# SentinelOne のソース設定
<a name="sentinelone-source-setup"></a>

## SentinelOne Singularity Endpoint との統合
<a name="sentinelone-integration"></a>

SentinelOne Singularity Endpoint は、マルウェア、ランサムウェア、およびゼロデイ攻撃に対するリアルタイム保護を提供する AI を活用したエンドポイントセキュリティプラットフォームです。動作分析と機械学習を使用して、脅威を自律的に検出して阻止します。プラットフォームは、自動応答、ロールバック、および脅威の修復をサポートしています。これにより、すべてのエンドポイントを一元的に視覚化し、制御できます。CloudWatch パイプラインを使用すると、このデータを CloudWatch Logs で収集できます。

## Amazon S3 と Amazon SQS を設定する手順
<a name="sentinelone-s3-sqs-setup"></a>

Amazon S3 バケットにログを送信するように SentinelOne Singularity Endpoint を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の Amazon Telemetry パイプラインの設定です。
+ SentinelOne Singularity Endpoint ログを保存する Amazon S3 バケットを作成します。
+ ログをプッシュするには、Amazon S3 バケットの詳細を使用して Singularity Cloud Funnel または中間 Syslog サーバーを設定します。
+ イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。
+ Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。

## CloudWatch パイプラインの設定
<a name="sentinelone-pipeline-config"></a>

ログを読み込むようにパイプラインを設定するには、データソースとして SentinelOne Singularity Endpoint を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
<a name="sentinelone-ocsf-support"></a>

この統合では、OCSF スキーマバージョン v1.5.0 と、ファイルシステムアクティビティ (1001)、プロセスアクティビティ (1007)、HTTP アクティビティ (4002)、および DNS アクティビティ (4003) にマッピングする SentinelOne Singularity Endpoint イベントがサポートされています。

**ファイルシステムアクティビティ**には、次のイベントが含まれます。
+ MALICIOUSFILE
+ FILECREATION
+ FILEDELETION
+ FILEMODIFICATION
+ FILERENAME
+ FILESCAN

**プロセスアクティビティ**には、次のイベントが含まれます。
+ PROCESSCREATION
+ PROCESSTERMINATION
+ DUPLICATETHREAD
+ REMOTETHREAD
+ PROCESSMODIFICATION
+ DUPLICATEPROCESS
+ OPENPROCESS
+ PROCESSINJECTION
+ PROCESSMODIFIER
+ PROCESSEXIT
+ OPENPRIVILEGEDPROCESSFROMKERNEL

**HTTP アクティビティ**には、次のイベントが含まれます。
+ HTTP

**DNS アクティビティ**には、次のイベントが含まれます。
+ DNS