As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Integrações de terceiros para o Security Hub
Você pode aprimorar sua postura de segurança com integrações de terceiros para o AWS Security Hub. Com esse atributo, é possível habilitar integrações que consumam descobertas do Security Hub, permitindo incorporar suas ferramentas operacionais, de investigação e de resposta ao Security Hub. Atualmente, o Security Hub oferece suporte à integração com a Jira Cloud e o ServiceNow.
**Topics**
+ [Integrações para o AWS Security Hub Jira Cloud](jiracloud.md)
+ [Integração para a ServiceNow](servicenow.md)
+ [Políticas-chave do KMS para integrações de emissão de bilhetes do Security Hub](securityhub-v2-integrations-key-policy.md)
+ [Testando integrações de emissão de bilhetes configuradas](securityhub-v2-test-ticket-integration.md)
# Integrações para o AWS Security Hub Jira Cloud
Este tópico descreve como fazer a integração com Jira Cloud o. Antes de concluir qualquer um dos procedimentos neste tópico, é necessário adquirir um plano de assinatura da Jira Cloud. Para obter informações sobre os planos de assinatura, consulte [Definição de preços](https://www.atlassian.com/software/jira/pricing) no site da Atlassian.
Essa integração permite que você envie as descobertas do Security Hub para o Jira Cloud, manual ou automaticamente, para que você possa gerenciá-las como parte de seus fluxos de trabalho operacionais. Por exemplo, é possível atribuir propriedade a problemas que precisem de investigação e correção.
Para as contas em uma organização, somente o administrador delegado pode configurar uma integração. O administrador delegado pode usar manualmente o atributo de criação de tíquete para quaisquer descobertas de contas de membro. Além disso, o administrador delegado pode usar [regras de automação](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) para criar automaticamente tíquetes para qualquer descoberta associada às contas de membro. Ao definir uma regra de automação, o administrador delegado pode definir critérios, que podem incluir todas as contas de membro ou contas de membro específicas. Para obter informações sobre a definição de um administrador delegado, consulte [Definição de uma conta de administrador delegado no Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Para contas que não estejam em uma organização, todos os aspectos desse atributo estão disponíveis.
## Pré-requisitos
Antes de conectar o Security Hub ao seu Jira Cloud ambiente, você deve garantir que as seguintes etapas de configuração sejam executadas em seu ambiente Jira.
+ Instale o aplicativo de nuvem AWS Security Hub for Jira.
+ Tenha pelo menos um projeto de desenvolvimento de software gerenciado pela empresa.
+ Atribua o AWS aplicativo aos projetos de desenvolvimento de software que você deseja receber descobertas do Security Hub.
As etapas para cada um desses pré-requisitos estão listadas abaixo.
### 1. Instale o AWS Security Hub para o Jira Cloud aplicativo
O Security Hub tem um aplicativo para oferecer suporte à integração com o Jira. Esse aplicativo instala campos personalizados e um tipo de problema personalizado que permite que o Security Hub b preencha atributos específicos sobre as descobertas do Security Hub.
1. Faça login no seu site da Atlassian como administrador.
1. Escolha **Configurações** e escolha **Aplicações**.
1. Se for direcionado para a página do marketplace, escolha **Encontrar novas aplicações**. Se direcionado para a página de aplicações, escolha **Explorar aplicações** e, em seguida, pesquise por *AWS Security Hub para Jira Cloud*. Em seguida, escolha **Obter agora**.
### 2. Crie um projeto ou verifique projetos existentes
Essa etapa é necessária se ainda não tiver criado um projeto. Para obter informações sobre como criar um projeto, consulte [Criação de um novo projeto](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/) na documentação do Jira Cloud Support.
**Requisitos para a criação de um projeto**
Não deixe de fazer o seguinte ao criar um novo projeto.
+ Escolha **Desenvolvimento de software** para o modelo de projeto.
+ Escolha **Gerenciado pela empresa** para o tipo de projeto.
**Requisitos para projetos existentes**
Todos os projetos existentes em seu ambiente Jira, que serão integrados ao Security Hub, devem ser do tipo de projeto gerenciado **pela empresa**.
### 3. Adicione seus projetos ao AWS Security Hub para o Jira Cloud aplicativo
Para que o Security Hub possa enviar com sucesso as descobertas para o seu ambiente Jira, cada projeto que você deseja usar com o Security Hub deve estar associado ao AWS Security Hub for Jira Cloud app. A associação de um projeto do Jira ao aplicativo garante que os campos personalizados necessários sejam associados ao projeto e possam ser preenchidos quando o Security Hub envia as descobertas para o projeto.
1. Faça login no seu site da Atlassian como administrador.
1. Escolha **Configurações** e escolha **Aplicações**.
1. Na lista de aplicações, escolha **AWS Security Hub para Jira Cloud**.
1. Escolha a guia **Configurações do conector**.
1. Em **Projetos habilitados**, escolha **Adicionar projeto do Jira**.
1. No menu suspenso, escolha **Adicionar tudo** ou selecione um projeto. Repita essa parte da etapa se quiser adicionar mais de um projeto, mas não todos os projetos.
1. Escolha **Salvar**.
É possível verificar quais projetos foram instalados com êxito na guia **Gerenciador de instalações**. Também é possível verificar as configurações de campos, telas, status e fluxos de trabalho na guia **Gerenciador de instalações**.
Para obter informações adicionais sobre a Jira Cloud, consulte [Recursos da Jira Cloud](https://support.atlassian.com/jira-software-cloud/resources/) no site da Atlassian.
## Recomendações
**Criação de uma conta de sistema dedicada para seu ambiente Jira**
A integração do Security Hub Jira Cloud usa uma OAuth conexão associada a um usuário específico na sua instância do Jira. É recomendável criar uma conta de sistema dedicada para usar na sua OAuth conexão com o Security Hub pelos seguintes motivos:
+ Um usuário dedicado do sistema garante que a conexão não esteja associada a um funcionário cujas permissões para o ambiente Jira podem mudar com o tempo, afetando a capacidade do Security Hub de se integrar ao seu ambiente Jira.
+ Cada problema criado pelo Security Hub no Jira mostrará um criado por, que é o nome de usuário usado para criar a OAuth conexão. Usar uma conta do sistema para a OAuth conexão fará com que essa conta do sistema apareça como criadora do ticket, ajudando a dar visibilidade de que a descoberta foi criada por meio da integração do Security Hub e não manualmente por outro usuário do Jira.
## Configurar uma integração entre o Security Hub e Jira Cloud
O procedimento a seguir precisa ser concluído para cada um dos Jira Cloud projetos para os quais você deseja enviar as descobertas do Security Hub.
**nota**
Ao criar um Jira Cloud conector, você é redirecionado do atual Região da AWS para`"https://3rdp.oauth.console.api.aws"`, para poder concluir o registro do conector. Depois, você retornará ao Região da AWS local onde o conector está sendo criado.
**Para configurar uma integração para a Jira Cloud**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, escolha **Gerenciamento** e, em seguida, escolha **Integrações**.
1. Escolha **AdicionarJira Cloud**.
1. Em **Detalhes**, insira um nome exclusivo e descritivo para sua integração e determine se deseja inserir uma descrição opcional para sua integração.
1. Para **Criptografias**, escolha como você deseja criptografar suas credenciais de integração no Security Hub.
+ **Usar chave AWS própria** - Com essa opção, uma chave de serviço de propriedade do Security Hub será usada para criptografar seus dados de credenciais de integração no Security Hub.
+ **Escolha uma chave KMS diferente (avançada)** - Com essa opção, você escolhe uma AWS KMS key que você criou e que deseja ser usada para criptografar seus dados de credenciais de integração no Security Hub. Para obter informações sobre como criar uma AWS KMS chave, consulte [Criar uma AWS KMS chave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*. Se você optar por usar sua própria chave, deverá adicionar declarações de política à chave KMS que permitam que o Security Hub acesse a chave. Consulte [as AWS KMS principais políticas para integrações de emissão de tíquetes do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) para obter detalhes sobre as políticas necessárias.
**nota**
Você não poderá alterar essas configurações depois de concluir essa configuração. No entanto, se você escolher **Chave personalizada**, poderá editar sua política de chave personalizada a qualquer momento.
1. (Opcional) Em **Tags**, crie e adicione uma tag à sua integração. É possível adicionar até 50 tags.
1. Em **Autorizações**, escolha **Criar conector e autorizar**. Um pop-up aparecerá, onde é necessário escolher **Permitir** para concluir a autorização. Depois de concluir a autorização, uma caixa de seleção será exibida informando que a autorização obteve êxito.
1. Em **Configurações**, insira o ID do projeto da Jira Cloud.
1. Escolha **Concluir configuração**. Depois de concluir a configuração, será possível visualizar suas integrações configuradas na guia **Integrações configuradas**.
Depois de configurar sua integração com o Jira, você pode testar a conexão para confirmar se tudo está configurado corretamente no seu ambiente Jira e no Security Hub. Consulte [Testando integrações de emissão de tíquetes configuradas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) para obter mais detalhes.
## Detalhes adicionais da integração com o Jira
**Considerações sobre limites de taxa**
O Jira impõe limites de taxa de API para manter a estabilidade do serviço e garantir o uso justo em toda a plataforma. Ao usar a integração do AWS Security Hub com o Jira, esses limites de taxa podem afetar o processamento das descobertas do Security Hub, principalmente em ambientes que geram grandes volumes de descobertas. Isso pode resultar em atrasos na criação de tickets e, em cenários com volumes de descobertas extremamente altos, algumas descobertas podem nem mesmo ser processadas nos tíquetes do Jira. Para otimizar sua integração, considere implementar filtros nas regras de automação no Security Hub para priorizar a emissão de tíquetes nas descobertas mais importantes, monitorar o uso da API do Jira por meio do console administrativo e planejar seu fluxo de trabalho com base nos limites de taxa específicos do nível de licença do Jira. Para implementações críticas para os negócios, entre em contato com o administrador do Jira para revisar suas alocações de limite de taxa.
Para obter informações detalhadas sobre os limites de taxa da API Jira, consulte a documentação sobre [limitação de taxa](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) no site do Atlassian Developers Guide.
**Autenticação e segurança**
A autenticação da API do Jira requer uma configuração OAuth 2.0 adequada para acesso seguro. Garanta que seu aplicativo siga as melhores práticas de segurança da Atlassian para integração de APIs.
Recursos:
+ Jira Rest APi v3: [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Implementando OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Administre os aplicativos do Jira Cloud: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Gerencie as permissões do Jira: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Criação de um tíquete para uma integração da Jira Cloud
Depois de criar uma integração com a Jira Cloud, será possível criar um tíquete para uma descoberta.
**nota**
Uma descoberta sempre estará associada a um único tíquete durante todo o seu ciclo de vida. Todas as atualizações subsequentes de uma descoberta após a criação inicial serão enviadas para o mesmo tíquete. Se um conector associado a uma regra de automação for alterado, o conector atualizado será usado somente para descobertas novas e recebidas que correspondam aos critérios da regra.
**Para criar um tíquete para uma descoberta**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, em **Inventário**, selecione **Descobertas**.
1. Escolha uma descoberta. Na descoberta, escolha **Criar tíquete**.
1. Em **Integração**, abra o menu suspenso e escolha uma integração. Essa integração é a integração que você criou anteriormente quando configurou o projeto da Jira Cloud. Escolha a integração para a qual você deseja que as descobertas sejam enviadas.
1. Escolha **Criar**.
# Visualização de um tíquete para uma integração da Jira Cloud
Depois de criar um tíquete para uma descoberta, será possível abrir o tíquete na sua instância da Jira Cloud.
**Para visualizar uma descoberta em sua instância da Jira Cloud**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, em **Inventário**, selecione **Descobertas**.
1. Escolha a descoberta em que você criou o tíquete.
1. Na descoberta, escolha o ID do tíquete para visualizar o tíquete em sua instância da Jira Cloud ou **Visualizar JSON**.
# Integração para a ServiceNow
Este tópico descreve como acessar o console do Security Hub para configurar uma integração para a ServiceNow ITSM. Antes de concluir qualquer um dos procedimentos deste tópico, é necessário ter uma assinatura do ServiceNow ITSM para poder adicionar essa integração. Para obter mais informações, consulte [a página de definição de preços](https://www.servicenow.com/lpgp/pricing-itsm.html) no site da ServiceNow.
Para as contas em uma organização, somente o administrador delegado pode configurar uma integração. O administrador delegado pode usar manualmente o atributo de criação de tíquete para quaisquer descobertas de contas de membro. Além disso, o administrador delegado pode usar [regras de automação](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) para criar automaticamente tíquetes para qualquer descoberta associada às contas de membro. Ao definir uma regra de automação, o administrador delegado pode definir critérios, que podem incluir todas as contas de membro ou contas de membro específicas. Para obter informações sobre a definição de um administrador delegado, consulte [Definição de uma conta de administrador delegado no Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html).
Para contas que não estejam em uma organização, todos os aspectos desse atributo estão disponíveis.
## Pré-requisitos - configurar o ambiente ServiceNow
É necessário concluir os pré-requisitos a seguir antes de configurar uma integração para a ServiceNow ITSM. Caso contrário, sua integração entre a ServiceNow ITSM e o Security Hub não funcionará.
### 1. Instale a integração das descobertas do Security Hub para o IT Service Management (ITSM)
O procedimento a seguir descreve como instalar o plugin do Security Hub.
1. Faça login na sua instância do ServiceNow ITSM e, em seguida, abra o navegador da aplicação.
1. Navegue até a [ServiceNow loja](https://store.servicenow.com/store).
1. Pesquise por *integração de descobertas do Security Hub para o IT Service Management (ITSM)* e, em seguida, escolha **Obter** para instalar a aplicação.
**nota**
Nas configurações da aplicação do Security Hub, escolha qual ação realizar quando novas descobertas do Security Hub forem enviadas ao seu ambiente do ServiceNow ITSM. É possível escolher **Não fazer nada**, **Criar incidente**, **Criar problema** ou **Criar ambos (incidente/problema)**.
### 2. Configurar o tipo de concessão de credenciais do cliente para solicitações de entrada OAuth
Você deve configurar esse tipo de concessão para OAuth solicitações de entrada. Para obter mais informações, consulte O [tipo de concessão de credenciais de cliente para entrada OAuth é suportado](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212) na página da Web de ServiceNow Support.
### 3. Crie um OAuth aplicativo
Se você já criou um OAuth aplicativo, pode ignorar esse pré-requisito. Para obter informações sobre como criar um OAuth aplicativo, consulte [Configuração OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest).
## Pré-requisitos - configurar AWS Secrets Manager
Para usar a integração do Security Hub com ServiceNow, as credenciais do seu ServiceNow OAuth aplicativo devem ser armazenadas no Secrets Manager. Armazenar suas credenciais no Secrets Manager permite que você tenha controle e visibilidade do uso das credenciais, além de permitir que o Security Hub use as credenciais para se integrar à sua instância. ServiceNow Para armazenar suas credenciais no Secrets Manager, você deve usar uma AWS KMS chave gerenciada pelo cliente para proteger os segredos. Essa AWS KMS chave permite que você proteja os segredos enquanto estão armazenados em repouso e também permite que uma política seja anexada à chave, dando ao Security Hub permissões para acessar a chave que está protegendo o segredo.
Use as etapas a seguir para configurar o Secrets Manager para suas ServiceNow credenciais.
### Etapa 1: anexar uma política à sua AWS KMS chave
Para configurar sua ServiceNow integração com sucesso, você deve primeiro conceder permissões ao Security Hub para usar a AWS KMS chave que será associada às suas ServiceNow credenciais no Secrets Manager.
**Para modificar a política de AWS KMS chaves do Security Hub para acessar suas ServiceNow credenciais**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar a AWS região, use o seletor de região no canto superior direito da página.
1. Selecione uma AWS KMS chave existente ou execute as etapas para [Criar uma nova chave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS KMS desenvolvedor*.
1. Na seção **Política de chave** escolha **Editar**.
1. Se **a opção Alternar para o modo de exibição de política** for exibida, escolha-a para exibir a política de chaves e, em seguida, escolha **Editar**.
1. Copie o seguinte bloco de política para sua política de AWS KMS chaves para conceder permissão ao Security Hub para usar sua chave.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Edite a política substituindo os seguintes valores no exemplo de política:
+ *your-account-id*Substitua pelo ID AWS da sua conta.
+ *your-region*Substitua pela sua AWS região (por exemplo,`us-east-1`).
1. Se você adicionou a declaração de política antes da declaração final, adicione uma vírgula antes de adicionar essa declaração. Certifique-se de que a sintaxe JSON da sua política de AWS KMS chaves seja válida.
1. Escolha **Salvar**.
1. (Opcional) Copie a chave ARN em um bloco de notas para uso nas etapas posteriores.
### Etapa 2: Crie o segredo no Secrets Manager
Crie um segredo no Secrets Manager que armazenará suas ServiceNow credenciais. O Security Hub acessará esse segredo ao interagir com seu ServiceNow ambiente.
Siga as etapas [para criar um segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) no *Guia do AWS Secrets Manager usuário*. Depois de criar seu segredo, copie o ARN secreto, pois você precisará dele ao criar seu conector do Security Hub.
Ao criar o segredo, certifique-se de configurar o seguinte:
**Tipo secreto**
Outro tipo de segredo
**Pares de chave/valor (formato de texto simples)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
Os nomes dos campos devem ser exatos `ClientId` e `ClientSecret` (diferenciar maiúsculas de minúsculas). O Security Hub exige esses nomes exatos para recuperar as credenciais.
**Chave de criptografia**
Use a AWS KMS chave que você configurou na Etapa 1
**Política de recursos**
Use a seguinte política de recurso:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Agora que seu segredo está configurado, você pode criar um conector do Security Hub usando a API CreateConnector V2 ou o AWS console. Você precisará fornecer:
+ **InstanceName**: o URL da sua ServiceNow instância (por exemplo,`your-instance.service-now.com`)
+ **SecretArn**: O ARN do segredo que você criou neste procedimento
## Configure uma integração para a ServiceNow ITSM
O Security Hub pode criar incidentes ou problemas automaticamente no ServiceNow ITSM.
**Para configurar uma integração para a ServiceNow ITSM**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, escolha **Gerenciamento** e, em seguida, escolha **Integrações**.
1. Em **ServiceNow ITSM**, escolha **Adicionar integração**.
1. Em **Detalhes**, insira um nome para sua integração e determine se deseja inserir uma descrição opcional para sua integração.
1. Para **Criptografias**, escolha como você deseja criptografar suas credenciais de integração no Security Hub.
+ **Usar chave AWS própria** - Com essa opção, uma chave de serviço de propriedade do Security Hub será usada para criptografar seus dados de credenciais de integração no Security Hub.
+ **Escolha uma chave KMS diferente (avançada)** - Com essa opção, você escolhe uma AWS KMS key que você criou e que deseja ser usada para criptografar seus dados de credenciais de integração no Security Hub. Para obter informações sobre como criar uma AWS KMS chave, consulte [Criar uma AWS KMS chave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*. Se você optar por usar sua própria chave, deverá adicionar declarações de política à chave KMS que permitam que o Security Hub acesse a chave. Consulte [as AWS KMS principais políticas para integrações de emissão de tíquetes do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) para obter detalhes sobre as políticas necessárias.
**nota**
Você não poderá alterar essas configurações depois de concluir essa configuração. No entanto, se você escolher **Chave personalizada**, poderá editar sua política de chave personalizada a qualquer momento.
1. Em **Credenciais**, insira seu ServiceNow ITSM URL e o ARN do AWS Secrets Manager seu segredo que foi gerado na seção de pré-requisitos.
1. Em **Tags**, determine se é necessário criar e adicionar uma tag opcional à sua integração.
1. Escolha **Adicionar integração**. Depois de concluir a configuração, será possível visualizar suas integrações configuradas na guia **Integrações configuradas**.
Depois de configurar sua integração com, ServiceNow você pode testar a conexão para confirmar se tudo está configurado corretamente em seu ServiceNow ambiente e no Security Hub. Consulte [Testando integrações de emissão de tíquetes configuradas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html) para obter mais detalhes.
# Criação de um tíquete para uma integração da ServiceNow ITSM
Depois de criar uma integração com a ServiceNow ITSM, será possível criar um tíquete para uma descoberta.
**nota**
Uma descoberta sempre estará associada a um único tíquete durante todo o seu ciclo de vida. Todas as atualizações subsequentes de uma descoberta após a criação inicial serão enviadas para o mesmo tíquete. Se um conector associado a uma regra de automação for alterado, o conector atualizado será usado somente para descobertas novas e recebidas que correspondam aos critérios da regra.
**Para criar um tíquete para uma descoberta**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, em **Inventário**, selecione **Descobertas**.
1. Escolha uma descoberta. Na descoberta, escolha **Criar tíquete**.
1. Em **Integração**, abra o menu suspenso e escolha uma integração.
1. Escolha **Criar**.
# Visualização de um tíquete para uma integração da ServiceNow ITSM
Depois de criar um tíquete para uma descoberta, será possível abrir o tíquete na sua instância da ServiceNow ITSM.
**Para visualizar uma descoberta em sua instância da ServiceNow ITSM**
1. Faça login na sua AWS conta com suas credenciais e abra o console do Security Hub em [https://console.aws.amazon.com/securityhub/v2/home? região = us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. No painel de navegação, em **Inventário**, selecione **Descobertas**.
1. Escolha a descoberta em que você criou o tíquete.
1. Na descoberta, escolha o ID do tíquete para visualizar o tíquete em sua instância da ServiceNow ITSM ou **Visualizar JSON**.
# Políticas-chave do KMS para integrações de emissão de bilhetes do Security Hub
Ao usar chaves KMS gerenciadas pelo cliente com integrações de emissão de tíquetes do Security Hub, políticas adicionais precisam ser adicionadas à chave KMS para permitir que o Security Hub interaja com a chave. Além disso, é necessário adicionar políticas que permitam que o principal que está adicionando a chave ao conector do Security Hub tenha permissões para acessar a chave.
## Política de permissões do Security Hub
A política a seguir descreve as permissões que o Security Hub precisa para poder acessar e usar a chave KMS associada ao seu Jira e aos conectores. ServiceNow Essa política precisa ser adicionada a cada chave KMS associada a um conector do Security Hub.
A política contém as seguintes permissões:
+ Permite que o Security Hub proteja, acesse temporariamente ou atualize os tokens usados para se comunicar com suas integrações de emissão de bilhetes usando a chave. As permissões são restritas às operações relacionadas a conectores específicos do Security Hub por meio do bloco de condições que verifica o ARN de origem e o contexto de criptografia.
+ Permite que o Security Hub leia metadados sobre a chave KMS ao permitir a operação. `DescribeKey` Essa permissão é necessária para que o Security Hub verifique o status e a configuração da chave. O acesso é limitado a conectores específicos do Security Hub por meio da condição do ARN de origem.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Edite a política substituindo os seguintes valores no exemplo de política:
+ *CloudProviderName*Substituir por `JIRA_CLOUD` ou `SERVICENOW`
+ *AccountId*Substitua pelo ID da conta em que você está criando o conector do Security Hub.
+ *Region*Substitua pela sua AWS região (por exemplo,`us-east-1`).
## Acesso de entidade principal ao IAM para operações do Security Hub
Qualquer diretor que atribuirá chaves KMS gerenciadas pelo cliente a um conector do Security Hub precisa ter permissões para realizar operações de chave (descrever, gerar, descriptografar, recriptografar e listar aliases) para a chave que está sendo adicionada ao conector. Isso se aplica ao [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) APIse. A declaração de política a seguir deve ser incluída como parte da política para qualquer diretor que interaja com eles APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Edite a política substituindo os seguintes valores no exemplo de política:
+ *RoleName*Substitua pelo nome da função do IAM que está fazendo chamadas para o Security Hub.
+ Substitua *CloudProviderName* por `JIRA_CLOUD` ou `SERVICENOW`.
+ *AccountId*Substitua pelo ID da conta em que você está criando o conector do Security Hub.
+ *Region*Substitua pela sua AWS região (por exemplo,`us-east-1`).
# Testando integrações de emissão de bilhetes configuradas
Para o Jira configurado e ServiceNow as integrações, você pode testar a conexão para garantir que toda a configuração no Security Hub e no seu Jira ou ServiceNow ambiente esteja completa.
O recurso de tíquete de teste criará um tíquete com o título de`TESTING Test CreateTicketV2 Finding`. O tíquete de teste é preenchido com dados de amostra, como ID da conta e região da conta em que o teste é realizado, detalhes do recurso de amostra e amostra de AWS Finding JSON.
## Testando integrações usando o console
Use as etapas a seguir para testar sua integração:
1. No painel de navegação do Security Hub, escolha **Integrações.**
1. Na guia **Integrações configuradas**, escolha a integração que você deseja testar.
1. Na página de visão geral da sua integração, escolha **Criar tíquete de teste**.
1. Se o teste for bem-sucedido, uma mensagem de sucesso junto com um link para o tíquete de teste será exibida. Se o teste não for bem-sucedido, um erro para o teste será exibido. Com base na mensagem de erro, resolva os problemas de configuração no Security Hub ou em seu ambiente Jira ou Service Now.
**nota**
O recurso de tíquete de teste tem como objetivo ajudar a verificar a funcionalidade de ponta a ponta na configuração de uma nova conexão ou quando você faz alterações em uma conexão existente. Esse recurso criará um novo ticket em seu ambiente Jira ou Service Now toda vez que for usado e não se destina a ser usado para verificação regular de sua conexão.
## Testando com o AWS CLI
Para testar sua integração usando o AWS CLI, use o `create-ticket-v2` comando com o `--mode DRYRUN` parâmetro:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Exemplo**
O exemplo a seguir mostra como testar uma integração:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Resposta bem-sucedida**
Uma resposta bem-sucedida retorna o seguinte:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
A `TicketSrcUrl` resposta fornece um link direto para visualizar o tíquete de teste em seu Jira ou ServiceNow ambiente.
Se o teste falhar, uma mensagem de erro será exibida indicando o problema de configuração que precisa ser resolvido.
## Solucionando erros de integração com a nuvem do Jira
Ao testar sua integração com o Jira Cloud a partir do Security Hub, as seguintes mensagens de erro podem ser retornadas. Essas mensagens de erro podem fornecer informações sobre onde pode estar o problema de configuração com o conector e como resolvê-lo.
**Mensagens de erro de integração com o Jira Cloud**
| Erro | Mensagem de erro | Causa provável e resolução |
| --- | --- | --- |
| ConflictException | Não é possível encontrar o projeto jira | **Causa provável:** o projeto no conector está incorreto ou credentials/permissions problema nos impedindo de acessar o projeto. **Resolução provável:** adicione o projeto correto ao conector ou reautentique-se no Jira com as credenciais corretas. |
| ConflictException | Tipo de problema do Security Hub não encontrado | **Causa provável:** o problema ou o tipo de problema na instalação do aplicativo não está associado ao projeto. **Resolução provável:** execute a etapa de pré-requisito para instalar o aplicativo Jira em seu ambiente Jira e associar o aplicativo ao projeto. |