Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Integrationen von Drittanbietern für Security Hub
Sie können Ihre Sicherheitslage mit Integrationen von Drittanbietern für AWS Security Hub verbessern. Mit dieser Funktion können Sie Integrationen aktivieren, die Erkenntnisse aus Security Hub nutzen, sodass Sie Ihre Betriebs-, Untersuchungs- und Reaktionstools in Security Hub integrieren können. Derzeit unterstützt Security Hub die Integration mit Jira Cloud undServiceNow.
**Topics**
+ [
# Integrationen für AWS Security Hub Jira Cloud
](jiracloud.md)
+ [
# Integrationen für ServiceNow
](servicenow.md)
+ [
# Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen
](securityhub-v2-integrations-key-policy.md)
+ [
# Testen konfigurierter Ticketing-Integrationen
](securityhub-v2-test-ticket-integration.md)
# Integrationen für AWS Security Hub Jira Cloud
In diesem Thema wird beschrieben, wie Sie mit integrieren könnenJira Cloud. Bevor Sie eines der Verfahren in diesem Thema abschließen können, müssen Sie ein Jira Cloud Abonnement erwerben. Informationen zu Abonnementplänen finden Sie auf der Atlassian Website unter [Preise](https://www.atlassian.com/software/jira/pricing).
Diese Integration ermöglicht es Ihnen, Security Hub Hub-Ergebnisse manuell oder automatisch an Jira Cloud zu senden, sodass Sie sie als Teil Ihrer betrieblichen Workflows verwalten können. Sie können beispielsweise Problemen, die untersucht und behoben werden müssen, die Verantwortung zuweisen.
Für Konten in einer Organisation kann nur der delegierte Administrator eine Integration konfigurieren. Der delegierte Administrator kann die Funktion „Ticket erstellen“ manuell für alle Ergebnisse zu Mitgliedskonten verwenden. Darüber hinaus kann der delegierte Administrator mithilfe von [Automatisierungsregeln](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) automatisch Tickets für alle Ergebnisse im Zusammenhang mit Mitgliedskonten erstellen. Bei der Definition einer Automatisierungsregel kann der delegierte Administrator Kriterien festlegen, die alle Mitgliedskonten oder bestimmte Mitgliedskonten umfassen können. Informationen zum Einrichten eines delegierten Administrators finden Sie unter [Ein delegiertes Administratorkonto in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub einrichten.
Für Konten, die nicht zu einer Organisation gehören, sind alle Aspekte dieser Funktion verfügbar.
## Voraussetzungen
Bevor Sie Security Hub mit Ihrer Jira Cloud Umgebung verbinden, müssen Sie sicherstellen, dass die folgenden Konfigurationsschritte in Ihrer Jira-Umgebung ausgeführt werden.
+ Installieren Sie die Cloud-App AWS Security Hub für Jira.
+ Haben Sie mindestens ein Softwareentwicklungsprojekt, das vom Unternehmen verwaltet wird.
+ Ordnen Sie die AWS App den Softwareentwicklungsprojekten zu, für die Sie Ergebnisse von Security Hub erhalten möchten.
Die Schritte für jede dieser Voraussetzungen sind unten aufgeführt.
### 1. Installieren Sie den AWS Security Hub für die Jira Cloud App
Security Hub verfügt über eine App zur Unterstützung der Integration mit Jira. Diese App installiert benutzerdefinierte Felder und einen benutzerdefinierten Problemtyp, der es Security Hub b ermöglicht, bestimmte Attribute zu Security Hub Hub-Ergebnissen auszufüllen.
1. Melden Sie sich als Administrator Atlassian auf Ihrer Site an.
1. Wählen Sie **Einstellungen** und dann **Apps**.
1. Wenn Sie zur Marketplace-Seite weitergeleitet werden, wählen **Sie Neue Apps suchen**. Wenn Sie zur Apps-Seite weitergeleitet werden, wählen **Sie Apps entdecken** und suchen Sie dann nach *AWS Security Hub für Jira Cloud*. Wählen Sie dann **Jetzt herunterladen**.
### 2. Erstellen Sie ein Projekt oder überprüfen Sie bestehende Projekte
Dieser Schritt ist erforderlich, wenn Sie kein Projekt erstellt haben. Informationen zum Erstellen eines Projekts finden Sie in der Jira Cloud Support Dokumentation unter [Neues Projekt erstellen](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/).
**Voraussetzungen für die Erstellung eines Projekts**
Stellen Sie sicher, dass Sie beim Erstellen eines neuen Projekts Folgendes beachten.
+ Wählen Sie **Softwareentwicklung** für die Projektvorlage aus.
+ Wählen Sie als Projekttyp vom **Unternehmen verwaltet** aus.
**Anforderungen für bestehende Projekte**
Bei allen bestehenden Projekten in Ihrer Jira-Umgebung, die in Security Hub integriert werden, muss es sich um ein vom **Unternehmen** verwaltetes Projekt handeln.
### 3. Fügen Sie Ihre Projekte zur AWS Security Hub for Jira Cloud App hinzu
Damit Security Hub Ergebnisse erfolgreich an Ihre Jira-Umgebung senden kann, muss jedes Projekt, das Sie mit Security Hub verwenden möchten, mit dem AWS Security Hub für Jira Cloud App verknüpft sein. Durch die Verknüpfung eines Jira-Projekts mit der App wird sichergestellt, dass die erforderlichen benutzerdefinierten Felder für dem Projekt zugeordnet sind und ausgefüllt werden können, wenn Security Hub Ergebnisse an das Projekt sendet.
1. Melden Sie sich als Administrator auf Ihrer Atlassian Site an.
1. Wählen Sie **Einstellungen** und dann **Apps**.
1. Wählen Sie in der Liste der Apps **AWS Security Hub for Jira Cloud** aus.
1. Wählen Sie den Tab **Connector-Einstellungen**.
1. Wählen Sie unter **Aktivierte Projekte** die Option **Jira-Projekt hinzufügen** aus.
1. Wählen Sie in der Dropdownliste die Option **Alle hinzufügen** oder wählen Sie ein Projekt aus. Wiederholen Sie diesen Teil des Schritts, wenn Sie mehr als ein Projekt hinzufügen möchten, aber nicht alle Projekte.
1. Wählen Sie **Speichern**.
Auf der Registerkarte **Installation Manager** können Sie überprüfen, welche Projekte erfolgreich installiert wurden. Auf der Registerkarte **Installation Manager** können Sie auch Konfigurationen für Felder, Bildschirme, Status und Workflows überprüfen.
Weitere Informationen Jira Cloud dazu finden Sie in den [Jira CloudRessourcen](https://support.atlassian.com/jira-software-cloud/resources/) auf der Atlassian Website.
## Empfehlungen
**Erstellen Sie ein spezielles Systemkonto für Ihre Jira-Umgebung**
Die Integration von Security Hub mit Jira Cloud verwendet eine OAuth Verbindung, die einem bestimmten Benutzer innerhalb Ihrer Jira-Instanz zugeordnet ist. Aus den folgenden Gründen wird für Ihre OAuth Verbindung empfohlen, ein spezielles Systemkonto für Ihre Security Hub Hub-Verbindung zu erstellen:
+ Ein dedizierter Systembenutzer stellt sicher, dass die Verbindung nicht mit einem Mitarbeiter verknüpft ist, dessen Berechtigungen für die Jira-Umgebung sich im Laufe der Zeit ändern könnten, was die Integrationsfähigkeit von Security Hub in Ihre Jira-Umgebung beeinträchtigen könnte.
+ Bei jedem Problem, das Security Hub in Jira erstellt, wird ein von diesem Benutzernamen erstellt, mit dem die OAuth Verbindung hergestellt wurde, angezeigt. Wenn Sie ein Systemkonto für die OAuth Verbindung verwenden, wird dieses Systemkonto als Ticketersteller angezeigt. Dadurch wird sichtbar, dass das Ergebnis über die Security Hub Hub-Integration und nicht manuell von einem anderen Jira-Benutzer erstellt wurde.
## Konfigurieren Sie eine Integration zwischen Security Hub und Jira Cloud
Das folgende Verfahren muss für jedes Ihrer Jira Cloud Projekte abgeschlossen werden, an das Sie Security Hub Hub-Ergebnisse senden möchten.
**Anmerkung**
Wenn Sie einen Jira Cloud Connector erstellen, werden Sie vom aktuellen AWS-Region zu weitergeleitet`"https://3rdp.oauth.console.api.aws"`, sodass Sie die Connector-Registrierung abschließen können. Danach kehren Sie zu dem Ort zurück, AWS-Region an dem der Konnektor erstellt wird.
**Um eine Integration zu konfigurieren für Jira Cloud**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich **Management und dann Integrationen** aus.**
1. Wählen Sie **HinzufügenJira Cloud** aus.
1. Geben Sie **unter Details** einen eindeutigen und aussagekräftigen Namen für Ihre Integration ein und legen Sie fest, ob Sie eine optionale Beschreibung für Ihre Integration eingeben möchten.
1. Wählen Sie **unter Verschlüsselungen** aus, wie Sie Ihre Anmeldeinformationen für die Integration in Security Hub verschlüsseln möchten.
+ Eigenen **Schlüssel verwenden AWS ** — Bei dieser Option wird ein Security Hub-eigener Serviceschlüssel verwendet, um Ihre Integrationsanmeldedaten innerhalb von Security Hub zu verschlüsseln.
+ **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** — Mit dieser Option wählen Sie einen AWS KMS key , den Sie erstellt haben und den Sie für die Verschlüsselung Ihrer Integrationsdaten in Security Hub verwenden möchten. Informationen zum Erstellen eines AWS KMS Schlüssels finden Sie unter [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer* Guide. Wenn Sie Ihren eigenen Schlüssel verwenden möchten, müssen Sie dem KMS-Schlüssel Richtlinienanweisungen hinzufügen, die Security Hub den Zugriff auf den Schlüssel ermöglichen. Einzelheiten zu den erforderlichen [Richtlinien finden Sie in den AWS KMS wichtigsten Richtlinien für Security Hub-Ticketintegrationen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html).
**Anmerkung**
Sie können diese Einstellungen nicht mehr ändern, sobald Sie diese Konfiguration abgeschlossen haben. Wenn Sie jedoch **Benutzerdefinierter Schlüssel** wählen, können Sie Ihre benutzerdefinierte Schlüsselrichtlinie jederzeit bearbeiten.
1. (Optional) Erstellen Sie für **Tags** ein Tag und fügen Sie es Ihrer Integration hinzu. Sie können bis zu 50 Tags hinzufügen.
1. Wählen Sie für **Autorisierungen** die Option **Connector erstellen und autorisieren** aus. Es erscheint ein Pop-up, in dem Sie **Zulassen** wählen, um die Autorisierung abzuschließen. Nachdem Sie die Autorisierung abgeschlossen haben, wird ein Kontrollkästchen angezeigt, das Sie darüber informiert, dass die Autorisierung erfolgreich war.
1. Geben Sie für **Konfigurationen** die Jira Cloud Projekt-ID ein.
1. Wählen Sie **Vollständige Konfiguration** aus. Nachdem Sie die Konfiguration abgeschlossen haben, können Sie Ihre konfigurierten Integrationen auf der Registerkarte **Konfigurierte Integrationen** einsehen.
Sobald Sie Ihre Integration mit Jira konfiguriert haben, können Sie die Verbindung testen, um sicherzustellen, dass in Ihrer Jira-Umgebung und in Security Hub alles richtig konfiguriert ist. Weitere Informationen finden Sie unter [Konfigurierte Ticketing-Integrationen testen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
## Zusätzliche Informationen zur Jira-Integration
**Überlegungen zur Ratenbegrenzung**
Jira setzt API-Ratenbegrenzungen durch, um die Servicestabilität aufrechtzuerhalten und eine faire Nutzung auf der gesamten Plattform zu gewährleisten. Bei Verwendung der AWS Security Hub Hub-Integration mit Jira können sich diese Ratenbegrenzungen auf die Verarbeitung von Security Hub Hub-Ergebnissen auswirken, insbesondere in Umgebungen, in denen große Mengen an Ergebnissen generiert werden. Dies kann zu einer verzögerten Ticketerstellung führen, und in Szenarien mit extrem hohem Ergebnisvolumen werden einige Ergebnisse möglicherweise überhaupt nicht in Jira-Tickets verarbeitet. Um Ihre Integration zu optimieren, sollten Sie in Erwägung ziehen, Filter für Automatisierungsregeln in Security Hub zu implementieren, um das Ticketing bei den wichtigsten Ergebnissen zu priorisieren, Ihre Jira-API-Nutzung über deren Admin-Konsole zu überwachen und Ihren Workflow auf der Grundlage der spezifischen Ratenlimits Ihrer Jira-Lizenzstufe zu planen. Wenden Sie sich bei geschäftskritischen Implementierungen an Ihren Jira-Administrator, um Ihre Zuteilungen von Ratenlimits zu überprüfen.
Ausführliche Informationen zu den Ratenlimits der Jira-API findest du in der Dokumentation zur [Ratenbegrenzung auf der Website des Atlassian](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) Developers Guide.
**Authentifizierung und Sicherheit**
Die Jira-API-Authentifizierung erfordert eine korrekte OAuth 2.0-Konfiguration für einen sicheren Zugriff. Stelle sicher, dass deine Anwendung den bewährten Sicherheitsmethoden von Atlassian für die API-Integration entspricht.
Ressourcen:
+ Jira Rest v3: APi [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Implementierung von OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Jira Cloud-Apps verwalten: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Jira-Berechtigungen verwalten: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Ein Ticket für eine Jira Cloud Integration erstellen
Nachdem Sie eine Integration mit erstellt habenJira Cloud, können Sie ein Ticket für einen Befund erstellen.
**Anmerkung**
Ein Ergebnis wird während seines gesamten Lebenszyklus immer einem einzelnen Ticket zugeordnet. Alle nachfolgenden Aktualisierungen eines Ergebnisses nach der ersten Erstellung werden an dasselbe Ticket gesendet. Wenn ein mit einer Automatisierungsregel verknüpfter Connector geändert wird, wird der aktualisierte Connector nur für neue und eingehende Ergebnisse verwendet, die den Regelkriterien entsprechen.
**Um ein Ticket für einen Befund zu erstellen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie ein Ergebnis aus. Wählen Sie im Ergebnis die Option **Ticket erstellen** aus.
1. Öffnen Sie für **Integration** das Drop-down-Menü und wählen Sie eine Integration aus. Diese Integration ist die Integration, die Sie zuvor bei der Konfiguration des Jira Cloud Projekts erstellt haben. Wählen Sie die Integration aus, an die die Ergebnisse gesendet werden sollen.
1. Wählen Sie **Erstellen** aus.
# Ein Ticket für eine Jira Cloud Integration anzeigen
Nachdem Sie ein Ticket für einen Befund erstellt haben, können Sie das Ticket auf Ihrer Jira Cloud Instanz öffnen.
**Um einen Befund auf deiner Jira Cloud Instanz anzusehen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie die Suche aus, in der Sie das Ticket erstellt haben.
1. Wählen Sie in der Suche die Ticket-ID aus, um das Ticket auf Ihrer Jira Cloud Instanz anzuzeigen, oder wählen Sie „**JSON anzeigen**“ aus.
# Integrationen für ServiceNow
In diesem Thema wird beschrieben, wie Sie auf die Security Hub Hub-Konsole zugreifen, um eine Integration für zu konfigurierenServiceNow ITSM. Bevor Sie eines der Verfahren in diesem Thema abschließen können, müssen Sie über ein Abonnement verfügen, ServiceNow ITSM bevor Sie diese Integration hinzufügen können. Weitere Informationen finden Sie auf [der Seite mit den Preisen](https://www.servicenow.com/lpgp/pricing-itsm.html) auf der ServiceNow Website.
Für Konten in einer Organisation kann nur der delegierte Administrator eine Integration konfigurieren. Der delegierte Administrator kann die Funktion „Ticket erstellen“ manuell für alle Ergebnisse zu Mitgliedskonten verwenden. Darüber hinaus kann der delegierte Administrator mithilfe von [Automatisierungsregeln](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) automatisch Tickets für alle Ergebnisse im Zusammenhang mit Mitgliedskonten erstellen. Bei der Definition einer Automatisierungsregel kann der delegierte Administrator Kriterien festlegen, die alle Mitgliedskonten oder bestimmte Mitgliedskonten umfassen können. Informationen zum Einrichten eines delegierten Administrators finden Sie unter [Ein delegiertes Administratorkonto in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub einrichten.
Für Konten, die nicht zu einer Organisation gehören, sind alle Aspekte dieser Funktion verfügbar.
## Voraussetzungen — ServiceNow Umgebung konfigurieren
Sie müssen die folgenden Voraussetzungen erfüllen, bevor Sie eine Integration für konfigurieren könnenServiceNow ITSM. Andernfalls funktioniert Ihre Integration zwischen ServiceNow ITSM und Security Hub nicht.
### 1. Installieren Sie die Security Hubfinds-Integration für IT Service Management (ITSM)
Das folgende Verfahren beschreibt, wie das Security Hub-Plugin installiert wird.
1. Melden Sie sich bei Ihrer ServiceNow ITSM Instance an und öffnen Sie dann den Anwendungsnavigator.
1. Navigieren Sie zum [ServiceNow Store](https://store.servicenow.com/store).
1. Suchen Sie nach *Security Hub Findings Integration for IT Service Management (ITSM)* und wählen Sie dann **Get**, um die Anwendung zu installieren.
**Anmerkung**
Wählen Sie in den Einstellungen für die Security Hub Hub-Anwendung aus, welche Aktion ausgeführt werden soll, wenn neue Security Hub Hub-Ergebnisse an Ihre ServiceNow ITSM Umgebung gesendet werden. Sie können „**Nichts tun**“, „**Vorfall erstellen**“, „**Problem erstellen**“ oder „**Beides erstellen“ (Vorfall/Problem**) wählen.
### 2. Konfigurieren Sie den Gewährungstyp „Client-Anmeldeinformationen“ für eingehende Anfragen OAuth
Sie müssen diesen Gewährungstyp für eingehende OAuth Anfragen konfigurieren. Weitere Informationen finden Sie auf der ServiceNow Support-Webseite unter Die [Art der Gewährung von Kundenanmeldeinformationen für eingehende Anrufe OAuth wird unterstützt](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212).
### 3. Erstellen Sie eine Anwendung OAuth
Wenn Sie bereits eine OAuth Anwendung erstellt haben, können Sie diese Voraussetzung überspringen. Informationen zum Erstellen einer OAuth Anwendung finden Sie unter [Einrichtung OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest).
## Voraussetzungen — konfigurieren AWS Secrets Manager
Um die Integration von Security Hub mit nutzen zu können ServiceNow, müssen die Anmeldeinformationen für Ihre ServiceNow OAuth Anwendung in Secrets Manager gespeichert sein. Wenn Sie Ihre Anmeldeinformationen in Secrets Manager speichern, haben Sie die Kontrolle und den Überblick über die Verwendung der Anmeldeinformationen und ermöglichen es Security Hub gleichzeitig, die Anmeldeinformationen für die Integration in Ihre ServiceNow Instance zu verwenden. Um Ihre Anmeldeinformationen in Secrets Manager zu speichern, müssen Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, um die Geheimnisse zu schützen. Mit diesem AWS KMS Schlüssel können Sie die Geheimnisse schützen, während sie im Ruhezustand gespeichert sind. Außerdem können Sie dem Schlüssel eine Richtlinie zuordnen, die Security Hub Zugriff auf den Schlüssel gewährt, der das Geheimnis schützt.
Gehen Sie wie folgt vor, um Secrets Manager für Ihre ServiceNow Anmeldeinformationen zu konfigurieren.
### Schritt 1: Hängen Sie Ihrem AWS KMS Schlüssel eine Richtlinie an
Um Ihre ServiceNow Integration erfolgreich zu konfigurieren, müssen Sie Security Hub zunächst die Berechtigungen zur Verwendung des AWS KMS Schlüssels erteilen, der Ihren ServiceNow Anmeldeinformationen in Secrets Manager zugeordnet wird.
**So ändern Sie die AWS KMS Schlüsselrichtlinie für den Zugriff auf Ihre ServiceNow Anmeldeinformationen durch Security Hub**
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. *Wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder führen Sie die Schritte zum [Erstellen eines neuen Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im AWS KMS Entwicklerhandbuch aus.*
1. Wählen Sie im Abschnitt **Key policy** (Schlüsselrichtlinie) die Option **Edit** (Bearbeiten) aus.
1. Wenn **Zur Richtlinienansicht wechseln** angezeigt wird, wählen Sie diese aus, um die Schlüsselrichtlinie anzuzeigen, und klicken Sie dann auf **Bearbeiten**.
1. Kopieren Sie den folgenden Richtlinienblock in Ihre AWS KMS Schlüsselrichtlinie, um Security Hub die Erlaubnis zu erteilen, Ihren Schlüssel zu verwenden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ *your-account-id*Ersetzen Sie es durch Ihre AWS Konto-ID.
+ *your-region*Ersetze es durch deine AWS Region (z. B.`us-east-1`).
1. Wenn Sie die Grundsatzerklärung vor der Schlusserklärung hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Erklärung ein Komma hinzu. Stellen Sie sicher, dass die JSON-Syntax Ihrer AWS KMS wichtigsten Richtlinie gültig ist.
1. Wählen Sie **Speichern**.
1. (Optional) Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.
### Schritt 2: Erstellen Sie das Geheimnis in Secrets Manager
Erstellen Sie in Secrets Manager ein Geheimnis, in dem Ihre ServiceNow Anmeldeinformationen gespeichert werden. Security Hub greift bei der Interaktion mit Ihrer ServiceNow Umgebung auf dieses Geheimnis zu.
Folgen Sie den Anweisungen [zum Erstellen eines Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) im *AWS Secrets Manager Benutzerhandbuch*. Nachdem Sie Ihr Secret erstellt haben, kopieren Sie den Secret ARN, da Sie ihn für die Erstellung Ihres Security Hub Hub-Connectors benötigen.
Achten Sie bei der Erstellung des Secrets darauf, dass Sie Folgendes konfigurieren:
**Geheimtyp**
Other type of secret (Andere Art von Secret)
**Schlüssel/Wert-Paare (Klartext-Format)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
Die Feldnamen müssen exakt `ClientId` und `ClientSecret` (Groß- und Kleinschreibung beachten) sein. Security Hub benötigt genau diese Namen, um die Anmeldeinformationen abzurufen.
**Verschlüsselungsschlüssel**
Verwenden Sie den AWS KMS Schlüssel, den Sie in Schritt 1 konfiguriert haben
**Ressourcenrichtlinie**
Verwenden Sie die folgende Ressourcenrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Nachdem Ihr Secret konfiguriert ist, können Sie mithilfe der CreateConnector V2-API oder AWS -Konsole einen Security Hub Hub-Connector erstellen. Sie müssen Folgendes angeben:
+ **InstanceName**: Ihre ServiceNow Instanz-URL (zum Beispiel`your-instance.service-now.com`)
+ **SecretArn**: Der ARN des Secrets, das Sie in diesem Verfahren erstellt haben
## Konfigurieren Sie eine Integration für ServiceNow ITSM
Security Hub kann Vorfälle oder Probleme automatisch in erstellenServiceNow ITSM.
**Um eine Integration zu konfigurieren für ServiceNow ITSM**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich **Management und dann Integrationen** aus.**
1. Wählen Sie **ServiceNow ITSM**unter **Integration hinzufügen** aus.
1. Geben Sie unter **Details** einen Namen für Ihre Integration ein und legen Sie fest, ob Sie eine optionale Beschreibung für Ihre Integration eingeben möchten.
1. Wählen Sie **unter Verschlüsselungen** aus, wie Sie Ihre Anmeldeinformationen für die Integration in Security Hub verschlüsseln möchten.
+ Eigenen **Schlüssel verwenden AWS ** — Bei dieser Option wird ein Security Hub-eigener Serviceschlüssel verwendet, um Ihre Integrationsanmeldedaten innerhalb von Security Hub zu verschlüsseln.
+ **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** — Mit dieser Option wählen Sie einen AWS KMS key , den Sie erstellt haben und den Sie für die Verschlüsselung Ihrer Integrationsdaten in Security Hub verwenden möchten. Informationen zum Erstellen eines AWS KMS Schlüssels finden Sie unter [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer* Guide. Wenn Sie Ihren eigenen Schlüssel verwenden möchten, müssen Sie dem KMS-Schlüssel Richtlinienanweisungen hinzufügen, die Security Hub den Zugriff auf den Schlüssel ermöglichen. Einzelheiten zu den erforderlichen [Richtlinien finden Sie in den AWS KMS wichtigsten Richtlinien für Security Hub-Ticketintegrationen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html).
**Anmerkung**
Sie können diese Einstellungen nicht mehr ändern, sobald Sie diese Konfiguration abgeschlossen haben. Wenn Sie jedoch **Benutzerdefinierter Schlüssel** wählen, können Sie Ihre benutzerdefinierte Schlüsselrichtlinie jederzeit bearbeiten.
1. Geben Sie unter **Anmeldeinformationen** Ihre ServiceNow ITSM URL und den ARN Ihres AWS Secrets Manager Geheimnisses ein, der im Abschnitt Voraussetzungen generiert wurde.
1. Legen Sie für **Tags** fest, ob Sie ein optionales Tag erstellen und zu Ihrer Integration hinzufügen möchten.
1. Wählen Sie **Add Integration** (Integration hinzufügen) aus. Nachdem Sie die Konfiguration abgeschlossen haben, können Sie Ihre konfigurierten Integrationen auf der Registerkarte **Konfigurierte Integrationen** einsehen.
Sobald Sie Ihre Integration mit konfiguriert haben, können ServiceNow Sie die Verbindung testen, um sicherzustellen, dass in Ihrer ServiceNow Umgebung und in Security Hub alles richtig konfiguriert ist. Weitere Informationen finden Sie unter [Konfigurierte Ticketing-Integrationen testen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
# Ein Ticket für eine Integration erstellen ServiceNow ITSM
Nachdem Sie eine Integration mit erstellt habenServiceNow ITSM, können Sie ein Ticket für einen Befund erstellen.
**Anmerkung**
Ein Ergebnis wird während seines gesamten Lebenszyklus immer einem einzelnen Ticket zugeordnet. Alle nachfolgenden Aktualisierungen eines Ergebnisses nach der ersten Erstellung werden an dasselbe Ticket gesendet. Wenn ein mit einer Automatisierungsregel verknüpfter Connector geändert wird, wird der aktualisierte Connector nur für neue und eingehende Ergebnisse verwendet, die den Regelkriterien entsprechen.
**Um ein Ticket für einen Befund zu erstellen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie ein Ergebnis aus. Wählen Sie im Ergebnis die Option **Ticket erstellen** aus.
1. Öffnen Sie für **Integration** das Drop-down-Menü und wählen Sie eine Integration aus.
1. Wählen Sie **Erstellen** aus.
# Ein Ticket für eine ServiceNow ITSM Integration anzeigen
Nachdem Sie ein Ticket für einen Befund erstellt haben, können Sie das Ticket auf Ihrer ServiceNow ITSM Instanz öffnen.
**Um einen Befund auf deiner ServiceNow ITSM Instanz anzusehen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie die Suche aus, in der Sie das Ticket erstellt haben.
1. Wählen Sie in der Suche die Ticket-ID aus, um das Ticket auf Ihrer ServiceNow ITSM Instanz anzuzeigen, oder wählen Sie „**JSON anzeigen**“ aus.
# Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen
Bei der Verwendung von kundenverwalteten KMS-Schlüsseln mit Security Hub-Ticketintegrationen müssen dem KMS-Schlüssel zusätzliche Richtlinien hinzugefügt werden, damit Security Hub mit dem Schlüssel interagieren kann. Darüber hinaus müssen Richtlinien hinzugefügt werden, die dem Principal, der den Schlüssel zum Security Hub Hub-Connector hinzufügt, Zugriff auf den Schlüssel gewähren.
## Security Hub Hub-Berechtigungsrichtlinie
Die folgende Richtlinie beschreibt die Berechtigungen, die Security Hub benötigt, um auf den KMS-Schlüssel zugreifen und ihn verwenden zu können, der mit Ihrem Jira und Ihren ServiceNow Connectors verknüpft ist. Diese Richtlinie muss jedem KMS-Schlüssel hinzugefügt werden, der einem Security Hub Hub-Connector zugeordnet ist.
Die Richtlinie enthält die folgenden Berechtigungen:
+ Ermöglicht Security Hub, Tokens, die für die Kommunikation mit Ihren Ticketing-Integrationen verwendet werden, mithilfe des Schlüssels zu schützen, temporär darauf zuzugreifen oder sie zu aktualisieren. Die Berechtigungen sind über den Bedingungsblock, der den Quell-ARN und den Verschlüsselungskontext überprüft, auf Vorgänge im Zusammenhang mit bestimmten Security Hub Hub-Connectoren beschränkt.
+ Ermöglicht Security Hub, Metadaten über den KMS-Schlüssel zu lesen, indem der `DescribeKey` Vorgang zugelassen wird. Diese Berechtigung ist erforderlich, damit Security Hub den Status und die Konfiguration des Schlüssels überprüfen kann. Der Zugriff ist über die ARN-Quellbedingung auf bestimmte Security Hub Hub-Konnektoren beschränkt.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ Ersetzen Sie *CloudProviderName* durch `JIRA_CLOUD` oder `SERVICENOW`
+ *AccountId*Ersetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.
+ *Region*Ersetzen Sie es durch Ihre AWS Region (z. B.`us-east-1`).
## IAM-Prinzipalzugriff für Security Hub Hub-Operationen
Jeder Principal, der einem Security Hub Hub-Connector vom Kunden verwaltete KMS-Schlüssel zuweist, muss über die erforderlichen Berechtigungen verfügen, um Schlüsseloperationen (Beschreiben, Generieren, Entschlüsseln, Erneut verschlüsseln und Aliase auflisten) für den Schlüssel auszuführen, der dem Connector hinzugefügt wird. Dies gilt für und. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) APIs Die folgende Grundsatzerklärung sollte als Teil der Richtlinie für jeden Auftraggeber enthalten sein, der mit diesen zu tun hat APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ *RoleName*Ersetzen Sie es durch den Namen der IAM-Rolle, die Security Hub aufruft.
+ Ersetzen Sie *CloudProviderName* durch `JIRA_CLOUD` oder `SERVICENOW`.
+ *AccountId*Ersetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.
+ *Region*Ersetzen Sie es durch Ihre AWS Region (z. B.`us-east-1`).
# Testen konfigurierter Ticketing-Integrationen
Bei konfiguriertem Jira und ServiceNow Integrationen können Sie die Verbindung testen, um sicherzustellen, dass die gesamte Konfiguration in Security Hub und in Ihrer Jira- oder ServiceNow Umgebung abgeschlossen ist.
Die Testticket-Funktion erstellt ein Ticket mit dem Titel. `TESTING Test CreateTicketV2 Finding` Das Testticket enthält Beispieldaten wie Konto-ID und Region des Kontos, in dem der Test durchgeführt wird, Beispielressourcendetails und Beispiel für AWS Finding JSON.
## Integrationen mithilfe der Konsole testen
Verwenden Sie die folgenden Schritte, um Ihre Integration zu testen:
1. Wählen Sie im Security Hub-Navigationsbereich **Integrationen** aus.
1. Wählen Sie auf der Registerkarte **Konfigurierte Integrationen** die Integration aus, die Sie testen möchten.
1. Wählen Sie auf der Übersichtsseite für Ihre Integration die Option **Testticket erstellen** aus.
1. Wenn der Test erfolgreich war, wird eine Erfolgsmeldung zusammen mit einem Link zum Testticket angezeigt. Wenn der Test nicht erfolgreich war, wird ein Fehler für den Test angezeigt. Beheben Sie anhand der Fehlermeldung die Konfigurationsprobleme in Security Hub oder in Ihrer Jira- oder Service Now-Umgebung.
**Anmerkung**
Die Testticket-Funktion soll dabei helfen, die End-to-End-Funktionalität für die Einrichtung einer neuen Verbindung oder wenn Sie Änderungen an einer bestehenden Verbindung vornehmen, zu überprüfen. Diese Funktion erstellt bei jeder Nutzung ein neues Ticket in Ihrer Jira- oder Service Now-Umgebung und ist nicht für die regelmäßige Überprüfung Ihrer Verbindung vorgesehen.
## Testen mit dem AWS CLI
Um Ihre Integration mit dem zu testen AWS CLI, verwenden Sie den `create-ticket-v2` Befehl mit dem `--mode DRYRUN` Parameter:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Beispiel**
Das folgende Beispiel zeigt, wie Sie eine Integration testen:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Erfolgreiche Antwort**
Eine erfolgreiche Antwort gibt Folgendes zurück:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
`TicketSrcUrl`In der Antwort finden Sie einen direkten Link zum Anzeigen des Testtickets in Ihrer Jira- oder ServiceNow Umgebung.
Wenn der Test fehlschlägt, wird eine Fehlermeldung angezeigt, die auf das Konfigurationsproblem hinweist, das behoben werden muss.
## Behebung von Fehlern bei der Jira-Cloud-Integration
Wenn Sie Ihre Integration in Jira Cloud von Security Hub aus testen, werden möglicherweise die folgenden Fehlermeldungen zurückgegeben. Diese Fehlermeldungen können Aufschluss darüber geben, wo das Konfigurationsproblem mit dem Connector liegen könnte und wie es behoben werden kann.
**Fehlermeldungen bei der Jira Cloud-Integration**
| Fehler | Fehlermeldung | Wahrscheinliche Ursache und Lösung |
| --- | --- | --- |
| ConflictException | Das Jira-Projekt kann nicht gefunden werden | **Wahrscheinlicher Grund:** Das Projekt auf dem Konnektor ist falsch oder credentials/permissions ein Problem verhindert, dass wir auf das Projekt zugreifen können. **Mögliche Lösung:** Fügen Sie dem Connector das richtige Projekt hinzu oder authentifizieren Sie sich erneut bei Jira mit den richtigen Anmeldeinformationen. |
| ConflictException | Der Security Hub Hub-Problemtyp wurde nicht gefunden | **Wahrscheinliche Ursache:** Das Problem oder der Problemtyp bei der App-Installation ist nicht mit dem Projekt verknüpft. **Mögliche Lösung:** Führen Sie den erforderlichen Schritt aus, um die Jira-App in Ihrer Jira-Umgebung zu installieren, und verknüpfen Sie die App mit dem Projekt. |