SentinelOne の CloudWatch パイプライン設定
AWS で SentinelOne を設定すると、新しいオブジェクトイベントの Amazon SQS 通知を使用して Amazon S3 バケットからログデータを読み込みます。
次のパラメータを使用して Zscalar ソースを設定します。
source: s3: aws: region: "us-east-1" sts_role_arn: "arn:aws:iam::<account>:role/<role-name>" compression: "gzip" codec: ndjson: data_source_name: "sentinelone_endpointsecurity" default_bucket_owner: "123456789012" bucket_owners: my-bucket: "123456789012" disable_bucket_ownership_validation: false notification_type: "sqs" sqs: queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>" on_error: "retain_messages"
パラメータ
notification_type(必須)-
通知メカニズムを指定します。S3 イベント通知に SQS を使用するには、「sqs」である必要があります。
data_source_name(必須)-
データソースを特定します。これは、データソースを表す任意の文字列値にすることができます。例:「sentinelone_endpointsecurity」
aws.region(必須)-
S3 バケットと SQS キューがある AWS リージョン。
aws.sts_role_arn(必須)-
S3 および SQS リソースにアクセスするために引き受ける IAM ロールの ARN。
codec(必須)-
S3 オブジェクトを解析するためのコーデック設定。csv、json、ndjson コーデックをサポートします。
compression(オプション)-
S3 オブジェクトの圧縮タイプ。有効な値は「none」、「gzip」、「automatic」です。デフォルトは「none」です。
sqs.queue_url(SQS に必須)-
新しいオブジェクトの作成時に S3 バケット通知を受信する SQS キューの完全な URL。
on_error(オプション)-
Amazon SQS でエラーを処理する方法を決定します。retain_messages または delete_messages のいずれかになります。デフォルトは retain_messages です。
