本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Sec Amazon urity Hub 的集成 Jira Cloud
本主题介绍如何与集成Jira Cloud。在完成本主题中的任何过程之前,您必须购买 Jira Cloud 订阅计划。有关订阅计划的信息,请参阅 Atlassian 网站上的定价
这种集成允许您手动或自动将 Security Hub 调查结果发送到 Jira Cloud,这样您就可以将其作为操作工作流程的一部分进行管理。例如,您可以将所有权分配给需要调查和修复的问题。
对于组织内的账户,只有委派管理员才能配置集成。委派管理员可以手动为任何成员账户调查发现使用创建票证功能。此外,委派管理员可以使用自动化规则自动为与成员账户关联的任何调查发现创建票证。在定义自动化规则时,委派管理员可以设置条件,这些条件可以包括所有成员账户或特定成员账户。有关设置委派管理员的信息,请参阅在 Security Hub 中设置委派管理员账户。
对于非组织账户,此功能的所有方面均可使用。
先决条件
在将 Security Hub 与您的Jira Cloud环境连接之前,您必须确保在 Jira 环境中完成以下配置步骤。
-
安装 Sec Amazon urity Hub for Jira 云端应用程序。
-
至少有一个由公司管理的软件开发项目。
-
将Amazon应用程序分配给您想要从 Security Hub 接收发现结果的软件开发项目。
下面列出了每个先决条件的步骤。
1. 安装适用于Jira Cloud应用程序的 S Amazon ecurity Hub
Security Hub 有一款支持其与 Jira 集成的应用程序。此应用程序安装自定义字段和自定义问题类型,允许 Security Hub b 填充有关 Security Hub 发现的特定属性。
-
以管理员身份登录您的 Atlassian 站点。
-
选择设置,然后选择应用程序。
-
如果定向到市场页面,请选择查找新应用程序。如果定向到应用程序页面,请选择浏览应用程序,然后搜索 Amazon Security Hub for Jira Cloud。然后选择立即获取。
2. 创建项目或验证现有项目
如果您尚未创建项目,则需要执行此步骤。有关如何创建项目的信息,请参阅 Jira Cloud Support 文档中的创建新项目
创建项目的要求
创建新项目时,请务必执行以下操作:
-
为项目模板选择软件开发。
-
为项目类型选择公司管理。
现有项目的要求
您的 Jira 环境中任何将与 Security Hub 集成的现有项目都必须是公司管理的项目类型。
3. 将你的项目添加到 Sec Amazon urity Hub 的Jira Cloud应用程序
为了让 Security Hub 能够成功地将发现结果发送到您的 Jira 环境,您要与 Security Hub 一起使用的每个项目都必须与Jira Cloud应用程序的 Sec Amazon urity Hub 相关联。将 Jira 项目与应用程序关联可确保必需的自定义字段与项目相关联,并且可以在 Security Hub 向项目发送调查结果时填充这些字段。
-
以管理员身份登录您的 Atlassian 站点。
-
选择设置,然后选择应用程序。
-
从应用程序列表中,选择 Amazon Security Hub for Jira Cloud。
-
选择连接器设置选项卡。
-
在已启用的项目下,选择添加 Jira 项目。
-
从下拉列表中选择全部添加,或选择一个项目。如果要添加多个项目,但不是全部项目,请重复此部分步骤。
-
选择保存。
-
您可以从安装管理器选项卡验证已成功安装了哪些项目。您还可以从安装管理器选项卡验证字段、屏幕、状态和工作流的配置。
有关 Jira Cloud 的更多信息,请参阅 Atlassian 网站上的 Jira Cloud 资源
建议
为您的 Jira 环境创建专用的系统帐户
Security Hub 的集成Jira Cloud使用与你的 Jira 实例中的特定用户关联的 OAuth 连接。出于以下原因,建议为 OAuth 连接创建专用的系统帐户以用于 Security Hub 连接:
-
专门的系统用户可确保该连接与员工无关,该员工对 Jira 环境的权限可能会随着时间的推移而发生变化,从而影响 Security Hub 与您的 Jira 环境集成的能力。
-
Security Hub 在 Jira 中创建的每个议题都将显示一个创建者,即用于创建 OAuth 连接的用户名。使用系统帐户进行 OAuth 连接将导致此系统帐户显示为工单创建者,这有助于显示发现结果是通过 Security Hub 集成创建的,而不是由其他 Jira 用户手动创建的。
在 Security Hub 和之间配置集成 Jira Cloud
对于要向其发送 Security Hub 调查结果的每个Jira Cloud项目,都需要完成以下步骤。
注意
创建Jira Cloud连接器时,您会从当前连接器重定向Amazon Web Services 区域到"https://3rdp.oauth.console.api.aws",因此您可以完成连接器注册。之后,您将返回到创建连接器Amazon Web Services 区域的位置。
为 Jira Cloud 配置集成
-
使用您的凭据登录您的Amazon帐户,然后在 https://console.aws.amazon.com/securityhub/v2/home 上打开 Security Hub 控制台? region=us
-east-1。 -
在导航窗格中,选择管理,然后选择集成。
-
选择添加Jira Cloud。
-
对于详细信息,为集成输入唯一描述性名称,并确定是否为集成输入了可选描述。
-
对于加密,请选择您想要在 Security Hub 中加密集成凭据的方式。
-
使用Amazon自有密钥-使用此选项,将使用 Security Hub 拥有的服务密钥来加密您在 Security Hub 中的集成凭证数据。
-
选择其他 KMS 密钥(高级)-使用此选项Amazon KMS key,您可以选择自己创建的密钥,用于在 Security Hub 中加密集成凭证数据。有关如何创建Amazon KMS密钥的信息,请参阅《Amazon Key Management Service开发者指南》中的创建Amazon KMS密钥。如果您选择使用自己的密钥,则必须在 KMS 密钥中添加策略声明,以允许 Security Hub 访问该密钥。有关必要策略的详细信息,请参阅 Security Hub 票务集成的Amazon KMS关键政策。
注意
配置完成后,您将无法更改这些设置。但是,如果您选择自定义密钥,则可以随时编辑您的自定义密钥策略。
-
-
(可选)对于标签,请创建标签并将其添加到您的集成。最多可以添加 50 个标签。
-
对于授权,请选择创建连接器并授权。此时将出现一个弹出窗口,您可以在其中选择允许以完成授权。完成授权后,将出现一个复选框,告知您授权成功。
-
对于配置,输入 Jira Cloud 项目 ID。
-
选择完成配置。完成配置后,您可以在已配置的集成选项卡中查看已配置的集成。
配置与 Jira 的集成后,您可以测试连接,以确认您的 Jira 环境和 Security Hub 中的所有配置是否正确。有关更多详细信息,请参阅测试已配置的工单集成。
其他 Jira 集成详情
速率限制注意事项
Jira 强制执行 API 速率限制,以维护服务稳定性并确保其平台的公平使用。将 S Amazon ecurity Hub 与 Jira 集成使用时,这些速率限制可能会影响 Security Hub 调查结果的处理,尤其是在生成大量调查结果的环境中。这可能会导致工单创建延迟,并且在查找量极高的场景中,某些发现可能根本无法处理到 Jira 工单中。要优化集成,可以考虑在 Security Hub 中对自动化规则实施筛选器,以确定最重要发现的工单优先级,通过管理员控制台监控 Jira API 的使用情况,并根据 Jira 许可等级的特定速率限制规划工作流程。对于业务关键型实施,请联系您的 Jira 管理员以查看您的速率限制分配。
有关 Jira API 速率限制的详细信息,请参阅《Atlassian 开发者指南》网站上的速率限制
身份验证和安全
Jira API 身份验证需要正确的 OAuth 2.0 配置才能进行安全访问。确保您的应用程序遵循 Atlassian 的 API 集成安全最佳实践。
资源:
-
Jira Rest APi v3:https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/
-
实现 OAuth 2.0 (3LO):https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/
-
管理 Jira Cloud 应用程序:https://support.atlassian.com/jira-cloud-administration/resources/
-
管理 Jira 权限:https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/