# SentinelOne에 대한 CloudWatch 파이프라인 구성
<a name="sentinelone-pipeline-setup"></a>

AWS의 SentinelOne 설정은 새 객체 이벤트에 대한 Amazon SQS 알림을 사용하여 Amazon S3 버킷에서 로그 데이터를 읽습니다.

다음과 같은 파라미터를 사용하여 Zscalar 소스를 구성합니다.

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "sentinelone_endpointsecurity"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```파라미터

`notification_type`(필수)  
알림 메커니즘을 지정합니다. S3 이벤트 알림에 대해 SQS를 사용하려면 'sqs'여야 합니다.

`data_source_name`(필수)  
데이터 소스를 식별합니다. 이는 데이터 소스를 나타내는 모든 문자열 값일 수 있습니다. 예: "sentinelone\$1endpointsecurity".

`aws.region`(필수)  
S3 버킷과 SQS 대기열이 있는 AWS 리전입니다.

`aws.sts_role_arn`(필수)  
S3 및 SQS 리소스에 액세스하기 위해 부여할 IAM 역할의 ARN입니다.

`codec`(필수)  
S3 객체를 구문 분석하기 위한 코덱 구성입니다. csv, json, ndjson 코덱을 지원합니다.

`compression` (선택 사항)  
S3 객체의 압축 유형입니다. 유효한 값은 'none', 'gzip', 'automatic'입니다. 기본값은 'none'입니다.

`sqs.queue_url`(SQS의 경우 필수)  
새 객체가 생성될 경우 S3 버킷 알림을 수신하는 전체 SQS 대기열 URL입니다.

`on_error` (선택 사항)  
Amazon SQS에서 오류를 처리하는 방법을 결정합니다. retain\$1messages 또는 delete\$1messages일 수 있습니다. 기본값은 retain\$1messages입니다.