Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Integrasi dua arah AWS Security Hub CSPM dengan perangkat lunak Jira
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software"></a>

*Joaquin Rinaudo, Amazon Web Services*

## Ringkasan
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-summary"></a>

Solusi ini mendukung integrasi dua arah antara AWS Security Hub CSPM dan Jira. Dengan menggunakan solusi ini, Anda dapat secara otomatis dan manual membuat dan memperbarui tiket Jira dari temuan CSPM Security Hub. Tim keamanan dapat menggunakan integrasi ini untuk memberi tahu tim pengembang tentang temuan keamanan parah yang memerlukan tindakan.

Solusinya memungkinkan Anda untuk:
+ Pilih Security Hub CSPM yang mengontrol secara otomatis membuat atau memperbarui tiket di Jira.
+ Di konsol CSPM Security Hub, gunakan tindakan kustom CSPM Security Hub untuk meningkatkan tiket secara manual di Jira.
+ Secara otomatis menetapkan tiket di Jira berdasarkan Akun AWS tag yang ditentukan dalam. AWS Organizations Jika tag ini tidak didefinisikan, penerima tugas default digunakan.
+ Secara otomatis menekan temuan CSPM Security Hub yang ditandai sebagai positif palsu atau risiko yang diterima di Jira.
+ Secara otomatis menutup tiket JIRA ketika temuan terkait diarsipkan di Security Hub CSPM.
+ Buka kembali tiket Jira saat temuan CSPM Security Hub terulang kembali.

**Alur kerja Jira**

Solusinya menggunakan alur kerja Jira khusus yang memungkinkan pengembang mengelola dan mendokumentasikan risiko. Saat masalah bergerak melalui alur kerja, integrasi dua arah memastikan bahwa status tiket Jira dan temuan CSPM Security Hub disinkronkan di seluruh alur kerja di kedua layanan. [Alur kerja ini adalah turunan dari *Alur Kerja SecDevOps Risiko* oleh Dinis Cruz, berlisensi di bawah Lisensi Apache versi 2.0.](https://www.apache.org/licenses/LICENSE-2.0) Sebaiknya tambahkan kondisi alur kerja Jira sehingga hanya anggota tim keamanan Anda yang dapat mengubah status tiket.

![\[Diagram alur kerja dari masalah Jira. Anda dapat memperbaiki masalah, menerima risiko, atau menandainya sebagai positif palsu.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/10b08232-437e-4b0a-b6a5-b5ef4d415ac5.png)


Untuk contoh tiket Jira yang dibuat secara otomatis oleh solusi ini, lihat bagian [Informasi tambahan](#bidirectionally-integrate-aws-security-hub-with-jira-software-additional) dari pola ini.

## Prasyarat dan batasan
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-prereqs"></a>

**Prasyarat**
+ Jika Anda ingin menerapkan solusi ini di lingkungan multi-akun AWS :
  + Lingkungan multi-akun Anda aktif dan dikelola oleh AWS Organizations.
  + Security Hub CSPM diaktifkan pada Anda. Akun AWS
  + Di AWS Organizations, Anda telah menetapkan akun administrator CSPM Security Hub.
  + Anda memiliki peran lintas akun AWS Identity and Access Management (IAM) yang memiliki `AWSOrganizationsReadOnlyAccess` izin ke akun manajemen. AWS Organizations 
  + (Opsional) Anda telah menandai Anda Akun AWS dengan`SecurityContactID`. Tag ini digunakan untuk menetapkan tiket Jira ke kontak keamanan yang ditentukan.
+ Jika Anda ingin menerapkan solusi ini dalam satu Akun AWS:
  + Anda memiliki yang aktif Akun AWS.
  + Security Hub CSPM diaktifkan pada Anda. Akun AWS
+ Sebuah contoh Pusat Data Jira
**penting**  
Solusi ini mendukung penggunaan Jira Cloud. Namun, Jira Cloud tidak mendukung mengimpor alur kerja XHTML, jadi Anda perlu membuat ulang alur kerja secara manual di Jira. Anda dapat menemukan transisi dan status di GitHub repositori.
+ Izin administrator di Jira
+ Salah satu token Jira berikut:
  + Untuk Jira Enterprise, token akses pribadi (PAT). Untuk informasi selengkapnya, lihat [Menggunakan Token Akses Pribadi](https://confluence.atlassian.com/enterprise/using-personal-access-tokens-1026032365.html) (dukungan Atlassian).
  + Untuk Jira Cloud, token API Jira. Untuk informasi selengkapnya, lihat [Mengelola token API](https://support.atlassian.com/atlassian-account/docs/manage-api-tokens-for-your-atlassian-account/) (dukungan Atlassian).

## Arsitektur
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-architecture"></a>

Bagian ini menggambarkan arsitektur solusi dalam berbagai skenario, seperti ketika pengembang dan insinyur keamanan memutuskan untuk menerima risiko atau memutuskan untuk memperbaiki masalah.

*Skenario 1: Pengembang mengatasi masalah ini*

1. Security Hub CSPM menghasilkan temuan terhadap kontrol keamanan tertentu, seperti yang ada dalam standar Praktik [Terbaik Keamanan AWS Dasar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html).

1.  CloudWatch Acara Amazon yang terkait dengan temuan dan `CreateJIRA` tindakan memulai suatu AWS Lambda fungsi.

1. Fungsi Lambda menggunakan file konfigurasi dan `GeneratorId` bidang temuan untuk mengevaluasi apakah itu harus meningkatkan temuan.

1. Fungsi Lambda menentukan temuan harus ditingkatkan, ia memperoleh tag `SecurityContactID` akun dari AWS Organizations dalam akun manajemen. AWS ID ini dikaitkan dengan pengembang dan digunakan sebagai ID penerima hak untuk tiket Jira.

1. Fungsi Lambda menggunakan kredenal yang disimpan AWS Secrets Manager untuk membuat tiket di Jira. Jira memberi tahu pengembang.

1. Pengembang membahas temuan keamanan yang mendasarinya dan, di Jira, mengubah status tiket ke`TEST FIX`.

1. Security Hub CSPM memperbarui temuan sebagai`ARCHIVED`, dan acara baru dihasilkan. Peristiwa ini menyebabkan fungsi Lambda menutup tiket Jira secara otomatis.

![\[Diagram arsitektur yang menunjukkan integrasi Jira dan Security Hub saat pengembang memperbaiki masalah.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/18d9a6ce-dd38-4d36-a95d-270fce776c30.png)


*Skenario 2: Pengembang memutuskan untuk menerima risiko*

1. Security Hub CSPM menghasilkan temuan terhadap kontrol keamanan tertentu, seperti yang ada dalam standar Praktik [Terbaik Keamanan AWS Dasar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html).

1.  CloudWatch Peristiwa yang terkait dengan temuan dan `CreateJIRA` tindakan memulai fungsi Lambda.

1. Fungsi Lambda menggunakan file konfigurasi dan `GeneratorId` bidang temuan untuk mengevaluasi apakah itu harus meningkatkan temuan.

1. Fungsi Lambda menentukan temuan harus ditingkatkan, ia memperoleh tag `SecurityContactID` akun dari AWS Organizations dalam akun manajemen. AWS ID ini dikaitkan dengan pengembang dan digunakan sebagai ID penerima hak untuk tiket Jira.

1. Fungsi Lambda menggunakan kredensi yang disimpan di Secrets Manager untuk membuat tiket di Jira. Jira memberi tahu pengembang.

1. Pengembang memutuskan untuk menerima risiko dan, di Jira, mengubah status tiket ke`AWAITING RISK ACCEPTANCE`.

1. Insinyur keamanan meninjau permintaan dan menemukan pembenaran bisnis yang tepat. Insinyur keamanan mengubah status tiket Jira menjadi`ACCEPTED RISK`. Ini menutup tiket Jira.

1. Acara CloudWatch harian memulai fungsi penyegaran Lambda, yang mengidentifikasi tiket Jira yang ditutup dan memperbarui temuan CSPM Security Hub terkait sebagai. `SUPPRESSED`

![\[Diagram arsitektur yang menunjukkan integrasi Jira dan Security Hub ketika pengembang menerima risiko temuan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/d5a2f946-9c79-4661-96c1-74c813cbf406.png)


## Alat
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-tools"></a>

**Layanan AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)membantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan Wilayah.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) membantu Anda memantau peristiwa sistem untuk AWS sumber daya Anda dengan menggunakan aturan untuk mencocokkan peristiwa dan meruteknya ke fungsi atau aliran.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)membantu Anda mengganti kredensi hardcode dalam kode Anda, termasuk kata sandi, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.

**Repositori kode**

Kode untuk pola ini tersedia di GitHub, di repositori [aws-securityhub-jira-software-integration](https://github.com/aws-samples/aws-securityhub-jira-software-integration/). Ini termasuk kode sampel dan alur kerja Jira untuk solusi ini.

## Epik
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-epics"></a>

### Konfigurasikan Jira
<a name="configure-jira"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Impor alur kerja. | Sebagai administrator di Jira, impor `issue-workflow.xml` file ke instance Pusat Data Jira Anda. Jika Anda menggunakan Jira Cloud, Anda perlu membuat alur kerja sesuai dengan file `assets/jira-cloud-transitions.png` dan`assets/jira-cloud-status.png`. File dapat ditemukan di repositori [aws-securityhub-jira-software-integration](https://github.com/aws-samples/aws-securityhub-jira-software-integration/) di. GitHub Untuk petunjuk, lihat [Menggunakan XMLuntuk membuat alur kerja](https://confluence.atlassian.com/adminjiraserver/using-xml-to-create-a-workflow-938847525.html) (dokumentasi Jira). | Administrator Jira | 
| Aktifkan dan tetapkan alur kerja. | Alur kerja tidak aktif sampai Anda menetapkannya ke skema alur kerja. Anda kemudian menetapkan skema alur kerja untuk sebuah proyek.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | Administrator Jira | 

### Siapkan parameter solusi
<a name="set-up-the-solution-parameters"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Konfigurasikan parameter solusi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | Administrator sistem AWS | 
| Identifikasi temuan yang ingin Anda otomatiskan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) |  | 
| Tambahkan temuan ke file konfigurasi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html)Contoh kode berikut menunjukkan otomatisasi `aws-foundational-security-best-practices/v/1.0.0/SNS.1` dan `aws-foundational-security-best-practices/v/1.0.0/S3.1` temuan.<pre>{<br />    "Controls" : {<br />        "eu-west-1": [<br />         "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22" <br />     ],<br />        "default": [<br />aws-foundational-security-best-practices/v/1.0.0/SNS.1,<br />aws-foundational-security-best-practices/v/1.0.0/S3.1<br />     ]<br />    } <br /> }</pre>Anda dapat memilih untuk mengotomatiskan temuan yang berbeda untuk masing-masing Wilayah AWS. Praktik yang baik untuk membantu mencegah temuan duplikat adalah memilih satu Wilayah untuk mengotomatiskan pembuatan kontrol yang terkait dengan IAM. | Administrator sistem AWS | 

### Menyebarkan integrasi
<a name="deploy-the-integration"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Menyebarkan integrasi. | Di terminal baris perintah, masukkan perintah berikut:<pre>./deploy.sh prod</pre> | Administrator sistem AWS | 
| Unggah kredensi Jira ke Secrets Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | Administrator sistem AWS | 
| Buat tindakan kustom CSPM Security Hub. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | Administrator sistem AWS | 

## Sumber daya terkait
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-resources"></a>
+ [AWS Konektor Manajemen Layanan untuk Manajemen Layanan Jira](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)
+ [AWS Standar Praktik Terbaik Keamanan Dasar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)

## Informasi tambahan
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-additional"></a>

**Contoh tiket Jira**

Ketika temuan CSPM Security Hub tertentu terjadi, solusi ini secara otomatis membuat tiket Jira. Tiket termasuk informasi berikut:
+ **Judul** - Judul mengidentifikasi masalah keamanan dalam format berikut:

  ```
  AWS Security Issue :: <AWS account ID> :: <Security Hub finding title>
  ```
+ **Deskripsi** — Bagian deskripsi tiket menjelaskan kontrol keamanan yang terkait dengan temuan, menyertakan tautan ke temuan di konsol CSPM Security Hub, dan memberikan deskripsi singkat tentang cara menangani masalah keamanan dalam alur kerja Jira.

Berikut ini adalah contoh tiket Jira yang dibuat secara otomatis.


|  | 
| --- |
| judul | AWS Masalah Keamanan:: 012345678912:: Lambda.1 Kebijakan fungsi Lambda harus melarang akses publik. | 
| --- |--- |
| **Deskripsi** | **Apa masalahnya?** Kami mendeteksi temuan keamanan dalam Akun AWS 012345678912 yang menjadi tanggung jawab Anda.Kontrol ini memeriksa apakah kebijakan AWS Lambda fungsi yang dilampirkan pada sumber daya Lambda melarang akses publik. Jika kebijakan fungsi Lambda mengizinkan akses publik, kontrol gagal.<Link to Security Hub CSPM finding>**Apa yang harus saya lakukan dengan tiket?**Akses akun dan verifikasi konfigurasi. Akui mengerjakan tiket dengan memindahkannya ke “Dialokasikan untuk Perbaikan”. Setelah diperbaiki, dipindahkan ke perbaikan pengujian sehingga keamanan memvalidasi masalah ditangani.Jika Anda berpikir risiko harus diterima, pindahkan ke “Menunggu Penerimaan Risiko”. Ini akan membutuhkan peninjauan oleh insinyur keamanan.Jika Anda berpikir positif palsu, transisikan ke “Tandai sebagai Positif Palsu”. Ini akan ditinjau oleh insinyur keamanan dan reopened/closed karenanya. |