翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub でのサードパーティー製品統合
AWS Security Hub のサードパーティー統合により、セキュリティ体制を強化できます。この機能を使用することで、Security Hub からの検出結果を使用する統合を有効にし、Security Hub に運用、調査、対応ツールを組み込むことができます。現在、Security Hub は Jira Cloud および ServiceNow との統合をサポートしています。
**Topics**
+ [AWS Security Hub の統合 Jira Cloud](jiracloud.md)
+ [ServiceNow の統合](servicenow.md)
+ [Security Hub チケット統合の KMS キーポリシー](securityhub-v2-integrations-key-policy.md)
+ [設定されたチケット発行統合のテスト](securityhub-v2-test-ticket-integration.md)
# AWS Security Hub の統合 Jira Cloud
このトピックでは、 と を統合する方法について説明しますJira Cloud。このトピックの手順を実行する前に、Jira Cloud サブスクリプションプランを購入しておく必要があります。サブスクリプションプランの詳細については、Atlassian ウェブサイトの「[料金表](https://www.atlassian.com/software/jira/pricing)」を参照してください。
この統合により、Security Hub の検出結果を手動または自動で Jira Cloud に送信できるため、運用ワークフローの一部として管理できます。たとえば、調査と修復が必要な問題に所有権を割り当てることができます。
組織内のアカウントでは、委任管理者のみが統合を設定できます。委任管理者は、メンバーアカウントの検出結果に対して手動でチケット作成機能を使用できます。さらに、委任管理者は[自動化ルール](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html)を使用して、メンバーアカウントに関連付けられた検出結果に対するチケットを自動で作成させることもできます。自動化ルールを定義する場合、委任管理者はすべてのメンバーアカウントまたは特定のメンバーアカウントを含む条件を設定できます。委任管理者の設定については、「[Setting a delegated administrator account in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html)」を参照してください。
組織のアカウントでないアカウントの場合、この機能のすべての側面を使用できます。
## 前提条件
Security Hub をJira Cloud環境に接続する前に、Jira 環境で以下の設定手順を実行する必要があります。
+ AWS Security Hub for Jira クラウドアプリをインストールします。
+ 会社管理のソフトウェア開発プロジェクトが少なくとも 1 つある。
+ Security Hub から結果を受け取るソフトウェア開発プロジェクトに AWS アプリを割り当てます。
これらの各前提条件のステップを以下に示します。
### 1. AWS Security Hub for Jira Cloudアプリをインストールする
Security Hub には、Jira との統合をサポートするアプリケーションがあります。このアプリは、カスタムフィールドとカスタム問題タイプをインストールし、Security Hub b が Security Hub の検出結果に関する特定の属性を入力できるようにします。
1. 管理者として Atlassian サイトにサインインします。
1. **[設定]**、**[アプリ]** の順に選択します。
1. マーケットプレイスページが表示されたら、**[新しいアプリの検索]** を選択します。アプリページに移動した場合は、**[アプリを探す]** を選択し、*[AWS Security Hub for Jira Cloud]* を検索します。次に、**[今すぐ取得]** を選択します。
### 2. プロジェクトを作成するか、既存のプロジェクトを検証する
このステップは、まだプロジェクトを作成していない場合に必要です。プロジェクトの作成方法については、Jira Cloud Support ドキュメントの「[新しいプロジェクトを作成する](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/)」を参照してください。
**プロジェクトを作成するための要件**
新しいプロジェクトを作成する際は、必ず以下を実行してください。
+ プロジェクトテンプレートは **[ソフトウェア開発]** に設定します。
+ プロジェクトタイプは **[会社マネージド]** に設定します。
**既存のプロジェクトの要件**
Security Hub と統合される Jira 環境内の既存のプロジェクトは、**会社管理**のプロジェクトタイプである必要があります。
### 3. Jira Cloud アプリケーションを AWS Security Hub に追加する
Security Hub が検出結果を Jira 環境に正常に送信できるようにするには、Security Hub で使用する各プロジェクトをJira Cloudアプリケーションの AWS Security Hub に関連付ける必要があります。Jira プロジェクトをアプリに関連付けると、 に必要なカスタムフィールドがプロジェクトに関連付けられ、Security Hub が検出結果をプロジェクトに送信するときに入力できるようになります。
1. 管理者として Atlassian サイトにサインインします。
1. **[設定]**、**[アプリ]** の順に選択します。
1. アプリのリストから、**[AWS Security Hub for Jira Cloud]** を選択します。
1. **[コネクタ設定]** タブを選択します。
1. **[有効なプロジェクト]** で、**[Jira プロジェクトの追加]** を選択します。
1. ドロップダウンから、**[すべて追加]** を選択するか、もしくはプロジェクトを選択します。複数のプロジェクトを追加するが、すべてのプロジェクトを追加したくはない場合は、このステップを繰り返してください。
1. **[保存]** を選択します。
**[インストールマネージャー]** タブで、正常にインストールされたプロジェクトを確認できます。また、**[インストールマネージャー]** タブで、フィールド、画面、ステータス、ワークフローの設定を確認することもできます。
Jira Cloud の追加詳細については、Atlassian ウェブサイトの「[Jira Cloud リソース](https://support.atlassian.com/jira-software-cloud/resources/)」を参照してください。
## 推奨事項
**Jira 環境専用のシステムアカウントの作成**
Security Hub と の統合では、Jira インスタンス内の特定のユーザーに関連付けられている OAuth 接続Jira Cloudを使用します。以下の理由から、Security Hub OAuth 接続に使用する専用システムアカウントを作成することをお勧めします。
+ 専用システムユーザーは、接続が Jira 環境へのアクセス許可を持つ従業員に関連付けられていないことを保証し、Security Hub が Jira 環境と統合する機能に影響を与える可能性があります。
+ Security Hub が Jira で作成する各問題には、OAuth 接続の作成に使用されたユーザー名である によって作成された が表示されます。OAuth 接続にシステムアカウントを使用すると、このシステムアカウントがチケット作成者として表示されるため、別の Jira ユーザーによって手動で作成されたのではなく、Security Hub 統合によって作成された結果が可視化されます。
## Security Hub と の統合を設定する Jira Cloud
Security Hub の検出結果を送信するJira Cloudプロジェクトごとに、次の手順を完了する必要があります。
**注記**
Jira Cloud コネクタを作成すると、現在の から AWS リージョン にリダイレクトされるため`"https://3rdp.oauth.console.api.aws"`、コネクタの登録を完了できます。その後、コネクタ AWS リージョン が作成される に戻ります。
**Jira Cloud の統合を設定するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインで、**[管理]**、**[統合]** の順に選択します。
1. **[Jira Cloud の追加]** を選択します。
1. **[詳細]** で、統合に一意のわかりやすい名前を付け、統合についての任意の説明を入力するかどうかを選択します。
1. **暗号化** では、Security Hub 内で統合認証情報を暗号化する方法を選択します。
+ ** AWS 所有キーを使用する** - このオプションでは、Security Hub 所有のサービスキーを使用して、Security Hub 内の統合認証情報データを暗号化します。
+ **別の KMS キーを選択する (詳細)** - このオプションでは、Security Hub 内の統合認証情報データの暗号化に使用する、 AWS KMS key 作成した を選択します。 AWS KMS キーの作成方法については、[「 デベロッパーガイド」の AWS KMS 「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 * AWS Key Management Service *独自のキーを使用する場合は、Security Hub にキーへのアクセスを許可するポリシーステートメントを KMS キーに追加する必要があります。必要な[AWS KMS ポリシーの詳細については、Security Hub チケット統合のキー](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html)ポリシーを参照してください。
**注記**
設定完了後は、これらの設定を変更することはできなくなります。ただし、**[カスタマイズされたキー]** を選択した場合、カスタマイズされたキーのポリシーはいつでも編集できます。
1. (オプション) **[タグ]** で、タグを作成して統合に追加できます。最大 50 個のタグを追加できます。
1. **[認可]** で、**[コネクタを作成して認可する]** を選択します。ポップアップが表示されるので、**[許可する]** を選択して認可を完了します。認可を完了すると、認可が成功したことを通知するチェックボックスが表示されます。
1. **[設定]** で、Jira Cloud プロジェクト ID を入力します。
1. **[設定の完了]** を選択します。設定が完了したら、**[設定済み統合]** タブ内で設定された統合を確認できます。
Jira との統合を設定したら、接続をテストして、Jira 環境と Security Hub ですべてが正しく設定されていることを確認します。詳細については、[「設定されたチケット発行統合のテスト](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html)」を参照してください。
## Jira 統合の追加の詳細
**レート制限に関する考慮事項**
Jira は API レート制限を適用してサービスの安定性を維持し、プラットフォーム全体で公平な使用を確保します。 AWS Security Hub と Jira の統合を使用する場合、これらのレート制限は、特に大量の検出結果を生成する環境で、Security Hub の検出結果の処理に影響を与える可能性があります。これにより、チケットの作成が遅れる可能性があり、検出結果の量が非常に多いシナリオでは、一部の検出結果が Jira チケットにまったく処理されない場合があります。統合を最適化するには、Security Hub の Automation ルールにフィルターを実装して、最も重要な検出結果のチケット発行を優先し、管理者コンソールを使用して Jira API の使用状況をモニタリングし、Jira ライセンス階層の特定のレート制限に基づいてワークフローを計画することを検討してください。ビジネスクリティカルな実装については、Jira 管理者に連絡してレート制限の割り当てを確認してください。
Jira API レート制限の詳細については、「Atlassian デベロッパーガイド」ウェブサイトの[「レート制限](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/)ドキュメント」を参照してください。
**認証とセキュリティ**
Jira API 認証では、安全なアクセスのために適切な OAuth 2.0 設定が必要です。アプリケーションが、API 統合に関する Atlassian のセキュリティのベストプラクティスに従っていることを確認します。
リソース:
+ Jira Rest APi v3: [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Jira Cloud アプリの管理: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Jira アクセス許可を管理します。 [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Jira Cloud 統合のチケットの作成
Jira Cloud との統合を作成したら、検出結果のチケットを作成できます。
**注記**
検出結果は、ライフサイクル全体で常に 1 つのチケットに関連付けられます。最初の作成以降にその検出結果について行われるすべての更新も、同じチケットに送信されます。自動化ルールに関連付けられたコネクタが変更されると、更新後のコネクタは、ルール基準に一致する新規および受信の検出結果にのみ使用されます。
**検出結果に対するチケットを作成するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインの **[インベントリ]** で、**[検出結果]** を選択します。
1. 検出結果を選択します。検出結果で、**[チケットの作成]** を選択します。
1. **[統合]** で、ドロップダウンメニューを開き、必要な統合を選択します。この統合は、Jira Cloud プロジェクトを設定したときに作成した統合です。検出結果を送信する統合を選択します。
1. **[作成]** を選択します。
# Jira Cloud 統合のチケットの表示
検出結果のチケットを作成したら、Jira Cloud インスタンスでチケットを開くことができます。
**Jira Cloud インスタンスで検出結果を表示するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインの **[インベントリ]** で、**[検出結果]** を選択します。
1. チケットを作成した検出結果を選択します。
1. 結果で、チケット ID を選択して Jira Cloud インスタンスでチケットを表示するか、**[JSON の表示]** を選択します。
# ServiceNow の統合
このトピックでは、Security Hub コンソールにアクセスして ServiceNow ITSM の統合を設定する方法について説明します。統合の追加のためにこのトピックのいずれかの手順を完了する前に、ServiceNow ITSM のサブスクリプションを購入する必要があります。詳細については、ServiceNow ウェブサイトの「[価格設定ページ](https://www.servicenow.com/lpgp/pricing-itsm.html)」を参照してください。
組織内のアカウントでは、委任管理者のみが統合を設定できます。委任管理者は、メンバーアカウントの検出結果に対して手動でチケット作成機能を使用できます。さらに、委任管理者は[自動化ルール](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html)を使用して、メンバーアカウントに関連付けられた検出結果に対するチケットを自動で作成させることもできます。自動化ルールを定義する場合、委任管理者はすべてのメンバーアカウントまたは特定のメンバーアカウントを含む条件を設定できます。委任管理者の設定については、「[Setting a delegated administrator account in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html)」を参照してください。
組織のアカウントでないアカウントの場合、この機能のすべての側面を使用できます。
## 前提条件 - ServiceNow 環境を設定する
ServiceNow ITSM の統合を設定するには、以下の前提条件を満たす必要があります。前提条件を満たしていないと、ServiceNow ITSM と Security Hub の統合は機能しません。
### 1. IT サービス管理 (ITSM) 向け Security Hub 検出結果統合のインストール
次の手順では、Security Hub プラグインをインストールする方法について説明します。
1. ServiceNow ITSM インスタンスにサインインし、アプリケーションナビゲーターを開きます。
1. [[ServiceNow ストア]](https://store.servicenow.com/store) に移動します。
1. *IT サービス管理 (ITSM) 向け Security Hub 検出結果の統合*を検索し、**[取得]** を選択してアプリケーションをインストールします。
**注記**
Security Hub アプリケーションの設定で、新しい Security Hub の検出結果が ServiceNow ITSM 環境に送信されたときに実行するアクションを選択します。**[何もしない]**、**[インシデントを作成する]**、**[問題を作成する]**、**[両方を作成する (インシデント\$1問題)]** のいずれかを選択します。
### 2. インバウンド OAuth リクエストのクライアント認証情報付与タイプの設定
インバウンド OAuth リクエストには、この付与タイプを設定する必要があります。詳細については、ServiceNow サポートウェブページの「[Client Credentials grant type for Inbound OAuth is supported](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212)」を参照してください。
### 3. OAuth アプリケーションの作成
OAuth アプリケーションを作成済みの場合は、この前提条件をスキップできます。OAuth アプリケーションの作成については、「[Setting up OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest)」を参照してください。
## 前提条件 - 設定 AWS Secrets Manager
Security Hub と ServiceNow の統合を使用するには、ServiceNow OAuth アプリケーションの認証情報を Secrets Manager に保存する必要があります。Secrets Manager に認証情報を保存すると、Security Hub が認証情報を使用して ServiceNow インスタンスと統合できるようにしながら、認証情報の使用を制御および可視化できます。Secrets Manager に認証情報を保存するには、カスタマーマネージド AWS KMS キーを使用してシークレットを保護する必要があります。この AWS KMS キーを使用すると、保管中にシークレットを保護し、シークレットを保護しているキーにアクセスするためのアクセス許可を Security Hub に付与するポリシーをキーにアタッチできます。
次の手順を使用して、ServiceNow 認証情報の Secrets Manager を設定します。
### ステップ 1: AWS KMS キーにポリシーをアタッチする
ServiceNow 統合を正常に設定するには、まず Secrets Manager の ServiceNow 認証情報に関連付けられている AWS KMS キーを使用するアクセス許可を Security Hub に付与する必要があります。
**Security Hub が ServiceNow 認証情報にアクセスするための AWS KMS キーポリシーを変更するには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
1. 既存の AWS KMS キーを選択するか、 *AWS KMS デベロッパーガイド*の新しい[キーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)ステップを実行します。
1. **[Key policy]** (キーポリシー) セクションで、**[Edit]** (編集) を選択します。
1. **ポリシービューに切り替え**が表示された場合は、キーポリシーを表示するために選択し、**編集**を選択します。
1. 次のポリシーブロックを AWS KMS キーポリシーにコピーして、Security Hub にキーを使用するアクセス許可を付与します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. ポリシーの例で次の値を置き換えて、ポリシーを編集します。
+ *your-account-id* を自分の AWS アカウント ID に置き換えます。
+ *your-region* を AWS 自分のリージョン (例: ) に置き換えます`us-east-1`。
1. 最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。 AWS KMS キーポリシーの JSON 構文が有効であることを確認します。
1. **[保存]** を選択します。
1. (オプション) キー ARN をメモ帳にコピーして、後のステップで使用します。
### ステップ 2: Secrets Manager でシークレットを作成する
ServiceNow 認証情報を保存するシークレットを Secrets Manager に作成します。Security Hub は、ServiceNow 環境を操作するときにこのシークレットにアクセスします。
*AWS Secrets Manager *[「 ユーザーガイド」の手順に従ってシークレットを作成します](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)。シークレットを作成したら、Security Hub コネクタの作成時に必要になるため、シークレット ARN をコピーします。
シークレットを作成するときは、以下を設定してください。
**シークレットタイプ**
他の種類のシークレット
**キーと値のペア (プレーンテキスト形式)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
フィールド名は正確に `ClientId`および `ClientSecret` (大文字と小文字を区別) である必要があります。Security Hub では、認証情報を取得するためにこれらの正確な名前が必要です。
**暗号化キー**
ステップ 1 で設定した AWS KMS キーを使用する
**リソースポリシー**
以下のリソースポリシーを使用します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
これでシークレットが設定され、CreateConnectorV2 API または AWS コンソールを使用して Security Hub コネクタを作成できます。以下を指定する必要があります。
+ **InstanceName**: ServiceNow インスタンス URL (例: `your-instance.service-now.com`)
+ **SecretArn**: この手順で作成したシークレットの ARN
## ServiceNow ITSM の統合の設定
Security Hub は、ServiceNow ITSM 内にインシデントまたは問題を自動的に作成します。
**ServiceNow ITSM の統合を設定するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインで、**[管理]**、**[統合]** の順に選択します。
1. **ServiceNow ITSM** で、**[統合の追加]** を選択します。
1. **[詳細]** で、統合の名前を入力し、統合についての任意の説明を入力するかどうかを選択します。
1. **暗号化** では、Security Hub 内で統合認証情報を暗号化する方法を選択します。
+ ** AWS 所有キーを使用する** - このオプションでは、Security Hub 所有のサービスキーを使用して、Security Hub 内の統合認証情報データを暗号化します。
+ **別の KMS キーを選択する (詳細)** - このオプションでは AWS KMS key 、Security Hub 内の統合認証情報データの暗号化に使用する、作成した を選択します。 AWS KMS キーの作成方法については、[「 デベロッパーガイド」の AWS KMS 「キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 * AWS Key Management Service *独自のキーを使用する場合は、Security Hub にキーへのアクセスを許可するポリシーステートメントを KMS キーに追加する必要があります。必要な[AWS KMS ポリシーの詳細については、Security Hub チケット統合のキー](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html)ポリシーを参照してください。
**注記**
設定完了後は、これらの設定を変更することはできなくなります。ただし、**[カスタマイズされたキー]** を選択した場合、カスタマイズされたキーのポリシーはいつでも編集できます。
1. **認証情報**には、前提条件セクションで URL ServiceNow ITSM と生成された AWS Secrets Manager シークレットの ARN を入力します。
1. **[タグ]** では、統合にオプションのタグを作成して追加するかどうかを選択します。
1. [**Add integration**] (統合の追加) を選択します。設定が完了したら、**[設定済み統合]** タブ内で設定された統合を確認できます。
ServiceNow との統合を設定したら、接続をテストして、ServiceNow 環境と Security Hub ですべてが正しく設定されていることを確認します。詳細については、[「設定されたチケット発行統合のテスト](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html)」を参照してください。
# ServiceNow ITSM 統合のチケットの作成
ServiceNow ITSM との統合を作成したら、検出結果のチケットを作成できます。
**注記**
検出結果は、ライフサイクル全体で常に 1 つのチケットに関連付けられます。最初の作成以降にその検出結果について行われるすべての更新も、同じチケットに送信されます。自動化ルールに関連付けられたコネクタが変更されると、更新後のコネクタは、ルール基準に一致する新規および受信の検出結果にのみ使用されます。
**検出結果に対するチケットを作成するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインの **[インベントリ]** で、**[検出結果]** を選択します。
1. 検出結果を選択します。検出結果で、**[チケットの作成]** を選択します。
1. **[統合]** で、ドロップダウンメニューを開き、必要な統合を選択します。
1. **[作成]** を選択します。
# ServiceNow ITSM 統合のチケットの表示
検出結果のチケットを作成したら、ServiceNow ITSM インスタンスでチケットを開くことができます。
**ServiceNow ITSM インスタンスで検出結果を表示するには**
1. 認証情報を使用して AWS アカウントにサインインし、[https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) で Security Hub コンソールを開きます。
1. ナビゲーションペインの **[インベントリ]** で、**[検出結果]** を選択します。
1. チケットを作成した検出結果を選択します。
1. 結果で、チケット ID を選択して ServiceNow ITSM インスタンスでチケットを表示するか、**[JSON の表示]** を選択します。
# Security Hub チケット統合の KMS キーポリシー
Security Hub チケット統合でカスタマーマネージド KMS キーを使用する場合、Security Hub がキーとやり取りできるようにするには、KMS キーにポリシーを追加する必要があります。さらに、Security Hub コネクタにキーを追加するプリンシパルがキーにアクセスできるようにするポリシーを追加する必要があります。
## Security Hub アクセス許可ポリシー
次のポリシーは、Security Hub が Jira および ServiceNow コネクタに関連付けられている KMS キーにアクセスして使用するために必要なアクセス許可の概要を示しています。このポリシーは、Security Hub コネクタに関連付けられている各 KMS キーに追加する必要があります。
ポリシーには、次のアクセス許可が含まれています。
+ キーを使用して、Security Hub がチケット発行統合との通信に使用されるトークンを保護、一時アクセス、または更新できるようにします。アクセス許可は、ソース ARN と暗号化コンテキストをチェックする条件ブロックにより、特定の Security Hub コネクタに関連するオペレーションに制限されます。
+ `DescribeKey` オペレーションを許可することで、Security Hub が KMS キーに関するメタデータを読み取ることを許可します。このアクセス許可は、Security Hub がキーのステータスと設定を検証するために必要です。アクセスは、ソース ARN 条件により特定の Security Hub コネクタに制限されます。
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
ポリシーの例で次の値を置き換えて、ポリシーを編集します。
+ *CloudProviderName* を `JIRA_CLOUD`または に置き換える `SERVICENOW`
+ *AccountId* を Security Hub コネクタを作成するアカウント ID に置き換えます。
+ *Region* を AWS 自分のリージョンに置き換えます (例: `us-east-1`)。
## Security Hub オペレーションの IAM プリンシパルアクセス
Security Hub コネクタにカスタマーマネージド KMS キーを割り当てるプリンシパルには、コネクタに追加するキーのキーオペレーション (エイリアスの説明、生成、復号、再暗号化、一覧表示) を実行するアクセス許可が必要です。これは、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)および [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIsに適用されます。次のポリシーステートメントは、これらの APIs とやり取りするプリンシパルのポリシーの一部として含める必要があります。
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
ポリシーの例で次の値を置き換えて、ポリシーを編集します。
+ *RoleName* を、Security Hub を呼び出す IAM ロールの名前に置き換えます。
+ *CloudProviderName* を `JIRA_CLOUD`または に置き換えます`SERVICENOW`。
+ *AccountId* を Security Hub コネクタを作成するアカウント ID に置き換えます。
+ *Region* を AWS 自分のリージョンに置き換えます (例: `us-east-1`)。
# 設定されたチケット発行統合のテスト
設定済みの Jira と ServiceNow の統合では、接続をテストして、Security Hub と Jira または ServiceNow 環境のすべての設定が完了していることを確認します。
テストチケット機能は、タイトルが のチケットを作成します`TESTING Test CreateTicketV2 Finding`。テストチケットには、テストが実行されたアカウントのアカウント ID とリージョン、サンプルリソースの詳細、サンプル AWS 結果 JSON などのサンプルデータが入力されます。
## コンソールを使用した統合のテスト
統合をテストするには、次の手順に従います。
1. Security Hub ナビゲーションパネルで、**統合**を選択します。
1. **Configured integrations** タブで、テストする統合を選択します。
1. 統合の概要ページで、**テストチケットの作成**を選択します。
1. テストが成功すると、成功メッセージとテストチケットへのリンクが表示されます。テストが成功しなかった場合は、テストのエラーが表示されます。エラーメッセージに基づいて、Security Hub または Jira または Service Now 環境の設定問題に対処します。
**注記**
テストチケット機能は、新しい接続のセットアップや既存の接続の変更時にエンドツーエンドの機能を検証するのに役立ちます。この機能は、使用するたびに Jira または Service Now 環境に新しいチケットを作成し、接続の定期的な検証に使用することを意図していません。
## を使用したテスト AWS CLI
を使用して統合をテストするには AWS CLI、 `--mode DRYRUN`パラメータを指定して `create-ticket-v2` コマンドを使用します。
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**例**
次の例は、統合をテストする方法を示しています。
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**成功したレスポンス**
正常なレスポンスは、以下を返します。
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
レスポンス`TicketSrcUrl`の は、Jira または ServiceNow 環境でテストチケットを表示するための直接リンクを提供します。
テストが失敗すると、対処する必要がある設定の問題を示すエラーメッセージが表示されます。
## Jira クラウド統合エラーのトラブルシューティング
Security Hub から Jira Cloud との統合をテストすると、次のエラーメッセージが返されることがあります。これらのエラーメッセージは、コネクタの設定問題の場所と解決方法に関するインサイトを提供します。
**Jira Cloud 統合エラーメッセージ**
| エラー | エラーメッセージ | 考えられる原因と解決方法 |
| --- | --- | --- |
| ConflictException | jira プロジェクトが見つかりません | **考えられる原因:** コネクタのプロジェクトが正しくないか、認証情報/アクセス許可の問題によりプロジェクトにアクセスできません。 **解決方法:** コネクタに正しいプロジェクトを追加するか、正しい認証情報を使用して Jira に再認証します。 |
| ConflictException | Security Hub の問題タイプが見つかりません | **考えられる原因:** アプリケーションのインストールの問題または問題タイプがプロジェクトに関連付けられていません。 **解決の可能性:** 前提条件のステップを実行して Jira アプリケーションを Jira 環境にインストールし、アプリケーションをプロジェクトに関連付けます。 |