointsecurity" default_bucket_owner: "123456789012" bucket_owners: my-bucket: "123456789012" disable_bucket_ownership_validation: false notification_type: "sqs" sqs: queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>" on_error: "retain_messages"
Parameters
notification_type(richiesto)-
Specifica il meccanismo di notifica. Deve essere «sqs» per utilizzare SQS per le notifiche degli eventi S3.
data_source_name(obbligatorio)-
Identifica la fonte dei dati. Può essere qualsiasi valore di stringa che rappresenta l'origine dei dati. Esempio: «sentinelone_endpointsecurity».
aws.region(richiesto)-
La AWS regione in cui si trovano il bucket S3 e la coda SQS.
aws.sts_role_arn(richiesto)-
L'ARN del ruolo IAM da assumere per accedere alle risorse S3 e SQS.
codec(richiesto)-
Configurazione del codec per l'analisi degli oggetti S3. Supporta i codec csv, json, ndjson.
compression(facoltativo)-
Tipo di compressione degli oggetti S3. I valori validi sono «none», «gzip», «automatic». Il valore predefinito è «none».
sqs.queue_url(richiesto per SQS)-
L'URL completo della coda SQS che riceve le notifiche del bucket S3 quando vengono creati nuovi oggetti.
on_error(facoltativo)-
Determina come gestire gli errori in Amazon SQS. Può essere retain_messages o delete_messages. L'impostazione predefinita è retain_messages.
