ServiceNow 的集成 - AmazonSecurity Hub
先决条件-配置 ServiceNow 环境先决条件-配置 Amazon Secrets Manager为 ServiceNow ITSM 配置集成
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ServiceNow 的集成

本主题介绍如何访问 Security Hub 控制台以为 ServiceNow ITSM 配置集成。在完成本主题中的任何过程之前,必须先订阅 ServiceNow ITSM,然后才能添加此集成。有关更多信息,请参阅 ServiceNow 网站上的定价页面

对于组织内的账户,只有委派管理员才能配置集成。委派管理员可以手动为任何成员账户调查发现使用创建票证功能。此外,委派管理员可以使用自动化规则自动为与成员账户关联的任何调查发现创建票证。在定义自动化规则时,委派管理员可以设置条件,这些条件可以包括所有成员账户或特定成员账户。有关设置委派管理员的信息,请参阅在 Security Hub 中设置委派管理员账户

对于非组织账户,此功能的所有方面均可使用。

先决条件-配置 ServiceNow 环境

在为 ServiceNow ITSM 配置集成之前,您必须先完成以下先决条件。否则,ServiceNow ITSM 和 Security Hub 之间的集成将无法正常工作。

1. 安装用于 IT 服务管理(ITSM)的 Security Hub 调查发现集成

以下过程介绍如何安装 Security Hub 插件。

  1. 登录您的 ServiceNow ITSM 实例,然后打开应用程序导航器。

  2. 导航到ServiceNow 商店

  3. 搜索用于 IT 服务管理(ITSM)的 Security Hub 调查发现集成,然后选择获取以安装应用程序。

注意

在 Security Hub 应用程序的设置中,选择当新的 Security Hub 调查发现发送到您的 ServiceNow ITSM 环境时要执行的操作。您可以选择不执行任何操作创建事件创建问题创建两者(事件/问题)

2. 为入站 OAuth 请求配置客户端凭证授权类型

您必须为入站 OAuth 请求配置此授权类型。有关更多信息,请参阅 S OAuth upport 网页中支持入站的ServiceNow客户凭证授权类型

3. 创建 OAuth 应用程序

如果您已经创建了 OAuth 应用程序,则可以跳过此先决条件。有关创建 OAuth 应用程序的信息,请参阅设置 OAuth

先决条件-配置 Amazon Secrets Manager

要使用 Security Hub 的集成 ServiceNow,您的 ServiceNow OAuth 应用程序的凭据必须存储在 Secrets Manager 中。将您的证书存储在 Secrets Manager 中允许您控制和查看凭证的使用,同时还允许 Security Hub 使用这些证书与您的 ServiceNow 实例集成。要将您的凭据存储在 Secrets Manager 中,您必须使用客户管理的密Amazon KMS钥来保护机密。此密Amazon KMS钥允许您在静态存储时保护机密,还允许在密钥上附加策略,从而授予 Security Hub 访问保护该密钥的权限。

使用以下步骤为您的 ServiceNow 证书配置 Secrets Manager。

步骤 1:将策略附加到您的Amazon KMS密钥

要成功配置您的 ServiceNow 集成,您必须首先向 Security Hub 授予使用将在 Secrets Manager 中与您的 ServiceNow 凭据关联的密Amazon KMS钥的权限。

修改 Secur Amazon KMS ity Hub 访问您的 ServiceNow 凭证的密钥策略

  1. https://console.aws.amazon.com/km Amazon KMS s 处打开控制台。

  2. 要更改Amazon区域,请使用页面右上角的区域选择器。

  3. 选择现有Amazon KMS密钥或执行《Amazon KMS开发者指南》创建新密钥的步骤。

  4. Key policy(密钥策略)部分,选择 Edit(编辑)。

  5. 如果显示 “切换到策略视图”,请选择它以显示密钥策略,然后选择 “编辑”

  6. 将以下策略块复制到您的Amazon KMS密钥策略中,以授予 Security Hub 使用您的密钥的权限。

    {
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::your-account-id:root"
        },
        "Action": "kms:*",
        "Resource": "*"
        },
        {
        "Sid": "Allow Security Hub connector service to decrypt secrets",
        "Effect": "Allow",
        "Principal": {
            "Service": "connector.securityhub.amazonaws.com"
        },
        "Action": "kms:Decrypt",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
            "kms:ViaService": "secretsmanager.your-region.amazonaws.com"
            },
            "StringLike": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
            }
        }
        }
    ]
    }

  7. 通过替换策略示例中的以下值来编辑策略:

    • your-account-id替换为您的Amazon账户 ID。

    • your-region替换为您Amazon所在的地区(例如,us-east-1)。

  8. 如果在最后一条语句之前添加了策略语句,请在添加该语句之前添加一个逗号。确保Amazon KMS密钥策略的 JSON 语法有效。

  9. 选择保存

  10. (可选)将密钥 ARN 复制到记事本中,以便在后续步骤中使用。

第 2 步:在 Secrets Manager 中创建密钥

在 Secrets Manager 中创建一个用于存储您的 ServiceNow 凭据的密钥。与您的 ServiceNow 环境交互时,Security Hub 将访问此密钥。

按照《Amazon Secrets Manager用户指南》中的步骤创建密钥。创建密钥后,复制密钥 ARN,因为在创建 Security Hub 连接器时需要使用它。

创建密钥时,请确保配置以下内容:

密钥类型

其他密钥类型

键/值对(纯文本格式)
{
    "ClientId": "your-servicenow-client-id",
    "ClientSecret": "your-servicenow-client-secret"
    }
注意

字段名称必须完全相同ClientIdClientSecret(区分大小写)。Security Hub 需要这些确切的名称才能检索凭证。

加密密钥

使用您在步骤 1 中配置的Amazon KMS密钥

资源政策

请使用以下资源策略:

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
        "Effect": "Allow",
        "Principal": {
            "Service": "connector.securityhub.amazonaws.com"
        },
        "Action": "secretsmanager:GetSecretValue",
        "Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
        "Condition": {
            "StringEquals": {
            "aws:SourceAccount": "your-account-id",
            "aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
            }
        }
        }
    ]
    }

现在,您的密钥已配置完毕,您可以使用 CreateConnector V2 API 或Amazon控制台创建 Security Hub 连接器。你需要提供:

  • InstanceName: 您的 ServiceNow 实例 URL(例如,your-instance.service-now.com

  • SecretArn: 您在此过程中创建的密钥的 ARN

为 ServiceNow ITSM 配置集成

Security Hub 可以自动在 ServiceNow ITSM 中创建事件或问题。

为 ServiceNow ITSM 配置集成

  1. 使用您的凭据登录您的Amazon帐户,然后在 https://console.aws.amazon.com/securityhub/v2/home 上打开 Security Hub 控制台? region=us-east-1。

  2. 在导航窗格中,选择管理,然后选择集成

  3. ServiceNow ITSM 下,选择添加集成

  4. 对于详细信息,为集成输入名称,并确定是否为集成输入了可选描述。

  5. 对于加密,请选择您想要在 Security Hub 中加密集成凭据的方式。

    • 使用Amazon自有密钥-使用此选项,将使用 Security Hub 拥有的服务密钥来加密您在 Security Hub 中的集成凭证数据。

    • 选择其他 KMS 密钥(高级)-使用此选项Amazon KMS key,您可以选择自己创建的密钥,用于在 Security Hub 中加密集成凭证数据。有关如何创建Amazon KMS密钥的信息,请参阅Amazon Key Management Service开发人员指南中的创建Amazon KMS密钥。如果您选择使用自己的密钥,则必须在 KMS 密钥中添加策略声明,以允许 Security Hub 访问该密钥。有关必要策略的详细信息,请参阅 Security Hub 票务集成的Amazon KMS关键政策。

    注意

    配置完成后,您将无法更改这些设置。但是,如果您选择自定义密钥,则可以随时编辑您的自定义密钥策略。

  6. 对于证书,请输入您ServiceNow ITSM的 URL 以及在先决条件部分生成的Amazon Secrets Manager密钥的 ARN。

  7. 对于标签,确定是否创建可选标签并将其添加到您的集成中。

  8. 选择添加集成。完成配置后,您可以在已配置的集成选项卡中查看已配置的集成。

配置完与的集成后, ServiceNow 您可以测试连接,以确认您的 ServiceNow 环境和 Security Hub 中的所有配置是否正确。有关更多详细信息,请参阅测试配置的工单集成