View a markdown version of this page

Configuration des sources pour Drupal Core - Amazon CloudWatch
Intégration à Drupal CoreAuthentification avec Drupal CoreConfiguration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des sources pour Drupal Core

Intégration à Drupal Core

Drupal Core est le framework d'applications Web open source fondamental basé sur PHP qui fournit la plate-forme de base pour la création de sites Web, d'applications et d'expériences numériques. CloudWatch Pipeline utilise l'API REST personnalisée basée sur View pour récupérer les données du journal d'audit, y compris les modifications de contenu, les événements d'authentification des utilisateurs et les actions administratives, à partir de votre site Drupal Core. L'API permet d'accéder aux données de journal filtrées dans le temps via les points de terminaison REST, ce qui permet de récupérer des enregistrements d'activité limités à une fenêtre temporelle configurable.

Authentification avec Drupal Core

Pour lire les journaux, le pipeline doit s'authentifier auprès de votre site Drupal Core. Le plugin prend en charge l'authentification de base (authentification HTTP Basic à l'aide d'un nom d'utilisateur et d'un mot de passe).

Configurer l'authentification de base pour Drupal Core

  • Connectez-vous à votre interface d'administration Drupal Core et accédez à Administration → Extend ()/admin/modules.

  • Activez les modules suivants : services RESTful Web, sérialisation, authentification HTTP de base et vues. Choisissez Installer.

  • Installez et activez le module Admin Audit Trail via Composer (composer require drupal/admin_audit_trail) et exécutez-le drush en admin_audit_trail -y && drush cr pour l'activer.

  • Accédez à Structure → Vues et créez une nouvelle vue nomméeAudit Logs API. Définissez Afficher surLog entries, activez Fournir une exportation REST et définissez le chemin d'exportation REST sur/api/v1/audit-logs.

  • Dans l'éditeur de vues, ajoutez deux filtres Watchdog : Timestamp exposés : l'un avec l'opérateur is greater than or equal to et l'identifiant du filtrestarttime, l'autre avec l'opérateur is less than et l'identifiant du filtre. endtime

  • Dans la section REST EXPORT SETTINGS de la vue, choisissez Authentification et activezbasic_auth.

  • Accédez à Personnes → Autorisations et accordez aux rôles nécessitant un accès par API à la piste d'audit Access Admin et à Administrer les autorisations de configuration des ressources REST. Enregistrez la vue.

  • Dans AWS Secrets Manager, créez un secret et stockez le nom d'utilisateur Drupal Core sous la clé username et le mot de passe du compte sous la clé. password

Configuration du CloudWatch pipeline

Pour configurer le pipeline afin de lire les journaux, choisissez Drupal Core comme source de données. Renseignez les informations requises :

  • Domaine : URL de base de votre site Drupal Core (par exemple,https://your-drupal-site.example.com).

  • Point de terminaison de l'API : chemin d'accès au point de terminaison d'exportation View REST (par exemple,/api/v1/audit-logs). Doit commencer par /.

  • Plage — Spécifiez la durée du rétrospective au format ISO 8601 (par exemple, PT21H pour les 21 dernières heures, P7D pour les 7 derniers jours). La valeur par défaut est de 0 heure et le maximum est de 90 jours.

Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et transforme les événements liés à l'authentification (3002), à la gestion des entités (3004), à l'activité HTTP (4002) et au cycle de vie des applications (6002). Les événements qui ne sont pas répertoriés ne sont pas mappés à l'OCSF et seront transmis au récepteur sous forme de journaux bruts.

L'authentification contient les types d'événements suivants :

  • utilisateur — Événements liés à la connexion et à l'authentification

La gestion des entités contient les types d'événements suivants :

  • user — Création et suppression d'utilisateurs

  • content

  • comment

L'activité HTTP contient les types d'événements suivants :

  • accès refusé

  • page non trouvée

  • php

  • nouveaux types personnalisés

Le cycle de vie des applications contient les types d'événements suivants :

  • system

  • cron