# SentinelOne 的来源配置
<a name="sentinelone-source-setup"></a>

## 与 SentinelOne Singularity Endpoint 集成
<a name="sentinelone-integration"></a>

SentinelOne Singularity Endpoint 是一个人工智能驱动的端点安全平台，可针对恶意软件、勒索软件和零日攻击提供实时保护。该平台使用行为分析和机器学习来自主检测和阻止威胁。该平台支持自动响应、回滚和威胁修复，提供了跨所有端点的集中可见性和控制。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。

## Amazon S3 与 Amazon SQS 设置说明
<a name="sentinelone-s3-sqs-setup"></a>

将 SentinelOne Singularity Endpoint 配置为向 Amazon S3 存储桶发送日志，需执行多个步骤，核心为搭建 Amazon S3 存储桶、配置 Amazon SQS 队列、创建 IAM 角色，再配置 Amazon Telemetry Pipeline。
+ 创建用于存储 SentinelOne Singularity Endpoint 日志的 Amazon S3 存储桶。
+ 使用 Amazon S3 存储桶详细信息配置 Singularity Cloud Funnel 或中间 Syslog 服务器以推送日志。
+ 为该 Amazon S3 存储桶配置事件通知，需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
+ Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 Amazon 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。

## 配置 CloudWatch 管道
<a name="sentinelone-pipeline-config"></a>

要将管道配置为读取日志，请选择 SentinelOne Singularity Endpoint 作为数据来源。填写必填信息并创建管道后，所选的 CloudWatch Logs 日志组中将显示数据。

## 支持的开放式网络安全架构框架事件类
<a name="sentinelone-ocsf-support"></a>

此集成支持 OCSF 架构版本 1.5.0 以及映射到“文件系统活动”（1001）、“进程活动”（1007）、“HTTP 活动”（4002）和“DNS 活动”（4003）的 SentinelOne Singularity Endpoint 事件。

**文件系统活动**包含以下事件：
+ MALICIOUSFILE
+ FILECREATION
+ FILEDELETION
+ FILEMODIFICATION
+ FILERENAME
+ FILESCAN

**进程活动**包含以下事件：
+ PROCESSCREATION
+ PROCESSTERMINATION
+ DUPLICATETHREAD
+ REMOTETHREAD
+ PROCESSMODIFICATION
+ DUPLICATEPROCESS
+ OPENPROCESS
+ PROCESSINJECTION
+ PROCESSMODIFIER
+ PROCESSEXIT
+ OPENPRIVILEGEDPROCESSFROMKERNEL

**HTTP 活动**包含以下事件：
+ HTTP

**DNS 活动**包含以下事件：
+ DNS