기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub의 서드 파티 통합
AWS Security Hub의 타사 통합을 통해 보안 태세를 강화할 수 있습니다. 이 기능을 사용하면 Security Hub의 조사 결과를 소비하는 통합을 활성화하여 운영, 조사 및 대응 도구를 Security Hub와 통합할 수 있습니다. 현재 Security Hub는 Jira Cloud 및 ServiceNow와의 통합을 지원합니다.
**Topics**
+ [
# AWS Security Hub 통합 Jira Cloud
](jiracloud.md)
+ [
# ServiceNow 통합
](servicenow.md)
+ [
# Security Hub 티켓팅 통합을 위한 KMS 키 정책
](securityhub-v2-integrations-key-policy.md)
+ [
# 구성된 티켓팅 통합 테스트
](securityhub-v2-test-ticket-integration.md)
# AWS Security Hub 통합 Jira Cloud
이 주제에서는와를 통합하는 방법을 설명합니다Jira Cloud. 이 주제의 절차를 완료하려면 먼저 Jira Cloud 구독 플랜을 구매해야 합니다. 구독 플랜에 대한 자세한 내용은 Atlassian 웹 사이트의 [요금](https://www.atlassian.com/software/jira/pricing)을 참조하세요.
이 통합을 통해 Security Hub 조사 결과를 Jira Cloud로 수동 또는 자동으로 전송할 수 있으므로 운영 워크플로의 일부로 관리할 수 있습니다. 예를 들어 조사 및 해결이 필요한 이슈에 소유권을 할당할 수 있습니다.
조직 내 계정의 경우 위임된 관리자만 통합을 구성할 수 있습니다. 위임된 관리자는 모든 멤버 계정 조사 결과에 대해 티켓 생성 기능을 수동으로 사용할 수 있습니다. 또한 위임된 관리자는 [자동화 규칙](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html)을 사용하여 멤버 계정과 연결된 모든 결과에 대한 티켓을 자동으로 생성할 수 있습니다. 자동화 규칙을 정의할 때 위임된 관리자는 모든 멤버 계정 또는 특정 멤버 계정을 포함할 수 있는 기준을 설정할 수 있습니다. 위임된 관리자를 설정하는 방법에 대한 자세한 내용은 [Security Hub에서 위임된 관리자 계정 설정](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html)을 참조하세요.
조직에 속하지 않은 계정의 경우 이 기능의 모든 측면을 사용할 수 있습니다.
## 사전 조건
Security Hub를 Jira Cloud 환경에 연결하기 전에 Jira 환경에서 다음 구성 단계를 수행해야 합니다.
+ AWS Security Hub for Jira 클라우드 앱을 설치합니다.
+ 회사 관리형 소프트웨어 개발 프로젝트가 하나 이상 있어야 합니다.
+ Security Hub에서 조사 결과를 수신하려는 소프트웨어 개발 프로젝트에 AWS 앱을 할당합니다.
이러한 각 사전 조건의 단계는 아래에 나열되어 있습니다.
### 1. Jira Cloud 앱용 AWS Security Hub 설치
Security Hub에는 Jira와의 통합을 지원하는 앱이 있습니다. 이 앱은 사용자 지정 필드와 Security Hub b가 Security Hub 조사 결과에 대한 특정 속성을 채울 수 있는 사용자 지정 문제 유형을 설치합니다.
1. Atlassian 사이트에 관리자로 로그인합니다.
1. **설정**을 선택하고 **앱**을 선택합니다.
1. 마켓플레이스 페이지로 이동하면 **새 앱 찾기**를 선택합니다. 앱 페이지로 이동하면 **앱 탐색**을 선택한 다음 *AWS Security Hub for Jira Cloud*를 검색합니다. 그런 다음 **지금 가져오기**를 선택합니다.
### 2. 프로젝트 생성 또는 기존 프로젝트 확인
프로젝트를 생성하지 않은 경우 이 단계가 필요합니다. 프로젝트를 생성하는 방법에 대한 자세한 내용은 Jira Cloud Support 설명서의 [새 프로젝트 생성](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/)을 참조하세요.
**프로젝트 생성 요구 사항**
새 프로젝트를 생성할 때 다음을 수행해야 합니다.
+ 프로젝트 템플릿에 **소프트웨어 개발**을 선택합니다.
+ 프로젝트 유형에 **회사 관리형**을 선택합니다.
**기존 프로젝트의 요구 사항**
Security Hub와 통합될 Jira 환경의 모든 기존 프로젝트는 **회사 관리**형 프로젝트 유형이어야 합니다.
### 3. Jira Cloud 앱을 위한 AWS Security Hub에 프로젝트 추가
Security Hub가 Jira 환경에 조사 결과를 성공적으로 전송하려면 Security Hub와 함께 사용하려는 각 프로젝트가 AWS Security Hub for Jira Cloud 앱과 연결되어 있어야 합니다. Jira 프로젝트를 앱과 연결하면에 필요한 사용자 지정 필드가 프로젝트와 연결되고 Security Hub가 결과를 프로젝트에 전송할 때 채워질 수 있습니다.
1. Atlassian 사이트에 관리자로 로그인합니다.
1. **설정**을 선택하고 **앱**을 선택합니다.
1. 앱 목록에서 **AWS Security Hub for Jira Cloud**를 선택합니다.
1. **커넥터 설정** 탭을 선택합니다.
1. **활성화된 프로젝트**에서 **Jira 프로젝트 추가**를 선택합니다.
1. 드롭다운에서 **모두 추가**를 선택하거나 프로젝트를 선택합니다. 전체 프로젝트가 아니라 2개 이상의 프로젝트를 추가하려면 단계의 이 부분을 반복합니다.
1. **저장**을 선택합니다.
**설치 관리자** 탭에서 성공적으로 설치된 프로젝트를 확인할 수 있습니다. **설치 관리자** 탭에서 필드, 화면, 상태, 워크플로에 대한 구성을 확인할 수도 있습니다.
Jira Cloud에 대한 자세한 내용은 Atlassian 웹 사이트의 [Jira Cloud 리소스](https://support.atlassian.com/jira-software-cloud/resources/)를 참조하세요.
## 권장 사항
**Jira 환경을 위한 전용 시스템 계정 생성**
Security Hub와의 통합은 Jira 인스턴스 내의 특정 사용자와 연결된 OAuth 연결을 Jira Cloud 사용합니다. Security Hub OAuth 연결에 사용할 전용 시스템 계정을 생성하는 것은 다음과 같은 이유로 연결에 권장됩니다.
+ 전용 시스템 사용자는 연결이 시간이 지남에 따라 Jira 환경에 대한 권한이 변경될 수 있는 직원과 연결되지 않도록 하여 Security Hub가 Jira 환경과 통합하는 기능에 영향을 미칩니다.
+ Security Hub가 Jira에서 생성하는 각 문제에는 OAuth 연결을 생성하는 데 사용된 사용자 이름인에서 생성한이 표시됩니다. OAuth 연결에 시스템 계정을 사용하면이 시스템 계정이 티켓 생성자로 표시되므로 다른 Jira 사용자가 수동으로 생성하지 않고 Security Hub 통합을 통해 조사 결과가 생성되었음을 확인할 수 있습니다.
## Security Hub와 간의 통합 구성 Jira Cloud
Security Hub 조사 결과를 보내려는 각 Jira Cloud 프로젝트에 대해 다음 절차를 완료해야 합니다.
**참고**
Jira Cloud 커넥터를 생성하면 현재에서 AWS 리전 로 리디렉션`"https://3rdp.oauth.console.api.aws"`되므로 커넥터 등록을 완료할 수 있습니다. 그런 다음 커넥터가 생성되는 AWS 리전 로 돌아갑니다.
**Jira Cloud 통합을 구성하려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창에서 **관리**를 선택한 다음 **통합**을 선택합니다.
1. **추가Jira Cloud**를 선택합니다.
1. **세부 정보**에 통합의 고유한 설명 이름을 입력하고 통합에 대한 선택적 설명을 입력할지 여부를 결정합니다.
1. **암호화**에서 Security Hub 내에서 통합 자격 증명을 암호화하는 방법을 선택합니다.
+ ** AWS 소유 키 사용** -이 옵션을 사용하면 Security Hub 소유 서비스 키를 사용하여 Security Hub 내에서 통합 자격 증명 데이터를 암호화합니다.
+ **다른 KMS 키(고급)** 선택 -이 옵션을 사용하면 Security Hub 내에서 통합 자격 증명 데이터를 암호화하는 데 사용할 AWS KMS key 생성한를 선택합니다. AWS KMS 키 생성 방법에 대한 자세한 내용은 * AWS Key Management Service 개발자 안내서*의 [AWS KMS 키 생성을](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 참조하세요. 자체 키를 사용하기로 선택한 경우 Security Hub가 키에 액세스할 수 있도록 허용하는 정책 설명을 KMS 키에 추가해야 합니다. 필요한 [AWS KMS 정책에 대한 자세한 내용은 Security Hub 티켓팅 통합의 키](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) 정책을 참조하세요.
**참고**
이 구성을 완료한 후에는 이러한 설정을 변경할 수 없습니다. 하지만 **사용자 지정 키**를 선택한 경우 언제든지 사용자 지정 키 정책을 편집할 수 있습니다.
1. (선택 사항) **태그**에서 태그를 생성하고 통합에 추가합니다. 최대 50개의 태그를 추가할 수 있습니다.
1. **권한 부여**에서 **커넥터 생성 및 권한 부여**를 선택합니다. 팝업이 나타나면 **허용**을 선택하여 권한 부여를 완료합니다. 권한 부여를 완료하면 권한 부여가 성공했음을 알리는 확인란이 나타납니다.
1. **구성**에 Jira Cloud 프로젝트 ID를 입력합니다.
1. **구성 완료**를 선택합니다. 구성을 완료하면 **구성된 통합** 탭에서 구성된 통합을 볼 수 있습니다.
Jira와의 통합을 구성한 후에는 연결을 테스트하여 모든 것이 Jira 환경 및 Security Hub에서 올바르게 구성되었는지 확인할 수 있습니다. 자세한 내용은 [ 구성된 티켓팅 통합 테스트를 참조하세요](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
## 추가 Jira 통합 세부 정보
**속도 제한 고려 사항**
Jira는 API 속도 제한을 적용하여 서비스 안정성을 유지하고 플랫폼 전체에서 공정한 사용을 보장합니다. AWS Security Hub와 Jira 통합을 사용하는 경우 이러한 속도 제한이 Security Hub 조사 결과 처리에 영향을 미칠 수 있으며, 특히 대량의 조사 결과를 생성하는 환경에서는 더욱 그렇습니다. 이로 인해 티켓 생성이 지연될 수 있으며, 조사 결과 볼륨이 매우 많은 시나리오에서는 일부 조사 결과가 Jira 티켓으로 전혀 처리되지 않을 수 있습니다. 통합을 최적화하려면 Security Hub의 자동화 규칙에 필터를 구현하여 가장 중요한 결과에 대한 티켓팅의 우선순위를 지정하고, 관리자 콘솔을 통해 Jira API 사용량을 모니터링하고, Jira 라이선스 계층의 특정 속도 제한을 기반으로 워크플로를 계획하는 것이 좋습니다. 비즈니스 크리티컬 구현의 경우 Jira 관리자에게 문의하여 속도 제한 할당을 검토하세요.
Jira API 속도 제한에 대한 자세한 내용은 Atlassian 개발자 안내서 웹 사이트의 [속도 제한](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) 설명서를 참조하세요.
**인증 및 보안**
Jira API 인증에는 보안 액세스를 위한 적절한 OAuth 2.0 구성이 필요합니다. 애플리케이션이 API 통합에 대한 Atlassian의 보안 모범 사례를 따르는지 확인합니다.
리소스:
+ Jira Rest APi v3: [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ OAuth 2.0(3LO) 구현: [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Jira Cloud 앱 관리: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Jira 권한 관리: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Jira Cloud 통합에 대한 티켓 생성
Jira Cloud와의 통합을 생성한 후 조사 결과에 대한 티켓을 생성할 수 있습니다.
**참고**
조사 결과는 전체 수명 주기 동안 항상 단일 티켓과 연결됩니다. 초기 생성 후 조사 결과에 대한 모든 후속 업데이트는 동일한 티켓으로 전송됩니다. 자동화 규칙과 연결된 커넥터가 변경되면 업데이트된 커넥터는 규칙 기준과 일치하는 신규 및 수신 조사 결과에만 사용됩니다.
**조사 결과에 대한 티켓을 생성하려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창의 **인벤토리**에서 **조사 결과**를 선택합니다.
1. 조사 결과를 선택합니다. 조사 결과에서 **티켓 생성**을 선택합니다.
1. **통합**에서 드롭다운 메뉴를 열고 통합을 선택합니다. 이 통합은 이전에 Jira Cloud 프로젝트를 구성할 때 생성한 통합입니다. 조사 결과를 전송할 통합을 선택합니다.
1. **생성(Create)**을 선택합니다.
# Jira Cloud 통합에 대한 티켓 보기
조사 결과에 대한 티켓을 생성한 후 Jira Cloud 인스턴스에서 티켓을 열 수 있습니다.
**Jira Cloud 인스턴스에서 조사 결과를 보려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창의 **인벤토리**에서 **조사 결과**를 선택합니다.
1. 티켓을 생성한 조사 결과를 선택합니다.
1. 조사 결과에서 티켓 ID를 선택하여 Jira Cloud 인스턴스에서 티켓을 보거나 **JSON 보기**를 선택합니다.
# ServiceNow 통합
이 주제에서는 Security Hub 콘솔에 액세스하여 ServiceNow ITSM 통합을 구성하는 방법을 설명합니다. 이 주제의 절차를 완료하기 전에 ServiceNow ITSM 구독이 있어야 이 통합을 추가할 수 있습니다. 자세한 내용은 ServiceNow 웹사이트의 [요금 페이지](https://www.servicenow.com/lpgp/pricing-itsm.html)를 참조하세요.
조직 내 계정의 경우 위임된 관리자만 통합을 구성할 수 있습니다. 위임된 관리자는 모든 멤버 계정 조사 결과에 대해 티켓 생성 기능을 수동으로 사용할 수 있습니다. 또한 위임된 관리자는 [자동화 규칙](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html)을 사용하여 멤버 계정과 연결된 모든 결과에 대한 티켓을 자동으로 생성할 수 있습니다. 자동화 규칙을 정의할 때 위임된 관리자는 모든 멤버 계정 또는 특정 멤버 계정을 포함할 수 있는 기준을 설정할 수 있습니다. 위임된 관리자를 설정하는 방법에 대한 자세한 내용은 [Security Hub에서 위임된 관리자 계정 설정](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html)을 참조하세요.
조직에 속하지 않은 계정의 경우 이 기능의 모든 측면을 사용할 수 있습니다.
## 사전 조건 - ServiceNow 환경 구성
ServiceNow ITSM 통합을 구성하기 전에 다음 사전 조건을 완료해야 합니다. 그렇지 않으면 ServiceNow ITSM와 Security Hub 간 통합이 작동하지 않습니다.
### 1. IT Service Management(ITSM)에 대한 Security Hub 조사 결과 통합 설치
다음 절차에서는 Security Hub 플러그인을 설치하는 방법을 설명합니다.
1. ServiceNow ITSM 인스턴스에 로그인한 다음 애플리케이션 탐색기를 엽니다.
1. [ServiceNow 스토어](https://store.servicenow.com/store)로 이동합니다.
1. *IT Service Management(ITSM)에 대한 Security Hub 조사 결과 통합*을 검색한 다음 **가져오기**를 선택하여 애플리케이션을 설치합니다.
**참고**
Security Hub 애플리케이션의 설정에서 새 Security Hub 조사 결과가 ServiceNow ITSM 환경으로 전송될 때 수행할 작업을 선택합니다. **아무 작업 안함**, **인시던트 생성**, **문제 생성** 또는 **둘 다 생성(인시던트/문제)**을 선택할 수 있습니다.
### 2. 인바운드 OAuth 요청에 대한 클라이언트 자격 증명 권한 부여 유형 구성
인바운드 OAuth 요청에 대해 이 권한 부여 유형을 구성해야 합니다. 자세한 내용은 ServiceNow Support 웹 페이지에서 [Client Credentials grant type for Inbound OAuth is supported](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212)를 참조하세요.
### 3. OAuth 애플리케이션 생성
OAuth 애플리케이션을 이미 생성한 경우 이 사전 조건을 건너뛸 수 있습니다. OAuth 애플리케이션을 생성하는 방법에 대한 자세한 내용은 [OAuth 설정](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest)을 참조하세요.
## 사전 조건 - 구성 AWS Secrets Manager
Security Hub와 ServiceNow의 통합을 사용하려면 ServiceNow OAuth 애플리케이션의 자격 증명을 Secrets Manager에 저장해야 합니다. Secrets Manager에 자격 증명을 저장하면 자격 증명 사용을 제어하고 파악할 수 있을 뿐만 아니라 Security Hub가 자격 증명을 사용하여 ServiceNow 인스턴스와 통합할 수 있습니다. Secrets Manager에 자격 증명을 저장하려면 고객 관리형 AWS KMS 키를 사용하여 보안 암호를 보호해야 합니다. 이 AWS KMS 키를 사용하면 저장 시 보안 암호를 보호할 수 있으며 보안 암호를 보호하는 키에 액세스할 수 있는 권한을 Security Hub에 부여하는 키에 정책을 연결할 수도 있습니다.
다음 단계에 따라 ServiceNow 자격 증명에 대해 Secrets Manager를 구성합니다.
### 1단계: AWS KMS 키에 정책 연결
ServiceNow 통합을 성공적으로 구성하려면 먼저 Secrets Manager에서 ServiceNow 자격 증명과 연결할 AWS KMS 키를 사용할 수 있는 권한을 Security Hub에 부여해야 합니다.
**Security Hub가 ServiceNow 자격 증명에 액세스하도록 AWS KMS 키 정책을 수정하려면**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. AWS 리전을 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 사용합니다.
1. 기존 AWS KMS 키를 선택하거나 *AWS KMS 개발자 안내서*의 [새 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 단계를 수행합니다.
1. **키 정책** 섹션에서 **편집**을 선택합니다.
1. **정책 보기로 전환**이 표시되면 이를 선택하여 키 정책을 표시한 다음 **편집**을 선택합니다.
1. 다음 정책 블록을 AWS KMS 키 정책에 복사하여 Security Hub에 키를 사용할 수 있는 권한을 부여합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. 정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
+ *your-account-id*를 AWS 계정 ID로 바꿉니다.
+ *your-region*을 AWS 리전(예: `us-east-1`)으로 바꿉니다.
1. 최종 문 앞에 정책 문구를 추가한 경우 이 문구를 추가하기 전에 쉼표를 추가합니다. AWS KMS 키 정책의 JSON 구문이 유효한지 확인합니다.
1. **저장**을 선택합니다.
1. (선택 사항) 이후 단계에서 사용할 수 있도록 키 ARN을 메모장에 복사합니다.
### 2단계: Secrets Manager에서 보안 암호 생성
Secrets Manager에서 ServiceNow 자격 증명을 저장할 보안 암호를 생성합니다. Security Hub는 ServiceNow 환경과 상호 작용할 때이 보안 암호에 액세스합니다.
*AWS Secrets Manager 사용 설명서*의 [보안 암호 생성](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) 단계를 따릅니다. 보안 암호를 생성한 후 Security Hub 커넥터를 생성할 때 필요하므로 보안 암호 ARN을 복사합니다.
보안 암호를 생성할 때 다음을 구성해야 합니다.
**보안 암호 유형**
다른 유형의 보안 암호
**키/값 페어(일반 텍스트 형식)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
필드 이름은 정확히 `ClientId` 및 `ClientSecret` (대/소문자 구분)여야 합니다. Security Hub에서 자격 증명을 검색하려면 이러한 정확한 이름이 필요합니다.
**암호화 키**
1단계에서 구성한 AWS KMS 키 사용
**리소스 정책**
다음 리소스 정책을 사용합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
이제 보안 암호가 구성되었으므로 CreateConnectorV2 API 또는 AWS 콘솔을 사용하여 Security Hub 커넥터를 생성할 수 있습니다. 다음을 제공해야 합니다.
+ **InstanceName**: ServiceNow 인스턴스 URL(예: `your-instance.service-now.com`)
+ **SecretArn**:이 절차에서 생성한 보안 암호의 ARN
## ServiceNow ITSM 통합 구성
Security Hub는 ServiceNow ITSM에서 인시던트 또는 문제를 자동으로 생성할 수 있습니다.
**ServiceNow ITSM 통합을 구성하려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창에서 **관리**를 선택한 다음 **통합**을 선택합니다.
1. **ServiceNow ITSM**에서 **통합 추가**를 선택합니다.
1. **세부 정보**에 통합의 을 입력하고 통합에 대한 선택적 설명을 입력할지 여부를 결정합니다.
1. **암호화**에서 Security Hub 내에서 통합 자격 증명을 암호화하는 방법을 선택합니다.
+ ** AWS 소유 키 사용** -이 옵션을 사용하면 Security Hub 소유 서비스 키를 사용하여 Security Hub 내에서 통합 자격 증명 데이터를 암호화합니다.
+ **다른 KMS 키 선택(고급)** -이 옵션을 사용하면 Security Hub 내에서 통합 자격 증명 데이터를 암호화하는 데 사용할 AWS KMS key 생성한을 선택합니다. AWS KMS 키 생성 방법에 대한 자세한 내용은 * AWS Key Management Service 개발자 안내서*의 [AWS KMS 키 생성을](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 참조하세요. 자체 키를 사용하기로 선택한 경우 Security Hub가 키에 액세스할 수 있도록 허용하는 정책 설명을 KMS 키에 추가해야 합니다. 필요한 [AWS KMS 정책에 대한 자세한 내용은 Security Hub 티켓팅 통합의 키](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) 정책을 참조하세요.
**참고**
이 구성을 완료한 후에는 이러한 설정을 변경할 수 없습니다. 하지만 **사용자 지정 키**를 선택한 경우 언제든지 사용자 지정 키 정책을 편집할 수 있습니다.
1. **자격 증명**에 ServiceNow ITSM URL과 사전 조건 섹션에서 생성된 AWS Secrets Manager 보안 암호의 ARN을 입력합니다.
1. **태그**에서 선택적 태그를 생성하고 통합에 추가할지 여부를 결정합니다.
1. **통합 추가**(Add Integrations)를 선택합니다. 구성을 완료하면 **구성된 통합** 탭에서 구성된 통합을 볼 수 있습니다.
ServiceNow와의 통합을 구성한 후에는 연결을 테스트하여 ServiceNow 환경 및 Security Hub에서 모든 것이 올바르게 구성되었는지 확인할 수 있습니다. 자세한 내용은 [ 구성된 티켓팅 통합 테스트를 참조하세요](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
# ServiceNow ITSM 통합에 대한 티켓 생성
ServiceNow ITSM와의 통합을 생성한 후 조사 결과에 대한 티켓을 생성할 수 있습니다.
**참고**
조사 결과는 전체 수명 주기 동안 항상 단일 티켓과 연결됩니다. 초기 생성 후 조사 결과에 대한 모든 후속 업데이트는 동일한 티켓으로 전송됩니다. 자동화 규칙과 연결된 커넥터가 변경되면 업데이트된 커넥터는 규칙 기준과 일치하는 신규 및 수신 조사 결과에만 사용됩니다.
**조사 결과에 대한 티켓을 생성하려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창의 **인벤토리**에서 **조사 결과**를 선택합니다.
1. 조사 결과를 선택합니다. 조사 결과에서 **티켓 생성**을 선택합니다.
1. **통합**에서 드롭다운 메뉴를 열고 통합을 선택합니다.
1. **생성(Create)**을 선택합니다.
# ServiceNow ITSM 통합에 대한 티켓 보기
조사 결과에 대한 티켓을 생성한 후 ServiceNow ITSM 인스턴스에서 티켓을 열 수 있습니다.
**ServiceNow ITSM 인스턴스에서 조사 결과를 보려면**
1. 자격 증명으로 AWS 계정에 로그인하고 [https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1) Security Hub 콘솔을 엽니다.
1. 탐색 창의 **인벤토리**에서 **조사 결과**를 선택합니다.
1. 티켓을 생성한 조사 결과를 선택합니다.
1. 조사 결과에서 티켓 ID를 선택하여 ServiceNow ITSM 인스턴스에서 티켓을 보거나 **JSON 보기**를 선택합니다.
# Security Hub 티켓팅 통합을 위한 KMS 키 정책
Security Hub 티켓팅 통합과 함께 고객 관리형 KMS 키를 사용하는 경우 Security Hub가 키와 상호 작용할 수 있도록 KMS 키에 추가 정책을 추가해야 합니다. 또한 키를 Security Hub 커넥터 권한에 추가하는 보안 주체가 키에 액세스할 수 있도록 허용하는 정책을 추가해야 합니다.
## Security Hub 권한 정책
다음 정책은 Security Hub가 Jira 및 ServiceNow 커넥터와 연결된 KMS 키에 액세스하고 사용할 수 있어야 하는 권한을 간략하게 설명합니다. 이 정책은 Security Hub 커넥터와 연결된 각 KMS 키에 추가해야 합니다.
정책에는 다음 권한이 포함됩니다.
+ Security Hub가 키를 사용하여 티켓팅 통합과 통신하는 데 사용되는 임시 액세스 또는 새로 고침 토큰을 보호할 수 있도록 허용합니다. 권한은 소스 ARN 및 암호화 컨텍스트를 확인하는 조건 블록을 통해 특정 Security Hub 커넥터와 관련된 작업으로 제한됩니다.
+ Security Hub가 `DescribeKey` 작업을 허용하여 KMS 키에 대한 메타데이터를 읽을 수 있도록 허용합니다. 이 권한은 Security Hub가 키의 상태 및 구성을 확인하는 데 필요합니다. 액세스는 소스 ARN 조건을 통해 특정 Security Hub 커넥터로 제한됩니다.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
+ *CloudProviderName*을 `JIRA_CLOUD` 또는 로 바꾸기 `SERVICENOW`
+ *AccountId*를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다.
+ *리전*을 해당 AWS 리전으로 바꿉니다(예: `us-east-1`).
## Security Hub 작업을 위한 IAM 위탁자 액세스
Security Hub 커넥터에 고객 관리형 KMS 키를 할당할 모든 보안 주체는 커넥터에 추가되는 키에 대한 키 작업(별칭 설명, 생성, 복호화, 재암호화 및 나열)을 수행할 수 있는 권한이 있어야 합니다. 이는 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) 및 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs에 적용됩니다. 다음 정책 설명은 이러한 APIs와 상호 작용할 보안 주체에 대한 정책의 일부로 포함되어야 합니다.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
정책 예제에서 다음 값을 대체하여 정책을 편집합니다.
+ *RoleName*을 Security Hub를 호출하는 IAM 역할의 이름으로 바꿉니다.
+ *CloudProviderName*을 `JIRA_CLOUD` 또는 로 바꿉니다`SERVICENOW`.
+ *AccountId*를 Security Hub 커넥터를 생성하는 계정 ID로 바꿉니다.
+ *리전*을 해당 AWS 리전으로 바꿉니다(예: `us-east-1`).
# 구성된 티켓팅 통합 테스트
구성된 Jira 및 ServiceNow 통합의 경우 연결을 테스트하여 Security Hub와 Jira 또는 ServiceNow 환경의 모든 구성이 완료되었는지 확인할 수 있습니다.
테스트 티켓 기능은 제목이 인 티켓을 생성합니다`TESTING Test CreateTicketV2 Finding`. 테스트 티켓은 테스트가 수행되는 계정의 계정 ID 및 리전, 샘플 리소스 세부 정보, 샘플 AWS 결과 JSON과 같은 샘플 데이터로 채워집니다.
## 콘솔을 사용하여 통합 테스트
다음 단계에 따라 통합을 테스트합니다.
1. Security Hub 탐색 패널에서 **통합을** 선택합니다.
1. **구성된 통합** 탭에서 테스트할 통합을 선택했습니다.
1. 통합의 개요 페이지에서 **테스트 티켓 생성을** 선택합니다.
1. 테스트가 성공하면 테스트 티켓에 대한 링크와 함께 성공 메시지가 표시됩니다. 테스트에 성공하지 못하면 테스트에 대한 오류가 표시됩니다. 오류 메시지에 따라 Security Hub 또는 Jira 또는 Service Now 환경의 구성 문제를 해결합니다.
**참고**
새 연결 설정 또는 기존 연결을 변경할 때 엔드 투 엔드 기능을 확인하는 데 도움이 되는 테스트 티켓 기능입니다. 이 기능은 Jira 또는 Service Now 환경이 사용될 때마다 새 티켓을 생성하며 연결을 정기적으로 확인하는 데 사용되지 않습니다.
## 를 사용한 테스트 AWS CLI
를 사용하여 통합을 테스트하려면 `--mode DRYRUN` 파라미터와 함께 `create-ticket-v2` 명령을 AWS CLI사용합니다.
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**예제**
다음 예제에서는 통합을 테스트하는 방법을 보여줍니다.
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**응답 성공**
응답이 성공하면 다음이 반환됩니다.
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
응답`TicketSrcUrl`의는 Jira 또는 ServiceNow 환경에서 테스트 티켓을 볼 수 있는 직접 링크를 제공합니다.
테스트가 실패하면 해결해야 할 구성 문제를 나타내는 오류 메시지가 표시됩니다.
## Jira 클라우드 통합 오류 문제 해결
Security Hub에서 Jira Cloud로의 통합을 테스트할 때 다음 오류 메시지가 반환될 수 있습니다. 이러한 오류 메시지는 커넥터의 구성 문제가 발생할 수 있는 위치와 해결 방법을 파악할 수 있습니다.
**Jira Cloud 통합 오류 메시지**
| 오류 | 오류 메시지 | 가능한 원인 및 해결 방법 |
| --- | --- | --- |
| ConflictException | 지라 프로젝트를 찾을 수 없음 | **가능한 원인:** 커넥터의 프로젝트가 올바르지 않거나 자격 증명/권한 문제로 인해 프로젝트에 액세스할 수 없습니다. **가능한 해결 방법:** 커넥터에 올바른 프로젝트를 추가하거나 올바른 자격 증명을 사용하여 Jira에 다시 인증합니다. |
| ConflictException | Security Hub 문제 유형을 찾을 수 없음 | **가능한 원인:** 앱 설치 문제 또는 문제 유형이 프로젝트와 연결되어 있지 않습니다. **가능한 해결 방법:** 사전 조건 단계를 수행하여 Jira 앱을 Jira 환경에 설치하고 앱을 프로젝트와 연결합니다. |