# SentinelOne의 소스 구성
<a name="sentinelone-source-setup"></a>

## SentinelOne Singularity Endpoint와 통합
<a name="sentinelone-integration"></a>

SentinelOne Singularity Endpoint는 맬웨어, 랜섬웨어, 제로데이 공격에 대한 실시간 보호 기능을 제공하는 AI 기반 엔드포인트 보안 플랫폼입니다. 이 플랫폼에서는 동작 분석 및 기계 학습을 사용하여 위협을 자율적으로 탐지하고 중지합니다. 또한 이 플랫폼에서는 자동 응답, 롤백, 위협 해결을 지원합니다. 그리고 모든 엔드포인트 전반에 걸쳐 중앙 집중식 가시성과 제어를 제공합니다. CloudWatch 파이프라인을 사용하면 CloudWatch Logs에서 이러한 데이터를 수집할 수 있습니다.

## Amazon S3 및 Amazon SQS를 설정하기 위한 지침
<a name="sentinelone-s3-sqs-setup"></a>

Amazon S3 버킷으로 로그를 전송하도록 SentinelOne Singularity Endpoint를 구성하려면 Amazon S3 버킷, Amazon SQS 대기열, IAM 역할을 설정한 다음 Amazon Telemetry Pipeline을 구성하는 데 주로 중점을 둔 몇 가지 단계가 필요합니다.
+ SentinelOne Singularity Endpoint 로그를 저장하는 Amazon S3 버킷을 생성합니다.
+ Amazon S3 버킷 세부 정보로 Singularity Cloud Funnel 또는 중간 Syslog 서버를 구성하여 로그를 푸시합니다.
+ 특히 '객체 생성' 이벤트에 대한 이벤트 알림을 생성하도록 Amazon S3 버킷을 구성합니다. 이러한 알림은 Amazon SQS 대기열로 전송해야 합니다.
+ Amazon S3 버킷과 동일한 AWS 리전에서 Amazon SQS 대기열을 생성합니다. 새 로그 파일이 Amazon S3 버킷에 추가되면 이 대기열에 알림이 수신됩니다.

## CloudWatch 파이프라인 구성
<a name="sentinelone-pipeline-config"></a>

로그를 읽도록 파이프라인을 구성하려면 SentinelOne Singularity Endpoint를 데이터 소스로 선택합니다. 필수 정보를 입력한 후 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

## 지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
<a name="sentinelone-ocsf-support"></a>

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 파일 시스템 활동(1001), 프로세스 활동(1007), HTTP 활동(4002), DNS 활동(4003)에 매핑되는 SentinelOne Singularity Endpoint 이벤트를 지원합니다.

**파일 시스템 활동**에는 다음 이벤트가 포함됩니다.
+ MALICIOUSFILE
+ FILECREATION
+ FILEDELETION
+ FILEMODIFICATION
+ FILERENAME
+ FILESCAN

**프로세스 활동**에는 다음 이벤트가 포함됩니다.
+ PROCESSCREATION
+ PROCESSTERMINATION
+ DUPLICATETHREAD
+ REMOTETHREAD
+ PROCESSMODIFICATION
+ DUPLICATEPROCESS
+ OPENPROCESS
+ PROCESSINJECTION
+ PROCESSMODIFIER
+ PROCESSEXIT
+ OPENPRIVILEGEDPROCESSFROMKERNEL

**HTTP 활동**에는 다음 이벤트가 포함됩니다.
+ HTTP

**DNS 활동**에는 다음 이벤트가 포함됩니다.
+ DNS