View a markdown version of this page

Configuração de fonte no Drupal Core - Amazon CloudWatch
Integrar com o Drupal CoreAutenticar no Drupal CoreConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte no Drupal Core

Integrar com o Drupal Core

O Drupal Core é a estrutura fundamental para aplicações web de código aberto criado em PHP que fornece a plataforma de base para o desenvolvimento de sites, aplicações e experiências digitais. O CloudWatch Pipeline usa a API REST personalizada baseada no Views para recuperar dados de log de auditoria do site do Drupal Core, incluindo alterações de conteúdo, eventos de autenticação de usuário e ações administrativas. A API permite acessar dados de log filtrados por tempo por meio de endpoints REST, possibilitando a recuperação dos logs de atividades cujo escopo é uma janela de tempo configurável.

Autenticar no Drupal Core

Para ler os logs, o pipeline precisa ser autenticado no site do Drupal Core. O plug-in é compatível com autenticação básica (HTTP Basic Auth usando um nome de usuário e senha).

Configurar autenticação básica no Drupal Core

  • Entre na interface de administração do Drupal Core e navegue até Administração → Estender (/admin/modules).

  • Habilite os seguintes módulos: RESTful Web Services, Serialization, HTTP Basic Authentication e Views. Escolha Instalar.

  • Instale e ative o módulo Admin Audit Trail via Composer (composer require drupal/admin_audit_trail) e execute drush en admin_audit_trail -y && drush cr para ativá-lo.

  • Navegue até Estrutura → Visões e crie uma nova visão denominada Audit Logs API. Defina Mostrar como Log entries, habilite Fornecer uma exportação REST e defina o caminho de exportação REST como /api/v1/audit-logs.

  • No editor de visões, adicione dois filtros expostos Watchdog: timestamp: um com o operador is greater than or equal to e o identificador de filtro starttime, e outro com o operador is less than e o identificador de filtro endtime.

  • Na seção CONFIGURAÇÕES DE EXPORTAÇÃO REST da visão, escolha Autenticação e habilite a basic_auth.

  • Navegue até Pessoas → Permissões e conceda aos perfis que precisam de acesso à API as permissões de acessar trilha de auditoria administrativa e de administrar a configuração de recursos REST. Salve a visão.

  • Em AWS Secrets Manager, crie um segredo e armazene o nome de usuário do Drupal Core com a chave username e a senha da conta com a chave password.

Configurar o CloudWatch Pipeline

Para configurar o pipeline para ler logs, escolha o Drupal Core como a fonte de dados. Preencha as informações necessárias:

  • Domínio: o URL base do site do Drupal Core (por exemplo, https://your-drupal-site.example.com).

  • Endpoint da API: o caminho para o endpoint de exportação REST da visão (por exemplo, /api/v1/audit-logs). Deve começar com /.

  • Intervalo: especifique a duração do lookback no formato ISO 8601 (por exemplo, PT21H para as últimas 21 horas, P7D para os últimos 7 dias). O intervalo padrão é de 0 horas, e o máximo é de 90 dias.

Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e transforma eventos que são mapeados para Authentication (3002), Entity Management (3004), HTTP Activity (4002) e Application Lifecycle (6002). Eventos não listados não são mapeados para o OCSF e serão encaminhados para o coletor como logs brutos.

Authentication inclui os seguintes eventos:

  • usuário: eventos relacionados a login e autenticação

Entity Management inclui os seguintes tipos de evento:

  • usuário: criação e exclusão de usuários

  • content

  • comment

HTTP Activity inclui os seguintes tipos de evento:

  • acesso negado

  • página não encontrada

  • php

  • novos tipos personalizados

Application Lifecycle inclui os seguintes tipos de evento:

  • operacional

  • cron