Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Integraciones de terceros para Security Hub
Puede mejorar su postura de seguridad con integraciones de terceros para AWS Security Hub. Con esta característica, puede habilitar integraciones que consuman los resultados de Security Hub y así incorporar sus herramientas operativas, de investigación y de respuesta. Actualmente, Security Hub admite integraciones con Jira Cloud y ServiceNow.
**Topics**
+ [
# Integraciones para AWS Security Hub Jira Cloud
](jiracloud.md)
+ [
# Integraciones para ServiceNow
](servicenow.md)
+ [
# Políticas clave de KMS para las integraciones de venta de entradas de Security Hub
](securityhub-v2-integrations-key-policy.md)
+ [
# Prueba de integraciones de venta de entradas configuradas
](securityhub-v2-test-ticket-integration.md)
# Integraciones para AWS Security Hub Jira Cloud
En este tema se describe cómo realizar la integración conJira Cloud. Antes de completar cualquiera de los procedimientos de este tema, debe adquirir un plan de suscripción de Jira Cloud. Para obtener información sobre los planes de suscripción, consulte [Precios](https://www.atlassian.com/software/jira/pricing) en el sitio web de Atlassian.
Esta integración te permite enviar las conclusiones del Security Hub a Jira Cloud, de forma manual o automática, para que puedas gestionarlas como parte de tus flujos de trabajo operativos. Por ejemplo, puede asignar la responsabilidad de incidencias que requieren investigación y remediación.
Para las cuentas que forman parte de una organización, únicamente el administrador delegado puede configurar una integración. El administrador delegado puede usar manualmente la característica de creación de tickets para cualquier resultado de una cuenta de miembro. Además, el administrador delegado puede usar [reglas de automatización](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) para crear tickets de manera automática para cualquier resultado asociado a cuentas de miembro. Al definir una regla de automatización, el administrador delegado puede establecer criterios que incluyan todas las cuentas de miembro o cuentas de miembro específicas. Para obtener información sobre cómo configurar un administrador delegado, consulte [Configuración de una cuenta de administrador delegado en Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Para las cuentas que no forman parte de una organización, todas las funciones de esta característica están disponibles.
## Requisitos previos
Antes de conectar Security Hub con tu Jira Cloud entorno, debes asegurarte de realizar los siguientes pasos de configuración en tu entorno de Jira.
+ Instala la aplicación en la nube AWS Security Hub for Jira.
+ Tenga al menos un proyecto de desarrollo de software gestionado por la empresa.
+ Asigne la AWS aplicación a los proyectos de desarrollo de software de los que desee recibir las conclusiones de Security Hub.
Los pasos para cada uno de estos requisitos previos se detallan a continuación.
### 1. Instalar el AWS Security Hub para la Jira Cloud aplicación
Security Hub tiene una aplicación que permite su integración con Jira. Esta aplicación instala campos personalizados y un tipo de problema personalizado que permite al Security Hub b rellenar atributos específicos sobre los hallazgos del Security Hub.
1. Inicie sesión en el sitio de Atlassian como administrador.
1. Elija **Configuración**, y luego elija **Aplicaciones**.
1. Si se le dirige a la página del marketplace, elija **Buscar aplicaciones nuevas**. Si se le dirige a la página de aplicaciones, elija **Explorar aplicaciones** y luego busque *AWS Security Hub para Jira Cloud*. Después, elija **Obtener ahora**.
### 2. Cree un proyecto o verifique los proyectos existentes
Este paso es obligatorio si aún no ha creado un proyecto. Para obtener información sobre cómo crear un proyecto, consulte [Creación de un proyecto nuevo](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/) en la documentación de Jira Cloud Support.
**Requisitos para crear un proyecto**
Asegúrese de realizar lo siguiente cuando cree un proyecto nuevo.
+ Elija **Desarrollo de software** como plantilla del proyecto.
+ Elija **Administrado por la compañía** como tipo de proyecto.
**Requisitos para los proyectos existentes**
Todos los proyectos existentes en tu entorno de Jira, que se integrarán con Security Hub, deben ser un tipo de proyecto gestionado por la **empresa**.
### 3. Añada sus proyectos a la Jira Cloud aplicación AWS Security Hub para
Para que Security Hub pueda enviar correctamente los resultados a tu entorno de Jira, cada proyecto que quieras usar con Security Hub debe estar asociado al AWS Security Hub para la Jira Cloud aplicación. Al asociar un proyecto de Jira a la aplicación, se garantiza que los campos personalizados necesarios estén asociados al proyecto y se puedan rellenar cuando Security Hub envíe las conclusiones al proyecto.
1. Inicie sesión en el sitio de Atlassian como administrador.
1. Elija **Configuración**, y luego elija **Aplicaciones**.
1. En la lista de aplicaciones, elija **AWS Security Hub para Jira Cloud**.
1. Elija la pestaña **Configuración del conector**.
1. En **Proyectos habilitados**, elija **Agregar proyecto de Jira**.
1. En el menú desplegable, elija **Agregar todos** o seleccione un proyecto. Repita esta parte del paso si desea agregar más de un proyecto, pero no todos.
1. Seleccione **Save**.
Puede verificar qué proyectos se instalaron correctamente en la pestaña **Administrador de instalación**. También puede verificar configuraciones para campos, pantallas, estados y flujos de trabajo desde la pestaña **Administrador de instalación**.
Para obtener información adicional sobre Jira Cloud, consulte los [Recursos de Jira Cloud](https://support.atlassian.com/jira-software-cloud/resources/) en el sitio web de Atlassian.
## Recomendaciones
**Crear una cuenta de sistema dedicada para tu entorno de Jira**
La integración de Security Hub con Jira Cloud utiliza una OAuth conexión que está asociada a un usuario específico de tu instancia de Jira. Se recomienda crear una cuenta de sistema dedicada para usarla en la OAuth conexión del Security Hub por los siguientes motivos:
+ Un usuario de sistema dedicado garantiza que la conexión no esté asociada a un empleado, cuyos permisos para acceder al entorno de Jira podrían cambiar con el tiempo, lo que afectaría a la capacidad de Security Hub de integrarse con tu entorno de Jira.
+ Cada incidencia que Security Hub cree en Jira mostrará una creación con el nombre de usuario que se utilizó para crear la OAuth conexión. Al usar una cuenta de sistema para la OAuth conexión, esta cuenta de sistema aparecerá como la creadora del ticket, lo que ayudará a dar visibilidad a que el hallazgo se creó mediante la integración de Security Hub y no manualmente por otro usuario de Jira.
## Configurar una integración entre Security Hub y Jira Cloud
Debe completar el siguiente procedimiento para cada uno de los Jira Cloud proyectos a los que desee enviar las conclusiones de Security Hub.
**nota**
Al crear un Jira Cloud conector, se le redirige del conector actual Región de AWS a para `"https://3rdp.oauth.console.api.aws"` que pueda completar el registro del conector. Después, volverá al Región de AWS lugar donde se está creando el conector.
**Para configurar una integración para Jira Cloud**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, elija **Administración** y luego seleccione **Integraciones**.
1. Elija **Añadir Jira Cloud**.
1. En **Detalles**, ingrese un nombre único y descriptivo para la integración y decida si desea incluir una descripción opcional.
1. En el **caso de los cifrados**, elija cómo quiere cifrar sus credenciales de integración en Security Hub.
+ **Usar AWS clave propia**: con esta opción, se utilizará una clave de servicio propiedad de Security Hub para cifrar los datos de las credenciales de integración en Security Hub.
+ **Elija una clave KMS diferente (avanzada)**: con esta opción, elige una AWS KMS key que haya creado y que desee utilizar para cifrar los datos de las credenciales de integración en Security Hub. Para obtener información sobre cómo crear una AWS KMS clave, consulte [Crear una AWS KMS clave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la Guía para * AWS Key Management Service desarrolladores*. Si decide usar su propia clave, debe agregar declaraciones de política a la clave de KMS que permitan a Security Hub acceder a la clave. Consulte [las políticas AWS KMS clave de las integraciones de venta de entradas de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) para obtener más información sobre las políticas necesarias.
**nota**
No podrá modificar estos ajustes una vez que complete esta configuración. Sin embargo, si elige **Clave personalizada**, puede editar la política de la clave personalizada en cualquier momento.
1. (Opcional) En **Etiquetas**, cree una etiqueta y agréguela a la integración. Puedes añadir hasta 50 etiquetas.
1. En **Autorizaciones**, seleccione **Crear conector y autorizar**. Aparece una ventana emergente en la que debe seleccionar **Permitir** para completar la autorización. Una vez completada la autorización, aparecerá una casilla de verificación que confirma que la autorización se realizó correctamente.
1. En **Configuraciones**, ingrese el ID del proyecto de Jira Cloud.
1. Seleccione **Completar configuración**. Después de completar la configuración, puede ver las integraciones configuradas en la pestaña **Integraciones configuradas**.
Una vez que hayas configurado tu integración con Jira, puedes probar la conexión para confirmar que todo está configurado correctamente en tu entorno de Jira y en Security Hub. Consulta la sección Cómo [probar las integraciones de venta de entradas configuradas para](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) obtener más información.
## Detalles adicionales de la integración con Jira
**Consideraciones de límites de velocidad**
Jira aplica los límites de velocidad de las API para mantener la estabilidad del servicio y garantizar un uso justo en toda su plataforma. Al utilizar la integración de AWS Security Hub con Jira, estos límites de frecuencia pueden afectar al procesamiento de las conclusiones del Security Hub, especialmente en entornos que generan grandes volúmenes de conclusiones. Esto puede retrasar la creación de los tickets y, en escenarios con volúmenes de búsquedas extremadamente altos, es posible que algunos hallazgos no se procesen en absoluto en los tickets de Jira. Para optimizar su integración, considere implementar filtros en las reglas de automatización en Security Hub para priorizar la emisión de tickets en función de los hallazgos más importantes, monitorear el uso de la API de Jira a través de su consola de administración y planificar su flujo de trabajo en función de los límites de velocidad específicos de su nivel de licencia de Jira. En el caso de las implementaciones fundamentales para la empresa, ponte en contacto con el administrador de Jira para revisar tus asignaciones de límites de tarifas.
Para obtener información detallada sobre los límites de velocidad de las API de Jira, consulta la documentación sobre límites de velocidad en el sitio web [de la Guía para desarrolladores](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) de Atlassian.
**Autenticación y seguridad**
La autenticación de la API de Jira requiere una configuración OAuth 2.0 adecuada para un acceso seguro. Asegúrate de que tu aplicación siga las prácticas recomendadas de seguridad de Atlassian para la integración de las API.
Recursos:
+ Jira Rest v3: APi [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Implementación de OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Administra las aplicaciones de Jira Cloud: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Administra los permisos de Jira: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Creación de un ticket para una integración de Jira Cloud
Después de crear una integración con Jira Cloud, puede crear un ticket para un resultado.
**nota**
Un resultado siempre permanece asociado a un único ticket durante todo su ciclo de vida. Todas las actualizaciones posteriores a un resultado después de su creación inicial se envían al mismo ticket. Si se modifica un conector asociado con una regla de automatización, solo se utilizará el conector actualizado para resultados nuevos y entrantes que coincidan con los criterios de la regla.
**Para crear un ticket para un resultado**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, en **Inventario**, elija **Resultados**.
1. Seleccione un resultado. En el resultado, elija **Crear ticket**.
1. En **Integración**, abra el menú desplegable y elija una integración. Esta integración es la misma que creó anteriormente cuando configuró el proyecto de Jira Cloud. Elija la integración a la que desea enviar los resultados.
1. Seleccione **Crear**.
# Visualización de un ticket de una integración de Jira Cloud
Después de crear un ticket para un resultado, puede abrir el ticket en la instancia de Jira Cloud.
**Para ver un resultado en la instancia de Jira Cloud**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, en **Inventario**, elija **Resultados**.
1. Elija el resultado donde creó el ticket.
1. En el resultado, elija el ID del ticket para ver el ticket en la instancia de Jira Cloud o seleccione **Ver JSON**.
# Integraciones para ServiceNow
En este tema, se describe cómo acceder a la consola de Security Hub para configurar una integración para ServiceNow ITSM. Antes de completar cualquiera de los procedimientos de este tema, debe tener una suscripción a ServiceNow ITSM antes de poder agregar esta integración. Para obtener más información, consulte la [página de precios](https://www.servicenow.com/lpgp/pricing-itsm.html) en el sitio web de ServiceNow.
Para las cuentas que forman parte de una organización, únicamente el administrador delegado puede configurar una integración. El administrador delegado puede usar manualmente la característica de creación de tickets para cualquier resultado de una cuenta de miembro. Además, el administrador delegado puede usar [reglas de automatización](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) para crear tickets de manera automática para cualquier resultado asociado a cuentas de miembro. Al definir una regla de automatización, el administrador delegado puede establecer criterios que incluyan todas las cuentas de miembro o cuentas de miembro específicas. Para obtener información sobre cómo configurar un administrador delegado, consulte [Configuración de una cuenta de administrador delegado en Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Para las cuentas que no forman parte de una organización, todas las funciones de esta característica están disponibles.
## Requisitos previos: configurar ServiceNow el entorno
Debe completar los siguientes requisitos previos antes de configurar una integración para ServiceNow ITSM. De lo contrario, la integración entre ServiceNow ITSM y Security Hub no funcionará.
### 1. Instalación de la integración de resultados de Security Hub para la Administración de servicios de TI (ITSM)
El siguiente procedimiento describe cómo instalar el complemento de Security Hub.
1. Inicie sesión en la instancia de ServiceNow ITSM y luego abra el navegador de aplicaciones.
1. Navegue hasta la [ServiceNow tienda.](https://store.servicenow.com/store)
1. Busque *Integración de resultados de Security Hub para la Administración de servicios de TI (ITSM)* y luego elija **Obtener** para instalar la aplicación.
**nota**
En la configuración de la aplicación de Security Hub, elija la acción que desea ejecutar cuando se envíen nuevos resultados de Security Hub al entorno de ServiceNow ITSM. Puede elegir **No hacer nada**, **Crear incidente**, **Crear problema** o **Crear ambos (incidente/problema)**.
### 2. Configure el tipo de concesión de credenciales de cliente para las solicitudes entrantes OAuth
Debe configurar este tipo de concesión para las solicitudes entrantes OAuth . Para obtener más información, consulte El [tipo de concesión de credenciales de cliente para Inbound OAuth se admite](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212) en la página web ServiceNow Support.
### 3. Crea una aplicación OAuth
Si ya ha creado una OAuth aplicación, puede omitir este requisito previo. Para obtener información sobre la creación de una OAuth aplicación, consulte [Configuración OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest).
## Requisitos previos: configurar AWS Secrets Manager
Para utilizar la integración de Security Hub con ServiceNow, las credenciales de la ServiceNow OAuth aplicación deben estar almacenadas en Secrets Manager. Almacenar sus credenciales en Secrets Manager le permite tener el control y la visibilidad del uso de las credenciales y, al mismo tiempo, permite que Security Hub utilice las credenciales para integrarse con su ServiceNow instancia. Para almacenar sus credenciales en Secrets Manager, debe usar una AWS KMS clave administrada por el cliente para proteger los secretos. Esta AWS KMS clave le permite proteger los secretos mientras están almacenados en reposo y también permite adjuntar una política a la clave que otorga a Security Hub permisos para acceder a la clave que protege el secreto.
Siga los siguientes pasos para configurar Secrets Manager para sus ServiceNow credenciales.
### Paso 1: Adjunte una política a su AWS KMS clave
Para configurar correctamente ServiceNow la integración, primero debe conceder permisos a Security Hub para usar la AWS KMS clave que se asociará a sus ServiceNow credenciales en Secrets Manager.
**Para modificar la política de AWS KMS claves para que Security Hub acceda a sus ServiceNow credenciales**
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiar la AWS región, utilice el selector de regiones situado en la esquina superior derecha de la página.
1. Selecciona una AWS KMS clave existente o sigue los pasos para [crear una clave nueva](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la Guía para *AWS KMS desarrolladores*.
1. En la sección **Key policy** (Política de claves), elija **Edit** (Editar).
1. Si aparece **Cambiar a la vista de políticas**, selecciónela para que aparezca la política clave y, a continuación, elija **Editar**.
1. Copia el siguiente bloque de políticas a tu política de AWS KMS claves para conceder permiso a Security Hub para usar tu clave.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Edite la política sustituyendo los siguientes valores en el ejemplo de política:
+ *your-account-id*Sustitúyalo por tu ID de AWS cuenta.
+ *your-region*Sustitúyalo por tu AWS región (por ejemplo,`us-east-1`).
1. Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de su política de AWS KMS claves sea válida.
1. Seleccione **Save**.
1. (Opcional) Copie la clave ARN en un bloc de notas para utilizarla en los pasos posteriores.
### Paso 2: Crea el secreto en Secrets Manager
Crea un secreto en Secrets Manager que almacenará tus ServiceNow credenciales. Security Hub accederá a este secreto cuando interactúe con su ServiceNow entorno.
Siga los pasos [para crear un secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) en la *Guía del AWS Secrets Manager usuario*. Tras crear el secreto, copia el ARN secreto, ya que lo necesitarás al crear el conector del Security Hub.
Al crear el secreto, asegúrese de configurar lo siguiente:
**Tipo de secreto**
Otro tipo de secreto
**Pares clave/valor (formato de texto sin formato)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
Los nombres de los campos deben ser exactos `ClientId` y `ClientSecret` (distinguen mayúsculas de minúsculas). Security Hub requiere estos nombres exactos para recuperar las credenciales.
**Clave de cifrado**
Use la AWS KMS clave que configuró en el paso 1
**Política de recursos**
Utilice la siguiente política de recursos:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Ahora que su secreto está configurado, puede crear un conector de Security Hub mediante la API o la AWS consola CreateConnector V2. Deberás proporcionar:
+ **InstanceName**: la URL de tu ServiceNow instancia (por ejemplo,`your-instance.service-now.com`)
+ **SecretArn**: El ARN del secreto que creó en este procedimiento
## Configuración de una integración para ServiceNow ITSM
Security Hub puede crear incidentes o problemas automáticamente en ServiceNow ITSM.
**Para configurar una integración para ServiceNow ITSM**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, elija **Administración** y luego seleccione **Integraciones**.
1. En **ServiceNow ITSM**, elija **Agregar integración**.
1. En **Detalles**, escriba un nombre para la integración y determine si desea incluir una descripción opcional para la integración.
1. En el **caso de los cifrados**, elija cómo quiere cifrar sus credenciales de integración en Security Hub.
+ **Usar AWS clave propia**: con esta opción, se utilizará una clave de servicio propiedad de Security Hub para cifrar los datos de las credenciales de integración en Security Hub.
+ **Elija una clave KMS diferente (avanzada)**: con esta opción, elige una AWS KMS key que haya creado y que desee utilizar para cifrar los datos de las credenciales de integración en Security Hub. Para obtener información sobre cómo crear una AWS KMS clave, consulte [Crear una AWS KMS clave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la Guía para * AWS Key Management Service desarrolladores*. Si decide usar su propia clave, debe agregar declaraciones de política a la clave de KMS que permitan a Security Hub acceder a la clave. Consulte [las políticas AWS KMS clave de las integraciones de venta de entradas de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) para obtener más información sobre las políticas necesarias.
**nota**
No podrá modificar estos ajustes una vez que complete esta configuración. Sin embargo, si elige **Clave personalizada**, puede editar la política de la clave personalizada en cualquier momento.
1. En el caso de **las credenciales**, introduzca su ServiceNow ITSM URL y el ARN del AWS Secrets Manager secreto que se generó en la sección de requisitos previos.
1. En **Etiquetas**, determine si desea crear y agregar una etiqueta opcional a la integración.
1. Seleccione **Add Integration**. Después de completar la configuración, puede ver las integraciones configuradas en la pestaña **Integraciones configuradas**.
Una vez que haya configurado su integración, ServiceNow puede probar la conexión para confirmar que todo está configurado correctamente en su ServiceNow entorno y en Security Hub. Consulte la sección Cómo [probar las integraciones de venta de entradas configuradas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) para obtener más información.
# Creación de un ticket para una integración de ServiceNow ITSM
Después de crear una integración con ServiceNow ITSM, puede crear un ticket para un resultado.
**nota**
Un resultado siempre permanece asociado a un único ticket durante todo su ciclo de vida. Todas las actualizaciones posteriores a un resultado después de su creación inicial se envían al mismo ticket. Si se modifica un conector asociado con una regla de automatización, solo se utilizará el conector actualizado para resultados nuevos y entrantes que coincidan con los criterios de la regla.
**Para crear un ticket para un resultado**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, en **Inventario**, elija **Resultados**.
1. Seleccione un resultado. En el resultado, elija **Crear ticket**.
1. En **Integración**, abra el menú desplegable y elija una integración.
1. Seleccione **Crear**.
# Visualización de un ticket de una integración de ServiceNow ITSM
Después de crear un ticket para un resultado, puede abrir el ticket en la instancia de ServiceNow ITSM.
**Para ver un resultado en la instancia de ServiceNow ITSM**
1. ¿Inicia sesión en tu AWS cuenta con tus credenciales y abre la consola de Security Hub en la [https://console.aws.amazon.com/securityhub/versión 2/home? región=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. En el panel de navegación, en **Inventario**, elija **Resultados**.
1. Elija el resultado donde creó el ticket.
1. En el resultado, elija el ID del ticket para ver el ticket en la instancia de ServiceNow ITSM o seleccione **Ver JSON**.
# Políticas clave de KMS para las integraciones de venta de entradas de Security Hub
Cuando se utilizan claves de KMS administradas por el cliente con integraciones de venta de entradas de Security Hub, es necesario añadir políticas adicionales a la clave de KMS para permitir que Security Hub interactúe con la clave. Además, es necesario agregar políticas que permitan al director que agrega la clave al conector del Security Hub tener permisos para acceder a la clave.
## Política de permisos de Security Hub
La siguiente política describe los permisos que Security Hub necesita para poder acceder y utilizar la clave KMS asociada a tu Jira y a tus ServiceNow conectores. Esta política debe agregarse a cada clave de KMS que esté asociada a un conector de Security Hub.
La política contiene los siguientes permisos:
+ Permite a Security Hub proteger, acceder temporalmente o actualizar los tokens utilizados para comunicarse con tus integraciones de venta de entradas mediante la clave. Los permisos se restringen a operaciones relacionadas con conectores específicos de Security Hub mediante el bloque de condición que verifica el ARN de origen y el contexto de cifrado.
+ Permite que Security Hub lea los metadatos sobre la clave KMS al permitir la `DescribeKey` operación. Este permiso es necesario para que Security Hub verifique el estado y la configuración de la clave. El acceso se restringe a conectores específicos de Security Hub mediante la condición del ARN de origen.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Edite la política sustituyendo los siguientes valores en el ejemplo de política:
+ *CloudProviderName*Sustitúyalo `JIRA_CLOUD` por o `SERVICENOW`
+ *AccountId*Sustitúyalo por el ID de cuenta en el que estás creando el conector del Security Hub.
+ *Region*Sustitúyalo por tu AWS región (por ejemplo,`us-east-1`).
## Acceso de entidad principal de IAM para operaciones de Security Hub
Cualquier director que vaya a asignar claves KMS administradas por el cliente a un conector de Security Hub debe tener permisos para realizar operaciones clave (describir, generar, descifrar, volver a cifrar y enumerar los alias) para la clave que se agrega al conector. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIsEsto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)se aplica a los campos y. La siguiente declaración de política debe incluirse como parte de la política de cualquier director que interactúe con ellos APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Edite la política sustituyendo los siguientes valores en el ejemplo de política:
+ *RoleName*Sustitúyalo por el nombre del rol de IAM que realiza las llamadas a Security Hub.
+ Reemplace *CloudProviderName* por `JIRA_CLOUD` o `SERVICENOW`.
+ *AccountId*Sustitúyalo por el ID de cuenta en el que estás creando el conector del Security Hub.
+ *Region*Sustitúyalo por tu AWS región (por ejemplo,`us-east-1`).
# Prueba de integraciones de venta de entradas configuradas
En el caso de Jira e ServiceNow integraciones configuradas, puedes probar la conexión para asegurarte de que toda la configuración de Security Hub y de tu Jira o ServiceNow entorno esté completa.
La función de tickets de prueba creará un ticket con un título de. `TESTING Test CreateTicketV2 Finding` El ticket de prueba se rellena con datos de muestra, como el ID de la cuenta y la región de la cuenta en la que se realiza la prueba, los detalles de los recursos de muestra y el ejemplo de AWS Finding JSON.
## Probar las integraciones mediante la consola
Siga los siguientes pasos para probar la integración:
1. En el panel de navegación de Security Hub, seleccione **Integraciones.**
1. En la pestaña **Integraciones configuradas**, elija la integración que desee probar.
1. En la página de información general de la integración, selecciona **Crear ticket de prueba**.
1. Si la prueba se realizó correctamente, aparecerá un mensaje de éxito junto con un enlace al ticket de prueba. Si la prueba no se ha realizado correctamente, aparecerá un mensaje de error. En función del mensaje de error, solucione los problemas de configuración en Security Hub o en su entorno de Jira o Service Now.
**nota**
La función de tickets de prueba tiene como objetivo ayudar a verificar la funcionalidad integral al configurar una nueva conexión o al realizar cambios en una conexión existente. Esta función creará un nuevo ticket en tu entorno de Jira o Service Now cada vez que la utilices y no está pensada para que se utilice para la verificación periódica de tu conexión.
## Probando con el AWS CLI
Para probar la integración mediante el AWS CLI, utilice el `create-ticket-v2` comando con el `--mode DRYRUN` parámetro:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Ejemplo**
El siguiente ejemplo muestra cómo probar una integración:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Respuesta correcta**
Una respuesta correcta devuelve lo siguiente:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
La `TicketSrcUrl` respuesta proporciona un enlace directo para ver el ticket de prueba en tu Jira o ServiceNow entorno.
Si la prueba falla, aparecerá un mensaje de error que indica el problema de configuración que debe solucionarse.
## Solución de errores de integración en la nube de Jira
Al probar tu integración a Jira Cloud desde Security Hub, pueden aparecer los siguientes mensajes de error. Estos mensajes de error pueden proporcionar información sobre dónde podría estar el problema de configuración del conector y cómo resolverlo.
**Mensajes de error de integración con Jira Cloud**
| Error | Mensaje de error | Causa probable y resolución |
| --- | --- | --- |
| ConflictException | No se puede encontrar el proyecto jira | **Causa probable:** el proyecto del conector es incorrecto o hay credentials/permissions un problema que nos impide acceder al proyecto. **Solución probable:** añade el proyecto correcto al conector o vuelve a autenticarte en Jira con las credenciales correctas. |
| ConflictException | No se encontró el tipo de problema de Security Hub | **Causa probable:** el problema o el tipo de problema de instalación de la aplicación no están asociados al proyecto. **Solución probable:** realiza el paso previo para instalar la aplicación de Jira en tu entorno de Jira y asociarla al proyecto. |