Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Integrasi pihak ketiga untuk Security Hub
Anda dapat meningkatkan postur keamanan Anda dengan integrasi pihak ketiga untuk AWS Security Hub. Dengan fitur ini, Anda dapat mengaktifkan integrasi yang menggunakan temuan dari Security Hub, memungkinkan Anda untuk menggabungkan alat operasional, investigasi, dan respons Anda dengan Security Hub. Saat ini Security Hub mendukung integrasi dengan Jira Cloud danServiceNow.
**Topics**
+ [
# Integrasi untuk AWS Security Hub Jira Cloud
](jiracloud.md)
+ [
# Integrasi untuk ServiceNow
](servicenow.md)
+ [
# Kebijakan utama KMS untuk integrasi tiket Security Hub
](securityhub-v2-integrations-key-policy.md)
+ [
# Menguji integrasi tiket yang dikonfigurasi
](securityhub-v2-test-ticket-integration.md)
# Integrasi untuk AWS Security Hub Jira Cloud
Topik ini menjelaskan cara berintegrasi denganJira Cloud. Sebelum menyelesaikan salah satu prosedur dalam topik ini, Anda harus membeli paket Jira Cloud berlangganan. Untuk informasi tentang paket berlangganan, lihat [Harga](https://www.atlassian.com/software/jira/pricing) di Atlassian situs web.
Integrasi ini memungkinkan Anda mengirim temuan Security Hub ke Jira Cloud, secara manual atau otomatis, sehingga Anda dapat mengelolanya sebagai bagian dari alur kerja operasional Anda. Misalnya, Anda dapat menetapkan kepemilikan untuk masalah yang memerlukan penyelidikan dan remediasi.
Untuk akun dalam organisasi, hanya administrator yang didelegasikan yang dapat mengonfigurasi integrasi. Administrator yang didelegasikan dapat menggunakan fitur buat tiket secara manual untuk setiap temuan akun anggota. Selain itu, administrator yang didelegasikan dapat menggunakan [aturan otomatisasi](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) untuk secara otomatis membuat tiket untuk temuan apa pun yang terkait dengan akun anggota. Saat menentukan aturan otomatisasi, administrator yang didelegasikan dapat menetapkan kriteria, yang dapat mencakup semua akun anggota atau akun anggota tertentu. Untuk informasi tentang menyetel administrator yang didelegasikan, lihat [Menyetel akun administrator yang didelegasikan di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Untuk akun yang tidak ada dalam organisasi, semua aspek fitur ini tersedia.
## Prasyarat
Sebelum menghubungkan Security Hub dengan Jira Cloud lingkungan Anda, Anda harus memastikan bahwa langkah-langkah konfigurasi berikut dilakukan di lingkungan Jira Anda.
+ Instal AWS Security Hub untuk aplikasi cloud Jira.
+ Memiliki setidaknya satu proyek pengembangan perangkat lunak yang dikelola perusahaan.
+ Tetapkan AWS aplikasi ke proyek pengembangan perangkat lunak yang ingin Anda terima temuan dari Security Hub.
Langkah-langkah untuk masing-masing prasyarat ini tercantum di bawah ini.
### 1. Instal AWS Security Hub untuk Jira Cloud aplikasi
Security Hub memiliki aplikasi untuk mendukung integrasinya dengan Jira. Aplikasi ini menginstal bidang khusus dan jenis masalah khusus yang memungkinkan Security Hub b untuk mengisi atribut tertentu tentang temuan Security Hub.
1. Masuk ke Atlassian situs Anda sebagai administrator.
1. Pilih **Pengaturan**, dan pilih **Aplikasi**.
1. Jika diarahkan ke halaman marketplace, pilih **Temukan aplikasi baru**. Jika diarahkan ke halaman aplikasi, pilih **Jelajahi aplikasi**, lalu cari *AWS Security Hub Jira Cloud*. Kemudian pilih **Dapatkan sekarang**.
### 2. Buat proyek atau verifikasi proyek yang ada
Langkah ini diperlukan jika Anda belum membuat proyek. Untuk informasi tentang cara membuat proyek, lihat [Membuat proyek baru](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/) dalam Jira Cloud Support dokumentasi.
**Persyaratan untuk membuat proyek**
Pastikan untuk melakukan hal berikut saat membuat proyek baru.
+ Pilih **Pengembangan perangkat lunak** untuk template proyek.
+ Pilih **yang dikelola perusahaan** untuk jenis proyek.
**Persyaratan untuk proyek yang ada**
Setiap proyek yang ada di lingkungan Jira Anda, yang akan diintegrasikan dengan Security Hub, harus merupakan jenis proyek yang dikelola **Perusahaan**.
### 3. Menambahkan proyek Anda ke AWS Security Hub for Jira Cloud app
Agar Security Hub berhasil mengirim temuan ke lingkungan Jira Anda, setiap proyek yang ingin Anda gunakan dengan Security Hub harus dikaitkan dengan AWS Security Hub for Jira Cloud app. Mengaitkan proyek Jira dengan aplikasi memastikan bahwa bidang khusus yang diperlukan terkait dengan proyek dan dapat diisi saat Security Hub mengirimkan temuan ke proyek.
1. Masuk ke Atlassian situs Anda sebagai administrator.
1. Pilih **Pengaturan**, dan pilih **Aplikasi**.
1. Dari daftar aplikasi, pilih **AWS Security Hub untuk Jira Cloud**.
1. Pilih tab **Pengaturan konektor**.
1. Di bawah **Proyek diaktifkan**, pilih **Tambahkan Proyek Jira**.
1. Dari dropdown, pilih **Tambahkan semua**, atau pilih proyek. Ulangi bagian langkah ini jika Anda ingin menambahkan lebih dari satu proyek, tetapi tidak semua proyek.
1. Pilih **Simpan**.
Anda dapat memverifikasi proyek mana yang telah berhasil diinstal dari tab **Manajer Instalasi**. Anda juga dapat memverifikasi konfigurasi untuk bidang, layar, status, dan alur kerja dari tab Manajer **Instalasi**.
Untuk informasi tambahan mengenaiJira Cloud, lihat [Jira Cloudsumber daya](https://support.atlassian.com/jira-software-cloud/resources/) di Atlassian situs web.
## Rekomendasi
**Membuat akun sistem khusus untuk lingkungan Jira Anda**
Integrasi Security Hub dengan Jira Cloud menggunakan OAuth koneksi yang terkait dengan pengguna tertentu dalam instans Jira Anda. Membuat akun sistem khusus untuk digunakan untuk OAuth koneksi Security Hub Anda disarankan untuk koneksi Anda karena alasan berikut:
+ Pengguna sistem khusus memastikan bahwa koneksi tidak terkait dengan karyawan yang izin ke lingkungan Jira dapat berubah seiring waktu, memengaruhi kemampuan Security Hub untuk berintegrasi dengan lingkungan Jira Anda.
+ Setiap masalah yang dibuat Security Hub di Jira akan menunjukkan nama pengguna yang dibuat oleh itu adalah nama pengguna yang digunakan untuk membuat OAuth koneksi. Menggunakan akun sistem untuk OAuth koneksi akan menghasilkan akun sistem ini ditampilkan sebagai pembuat tiket, membantu memberikan visibilitas bahwa temuan itu dibuat melalui integrasi Security Hub dan tidak secara manual oleh pengguna Jira lain.
## Konfigurasikan integrasi antara Security Hub dan Jira Cloud
Prosedur berikut harus diselesaikan untuk setiap Jira Cloud proyek yang ingin Anda kirimi temuan Security Hub.
**catatan**
Saat Anda membuat Jira Cloud konektor, Anda dialihkan dari arus Wilayah AWS ke`"https://3rdp.oauth.console.api.aws"`, sehingga Anda dapat menyelesaikan pendaftaran konektor. Setelah itu, Anda dikembalikan ke Wilayah AWS tempat konektor sedang dibuat.
**Untuk mengkonfigurasi integrasi untuk Jira Cloud**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, pilih **Manajemen**, lalu pilih **Integrasi**.
1. Pilih **TambahkanJira Cloud**.
1. Untuk **Detail**, masukkan nama unik dan deskriptif untuk integrasi Anda, dan tentukan apakah akan memasukkan deskripsi opsional untuk integrasi Anda.
1. Untuk **Enkripsi pilih bagaimana Anda ingin mengenkripsi kredensi** integrasi Anda dalam Security Hub.
+ **Gunakan kunci yang AWS dimiliki** - Dengan opsi ini, kunci layanan milik Security Hub akan digunakan untuk mengenkripsi data kredensi integrasi Anda dalam Security Hub.
+ **Pilih kunci KMS yang berbeda (lanjutan)** - Dengan opsi ini Anda memilih AWS KMS key yang telah Anda buat yang ingin Anda gunakan untuk mengenkripsi data kredensi integrasi Anda dalam Security Hub. Untuk informasi tentang cara membuat AWS KMS kunci, lihat [Membuat AWS KMS kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*. Jika Anda memilih untuk menggunakan kunci Anda sendiri, Anda harus menambahkan pernyataan kebijakan ke kunci KMS yang memungkinkan akses Security Hub ke kunci tersebut. Lihat [kebijakan AWS KMS utama untuk integrasi tiket Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) untuk detail tentang kebijakan yang diperlukan.
**catatan**
Anda tidak dapat mengubah pengaturan ini setelah Anda menyelesaikan konfigurasi ini. Namun, Jika Anda memilih **Kunci yang disesuaikan**, Anda dapat mengedit kebijakan kunci yang disesuaikan kapan saja.
1. (Opsional) Untuk **Tag**, buat dan tambahkan tag ke integrasi Anda. Anda dapat menambahkan hingga 50 tag.
1. Untuk **Otorisasi**, pilih **Buat konektor dan otorisasi**. Muncul pop-up di mana Anda memilih **Izinkan** untuk menyelesaikan otorisasi. Setelah Anda menyelesaikan otorisasi, kotak centang muncul memberi tahu Anda bahwa otorisasi berhasil.
1. Untuk **Konfigurasi**, masukkan ID Jira Cloud proyek.
1. Pilih **Konfigurasi lengkap**. Setelah Anda menyelesaikan konfigurasi, Anda dapat melihat integrasi yang dikonfigurasi di tab Integrasi yang **dikonfigurasi.**
Setelah Anda mengonfigurasi integrasi Anda dengan Jira, Anda dapat menguji koneksi untuk mengonfirmasi bahwa semuanya dikonfigurasi dengan benar di lingkungan Jira Anda dan di Security Hub. Lihat [Menguji integrasi tiket yang dikonfigurasi untuk detail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) selengkapnya.
## Detail integrasi Jira tambahan
**Pertimbangan batas tarif**
Jira memberlakukan batas tarif API untuk menjaga stabilitas layanan dan memastikan penggunaan yang adil di seluruh platform mereka. Saat menggunakan integrasi AWS Security Hub dengan Jira, batas tarif ini dapat memengaruhi pemrosesan temuan Security Hub, terutama di lingkungan yang menghasilkan volume temuan yang tinggi. Hal ini dapat mengakibatkan pembuatan tiket tertunda, dan dalam skenario dengan volume temuan yang sangat tinggi, beberapa temuan mungkin tidak diproses menjadi tiket Jira sama sekali. Untuk mengoptimalkan integrasi Anda, pertimbangkan untuk menerapkan filter pada aturan Otomasi di Security Hub untuk memprioritaskan tiket pada temuan yang paling penting, memantau penggunaan API Jira Anda melalui konsol admin mereka, dan merencanakan alur kerja Anda berdasarkan batas tarif spesifik tingkat lisensi Jira Anda. Untuk implementasi bisnis yang penting, hubungi administrator Jira Anda untuk meninjau alokasi batas tarif Anda.
Untuk informasi terperinci tentang batas tarif API Jira, lihat dokumentasi [pembatasan tarif di situs web](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) Atlassian Developers Guide.
**Otentikasi dan keamanan**
Otentikasi API JIRA memerlukan konfigurasi OAuth 2.0 yang tepat untuk akses yang aman. Pastikan aplikasi Anda mengikuti praktik terbaik keamanan Atlassian untuk integrasi API.
Sumber Daya:
+ Jira Istirahat APi v3: [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Menerapkan OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Kelola aplikasi Jira Cloud: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Kelola izin Jira: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Membuat tiket untuk Jira Cloud integrasi
Setelah Anda membuat integrasi denganJira Cloud, Anda dapat membuat tiket untuk temuan.
**catatan**
Temuan akan selalu dikaitkan dengan satu tiket melalui seluruh siklus hidupnya. Semua pembaruan berikutnya untuk temuan setelah pembuatan awal akan dikirim ke tiket yang sama. Jika konektor yang terkait dengan aturan otomatisasi diubah, konektor yang diperbarui hanya akan digunakan untuk temuan baru dan masuk yang sesuai dengan kriteria aturan.
**Untuk membuat tiket untuk temuan**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, di bawah **Inventaris**, pilih **Temuan**.
1. Pilih temuan. Dalam temuan, pilih **Buat tiket**.
1. Untuk **Integrasi**, buka menu dropdown, dan pilih integrasi. Integrasi ini adalah integrasi yang sebelumnya Anda buat saat Anda mengonfigurasi Jira Cloud proyek. Pilih integrasi di mana Anda ingin temuan dikirim.
1. Pilih **Buat**.
# Melihat tiket untuk Jira Cloud integrasi
Setelah Anda membuat tiket untuk temuan, Anda dapat membuka tiket pada Jira Cloud instans Anda.
**Untuk melihat temuan pada Jira Cloud instans Anda**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, di bawah **Inventaris**, pilih **Temuan**.
1. Pilih temuan tempat Anda membuat tiket.
1. Dalam temuan, pilih ID tiket untuk melihat tiket pada Jira Cloud instans Anda atau **Lihat JSON**.
# Integrasi untuk ServiceNow
Topik ini menjelaskan cara mengakses konsol Security Hub untuk mengonfigurasi integrasiServiceNow ITSM. Sebelum menyelesaikan salah satu prosedur dalam topik ini, Anda harus berlangganan ServiceNow ITSM sebelum Anda dapat menambahkan integrasi ini. Untuk informasi lebih lanjut, lihat [halaman harga](https://www.servicenow.com/lpgp/pricing-itsm.html) di ServiceNow situs web.
Untuk akun dalam organisasi, hanya administrator yang didelegasikan yang dapat mengonfigurasi integrasi. Administrator yang didelegasikan dapat menggunakan fitur buat tiket secara manual untuk setiap temuan akun anggota. Selain itu, administrator yang didelegasikan dapat menggunakan [aturan otomatisasi](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) untuk secara otomatis membuat tiket untuk temuan apa pun yang terkait dengan akun anggota. Saat menentukan aturan otomatisasi, administrator yang didelegasikan dapat menetapkan kriteria, yang dapat mencakup semua akun anggota atau akun anggota tertentu. Untuk informasi tentang menyetel administrator yang didelegasikan, lihat [Menyetel akun administrator yang didelegasikan di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Untuk akun yang tidak ada dalam organisasi, semua aspek fitur ini tersedia.
## Prasyarat - konfigurasikan lingkungan ServiceNow
Anda harus menyelesaikan prasyarat berikut sebelum mengonfigurasi integrasi untuk. ServiceNow ITSM Jika tidak, integrasi antara ServiceNow ITSM dan Security Hub Anda tidak akan berfungsi.
### 1. Instal integrasi Security Hubfindings untuk IT Service Management (ITSM)
Prosedur berikut menjelaskan cara menginstal plugin Security Hub.
1. Masuk ke ServiceNow ITSM instance Anda, lalu buka navigator aplikasi.
1. Arahkan ke [ServiceNow Toko](https://store.servicenow.com/store).
1. Cari *integrasi temuan Security Hub untuk IT Service Management (ITSM)*, lalu pilih **Dapatkan** untuk menginstal aplikasi.
**catatan**
Dalam pengaturan untuk aplikasi Security Hub, pilih tindakan yang akan diambil ketika temuan Security Hub baru dikirim ke ServiceNow ITSM lingkungan Anda. Anda dapat memilih **Tidak melakukan apa-apa**, **Buat insiden**, **Buat masalah**, atau **Buat keduanya (insiden/masalah**).
### 2. Konfigurasikan jenis hibah Kredensial Klien untuk permintaan masuk OAuth
Anda harus mengonfigurasi jenis hibah ini untuk OAuth permintaan masuk. Untuk informasi selengkapnya, lihat [Jenis hibah Kredensial Klien untuk Inbound OAuth didukung](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212) di halaman web SupportServiceNow.
### 3. Buat OAuth aplikasi
Jika Anda sudah membuat OAuth aplikasi, Anda dapat melewati prasyarat ini. Untuk informasi tentang membuat OAuth aplikasi, lihat [Menyiapkan OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest).
## Prasyarat - konfigurasikan AWS Secrets Manager
Untuk menggunakan integrasi Security Hub ServiceNow, kredensil untuk ServiceNow OAuth aplikasi Anda harus disimpan di Secrets Manager. Menyimpan kredensil Anda di Secrets Manager memungkinkan Anda memiliki kontrol dan visibilitas dalam penggunaan kredensil sekaligus memungkinkan Security Hub menggunakan kredensil untuk diintegrasikan dengan instans Anda. ServiceNow Untuk menyimpan kredensil Anda di Secrets Manager, Anda harus menggunakan AWS KMS kunci yang dikelola pelanggan untuk melindungi rahasia. AWS KMS Kunci ini memungkinkan Anda untuk melindungi rahasia saat disimpan saat diam dan juga memungkinkan kebijakan dilampirkan ke kunci yang memberikan izin Security Hub untuk mengakses kunci yang melindungi rahasia.
Gunakan langkah-langkah berikut untuk mengonfigurasi Secrets Manager untuk ServiceNow kredensil Anda.
### Langkah 1: Lampirkan kebijakan ke AWS KMS kunci Anda
Agar berhasil mengonfigurasi ServiceNow integrasi, Anda harus terlebih dahulu memberikan izin Security Hub untuk menggunakan AWS KMS kunci yang akan dikaitkan dengan ServiceNow kredensil Anda di Secrets Manager.
**Untuk mengubah kebijakan AWS KMS utama Security Hub untuk mengakses ServiceNow kredensil Anda**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah AWS Region, gunakan pemilih Region di sudut kanan atas halaman.
1. Pilih AWS KMS kunci yang ada atau lakukan langkah-langkah untuk [Membuat kunci baru](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS KMS Pengembang*.
1. Di bagian **Kebijakan kunci**, pilih **Edit**.
1. Jika **Beralih ke tampilan kebijakan** ditampilkan, pilih untuk menampilkan Kebijakan kunci, lalu pilih **Edit**.
1. Salin blok kebijakan berikut ke kebijakan AWS KMS utama Anda, untuk memberikan izin Security Hub untuk menggunakan kunci Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:
+ Ganti *your-account-id* dengan ID AWS akun Anda.
+ Ganti *your-region* dengan AWS wilayah Anda (misalnya,`us-east-1`).
1. Jika Anda menambahkan pernyataan kebijakan sebelum pernyataan akhir, tambahkan koma sebelum menambahkan pernyataan ini. Pastikan bahwa sintaks JSON kebijakan AWS KMS kunci Anda valid.
1. Pilih **Simpan**.
1. (Opsional) Salin kunci ARN ke notepad untuk digunakan pada langkah selanjutnya.
### Langkah 2: Buat rahasia di Secrets Manager
Buat rahasia di Secrets Manager yang akan menyimpan ServiceNow kredensialmu. Security Hub akan mengakses rahasia ini saat berinteraksi dengan ServiceNow lingkungan Anda.
Ikuti langkah-langkahnya [Untuk membuat rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) di *Panduan AWS Secrets Manager Pengguna*. Setelah Anda membuat rahasia Anda, salin ARN Rahasia karena Anda akan membutuhkannya saat membuat konektor Security Hub Anda.
Saat membuat rahasia, pastikan Anda mengonfigurasi yang berikut:
**Tipe rahasia**
Jenis rahasia lainnya
**Pasangan kunci/nilai (format Plaintext)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
Nama bidang harus tepat `ClientId` dan `ClientSecret` (peka huruf besar/kecil). Security Hub memerlukan nama-nama yang tepat ini untuk mengambil kredensialnya.
**Kunci enkripsi**
Gunakan AWS KMS kunci yang Anda konfigurasikan pada Langkah 1
**Kebijakan sumber daya**
Gunakan kebijakan sumber daya berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Setelah rahasia Anda dikonfigurasi, Anda dapat membuat konektor Security Hub menggunakan CreateConnector V2 API atau AWS Console. Anda harus menyediakan:
+ **InstanceName**: URL ServiceNow contoh Anda (misalnya,`your-instance.service-now.com`)
+ **SecretArn**: ARN rahasia yang Anda buat dalam prosedur ini
## Konfigurasikan integrasi untuk ServiceNow ITSM
Security Hub dapat membuat insiden atau masalah secara otomatis masukServiceNow ITSM.
**Untuk mengkonfigurasi integrasi untuk ServiceNow ITSM**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, pilih **Manajemen**, lalu pilih **Integrasi**.
1. Di bawah **ServiceNow ITSM**, pilih **Tambahkan integrasi**.
1. Untuk **Detail**, masukkan nama untuk integrasi Anda, dan tentukan apakah akan memasukkan deskripsi opsional untuk integrasi Anda.
1. Untuk **Enkripsi pilih bagaimana Anda ingin mengenkripsi kredensi** integrasi Anda dalam Security Hub.
+ **Gunakan kunci yang AWS dimiliki** - Dengan opsi ini, kunci layanan milik Security Hub akan digunakan untuk mengenkripsi data kredensi integrasi Anda dalam Security Hub.
+ **Pilih kunci KMS yang berbeda (lanjutan)** - Dengan opsi ini Anda memilih AWS KMS key yang telah Anda buat yang ingin Anda gunakan untuk mengenkripsi data kredensi integrasi Anda dalam Security Hub. Untuk informasi tentang cara membuat AWS KMS kunci, lihat [Membuat AWS KMS kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*. Jika Anda memilih untuk menggunakan kunci Anda sendiri, Anda harus menambahkan pernyataan kebijakan ke kunci KMS yang memungkinkan akses Security Hub ke kunci tersebut. Lihat [kebijakan AWS KMS utama untuk integrasi tiket Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) untuk detail tentang kebijakan yang diperlukan.
**catatan**
Anda tidak dapat mengubah pengaturan ini setelah Anda menyelesaikan konfigurasi ini. Namun, Jika Anda memilih **Kunci yang disesuaikan**, Anda dapat mengedit kebijakan kunci yang disesuaikan kapan saja.
1. Untuk **Kredensil**, masukkan ServiceNow ITSM URL Anda, dan ARN AWS Secrets Manager rahasia Anda yang dihasilkan di bagian prasyarat.
1. Untuk **Tag**, tentukan apakah akan membuat dan menambahkan tag opsional ke integrasi Anda.
1. Pilih **Tambahkan integrasi**. Setelah Anda menyelesaikan konfigurasi, Anda dapat melihat integrasi yang dikonfigurasi di tab Integrasi yang **dikonfigurasi.**
Setelah Anda mengonfigurasi integrasi Anda dengan ServiceNow Anda dapat menguji koneksi untuk mengonfirmasi bahwa semuanya dikonfigurasi dengan benar di ServiceNow lingkungan Anda dan di Security Hub. Lihat [Menguji integrasi tiket yang dikonfigurasi untuk detail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) selengkapnya.
# Membuat tiket untuk ServiceNow ITSM integrasi
Setelah Anda membuat integrasi denganServiceNow ITSM, Anda dapat membuat tiket untuk temuan.
**catatan**
Temuan akan selalu dikaitkan dengan satu tiket melalui seluruh siklus hidupnya. Semua pembaruan berikutnya untuk temuan setelah pembuatan awal akan dikirim ke tiket yang sama. Jika konektor yang terkait dengan aturan otomatisasi diubah, konektor yang diperbarui hanya akan digunakan untuk temuan baru dan masuk yang sesuai dengan kriteria aturan.
**Untuk membuat tiket untuk temuan**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, di bawah **Inventaris**, pilih **Temuan**.
1. Pilih temuan. Dalam temuan, pilih **Buat tiket**.
1. Untuk **Integrasi**, buka menu dropdown, dan pilih integrasi.
1. Pilih **Buat**.
# Melihat tiket untuk ServiceNow ITSM integrasi
Setelah Anda membuat tiket untuk temuan, Anda dapat membuka tiket pada ServiceNow ITSM instans Anda.
**Untuk melihat temuan pada ServiceNow ITSM instans Anda**
1. [Masuk ke AWS akun Anda dengan kredensil Anda, dan buka konsol Security Hub di https://console.aws.amazon.com/securityhub/ v2/home? wilayah=us-timur-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. Dari panel navigasi, di bawah **Inventaris**, pilih **Temuan**.
1. Pilih temuan tempat Anda membuat tiket.
1. Dalam temuan, pilih ID tiket untuk melihat tiket pada ServiceNow ITSM instans Anda atau **Lihat JSON**.
# Kebijakan utama KMS untuk integrasi tiket Security Hub
Saat menggunakan kunci KMS yang dikelola pelanggan dengan integrasi tiket Security Hub, kebijakan tambahan perlu ditambahkan ke kunci KMS untuk memungkinkan Security Hub berinteraksi dengan kunci tersebut. Selain itu, kebijakan perlu ditambahkan yang memungkinkan prinsipal yang menambahkan kunci ke izin konektor Security Hub untuk mengakses kunci.
## Kebijakan izin Security Hub
Kebijakan berikut menguraikan izin yang dibutuhkan Security Hub untuk dapat mengakses dan menggunakan kunci KMS yang terkait dengan Jira dan konektor Anda. ServiceNow Kebijakan ini perlu ditambahkan ke setiap kunci KMS yang terkait dengan konektor Security Hub.
Kebijakan ini berisi izin berikut:
+ Memungkinkan Security Hub untuk melindungi, akses sementara, atau menyegarkan token yang digunakan untuk berkomunikasi dengan integrasi tiket Anda, menggunakan kunci. Izin dibatasi untuk operasi yang terkait dengan konektor Security Hub tertentu melalui blok kondisi yang memeriksa ARN sumber dan konteks enkripsi.
+ Memungkinkan Security Hub untuk membaca metadata tentang kunci KMS dengan mengizinkan operasi. `DescribeKey` Izin ini diperlukan untuk Security Hub untuk memverifikasi status dan konfigurasi kunci. Akses terbatas pada konektor Security Hub tertentu melalui kondisi ARN sumber.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:
+ Ganti *CloudProviderName* dengan `JIRA_CLOUD` atau `SERVICENOW`
+ Ganti *AccountId* dengan ID akun tempat Anda membuat konektor Security Hub.
+ Ganti *Region* dengan AWS wilayah Anda (misalnya,`us-east-1`).
## Akses utama IAM untuk operasi Security Hub
Setiap prinsipal yang akan menetapkan kunci KMS yang dikelola pelanggan ke konektor Security Hub harus memiliki izin untuk melakukan operasi kunci (mendeskripsikan, menghasilkan, mendekripsi, mengenkripsi ulang, dan mencantumkan alias) untuk kunci yang ditambahkan ke konektor. Ini berlaku untuk [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)dan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs. Pernyataan kebijakan berikut harus dimasukkan sebagai bagian dari kebijakan untuk setiap prinsipal yang akan berinteraksi dengan ini APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Edit kebijakan dengan mengganti nilai berikut dalam contoh kebijakan:
+ Ganti *RoleName* dengan nama peran IAM yang melakukan panggilan ke Security Hub.
+ Ganti *CloudProviderName* dengan `JIRA_CLOUD` atau`SERVICENOW`.
+ Ganti *AccountId* dengan ID akun tempat Anda membuat konektor Security Hub.
+ Ganti *Region* dengan AWS wilayah Anda (misalnya,`us-east-1`).
# Menguji integrasi tiket yang dikonfigurasi
Untuk Jira dan ServiceNow integrasi yang dikonfigurasi, Anda dapat menguji koneksi untuk memastikan bahwa semua konfigurasi di Security Hub dan di Jira atau ServiceNow lingkungan Anda selesai.
Fitur tiket uji akan membuat tiket dengan judul`TESTING Test CreateTicketV2 Finding`. Tiket pengujian diisi dengan data sampel seperti ID Akun dan wilayah akun tempat pengujian dilakukan, detail sumber daya sampel, dan sampel AWS Finding JSON.
## Menguji integrasi menggunakan konsol
Gunakan langkah-langkah berikut untuk menguji integrasi Anda:
1. Di panel navigasi Security Hub pilih **Integrasi.**
1. Di tab **Integrasi yang dikonfigurasi** pilih integrasi yang ingin Anda uji.
1. Di halaman ikhtisar untuk integrasi Anda pilih **Buat tiket uji**.
1. Jika tes berhasil, pesan sukses bersama dengan tautan ke tiket tes akan ditampilkan. Jika tes tidak berhasil kesalahan untuk tes akan ditampilkan. Berdasarkan pesan kesalahan mengatasi masalah konfigurasi di Security Hub atau di lingkungan Jira atau Service Now Anda.
**catatan**
Fitur tiket uji dimaksudkan untuk membantu memverifikasi fungsionalitas ujung ke ujung untuk penyiapan koneksi baru atau saat Anda membuat perubahan pada koneksi yang ada. Fitur ini akan membuat tiket baru di lingkungan Jira atau Service Now Anda setiap kali digunakan dan tidak dimaksudkan untuk digunakan untuk verifikasi reguler koneksi Anda.
## Pengujian dengan AWS CLI
Untuk menguji integrasi Anda menggunakan AWS CLI, gunakan `create-ticket-v2` perintah dengan `--mode DRYRUN` parameter:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Contoh**
Contoh berikut menunjukkan cara menguji integrasi:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Respon yang Berhasil**
Respons yang berhasil mengembalikan yang berikut:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
`TicketSrcUrl`Dalam tanggapan menyediakan tautan langsung untuk melihat tiket tes di Jira atau ServiceNow lingkungan Anda.
Jika pengujian gagal, pesan kesalahan akan ditampilkan yang menunjukkan masalah konfigurasi yang perlu ditangani.
## Memecahkan masalah kesalahan integrasi cloud Jira
Saat menguji integrasi Anda ke Jira Cloud dari Security Hub, pesan galat berikut mungkin akan dikembalikan. Pesan kesalahan ini dapat memberikan wawasan tentang di mana masalah konfigurasi dengan konektor berada dan bagaimana menyelesaikannya.
**Pesan kesalahan integrasi Jira Cloud**
| Kesalahan | Pesan Kesalahan | Kemungkinan penyebab dan resolusi |
| --- | --- | --- |
| ConflictException | Tidak dapat menemukan proyek jira | **Kemungkinan penyebabnya:** Proyek pada konektor tidak benar, atau credentials/permissions masalah yang mencegah kami mengakses proyek. **Kemungkinan resolusi:** Tambahkan proyek yang benar ke konektor atau autentikasi ulang ke Jira dengan kredensi yang benar. |
| ConflictException | Jenis masalah Security Hub tidak ditemukan | **Kemungkinan penyebabnya:** Masalah penginstalan aplikasi atau jenis masalah tidak terkait dengan proyek. **Kemungkinan resolusi:** Lakukan langkah prasyarat untuk menginstal aplikasi Jira ke lingkungan Jira Anda dan kaitkan aplikasi dengan proyek. |