

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bidirektionale Integration AWS Security Hub CSPM mit Jira-Software
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software"></a>

*Joaquín Rinaudo, Amazon Web Services*

## Zusammenfassung
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-summary"></a>

Diese Lösung unterstützt eine bidirektionale Integration zwischen und Jira. AWS Security Hub CSPM Mit dieser Lösung können Sie automatisch und manuell Jira-Tickets aus den Ergebnissen des Security Hub CSPM erstellen und aktualisieren. Sicherheitsteams können diese Integration verwenden, um Entwicklerteams über schwerwiegende Sicherheitslücken zu informieren, die Maßnahmen erfordern.

Die Lösung ermöglicht Ihnen:
+ Wählen Sie aus, welche Security Hub CSPM kontrolliert, Tickets automatisch in Jira erstellen oder aktualisieren.
+ Verwenden Sie in der Security Hub CSPM-Konsole benutzerdefinierte Security Hub CSPM-Aktionen, um Tickets in Jira manuell zu eskalieren.
+ Weisen Sie Tickets in Jira automatisch auf der Grundlage der in definierten Tags zu. AWS-Konto AWS Organizations Wenn dieses Tag nicht definiert ist, wird ein standardmäßiger Beauftragter verwendet.
+ Unterdrücken Sie automatisch CSPM-Ergebnisse von Security Hub, die in Jira als falsch positiv oder als akzeptiertes Risiko gekennzeichnet sind.
+ Schließt ein Jira-Ticket automatisch, wenn der zugehörige Befund im Security Hub CSPM archiviert wird.
+ Öffnen Sie Jira-Tickets erneut, wenn Security Hub CSPM-Ergebnisse erneut auftreten.

**Jira-Arbeitsablauf**

Die Lösung verwendet einen benutzerdefinierten Jira-Workflow, der es Entwicklern ermöglicht, Risiken zu verwalten und zu dokumentieren. Während das Problem den Workflow durchläuft, stellt die bidirektionale Integration sicher, dass der Status des Jira-Tickets und der Security Hub CSPM-Finding zwischen den Workflows in beiden Diensten synchronisiert werden. [Dieser Workflow ist ein Derivat von *SecDevOps Risk Workflow* von Dinis Cruz, lizenziert unter der Apache License Version 2.0.](https://www.apache.org/licenses/LICENSE-2.0) Wir empfehlen, eine Jira-Workflow-Bedingung hinzuzufügen, sodass nur Mitglieder Ihres Sicherheitsteams den Ticketstatus ändern können.

![\[Ein Workflow-Diagramm eines Jira-Problems. Sie können das Problem beheben, das Risiko akzeptieren oder es als falsch positiv markieren.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/10b08232-437e-4b0a-b6a5-b5ef4d415ac5.png)


Ein Beispiel für ein Jira-Ticket, das von dieser Lösung automatisch generiert wird, finden Sie im Abschnitt [Zusätzliche Informationen](#bidirectionally-integrate-aws-security-hub-with-jira-software-additional) dieses Musters.

## Voraussetzungen und Einschränkungen
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-prereqs"></a>

**Voraussetzungen**
+ Wenn Sie diese Lösung in einer Umgebung mit mehreren Konten AWS bereitstellen möchten:
  + Ihre Umgebung mit mehreren Konten ist aktiv und wird von verwaltet. AWS Organizations
  + Security Hub CSPM ist auf Ihrem aktiviert. AWS-Konten
  + In AWS Organizations haben Sie ein Security Hub CSPM-Administratorkonto eingerichtet.
  + Sie haben eine kontoübergreifende Rolle AWS Identity and Access Management (IAM), die über `AWSOrganizationsReadOnlyAccess` Berechtigungen für das Verwaltungskonto verfügt. AWS Organizations 
  + (Optional) Sie haben Ihre AWS-Konten mit markiert. `SecurityContactID` Dieses Tag wird verwendet, um Jira-Tickets den definierten Sicherheitskontakten zuzuweisen.
+ Wenn Sie diese Lösung in einer einzigen AWS-Konto Lösung bereitstellen möchten:
  + Sie haben eine aktive AWS-Konto.
  + Security Hub CSPM ist auf Ihrem aktiviert. AWS-Konto
+ Eine Jira Data Center-Instanz
**Wichtig**  
Diese Lösung unterstützt die Verwendung von Jira Cloud. Jira Cloud unterstützt jedoch nicht den Import von XML-Workflows, sodass Sie den Workflow in Jira manuell neu erstellen müssen. Sie finden die Übergänge und den Status im Repository. GitHub 
+ Administratorrechte in Jira
+ Eines der folgenden Jira-Token:
  + Für Jira Enterprise ein Personal Access Token (PAT). Weitere Informationen findest du unter [Persönliche Zugriffstoken verwenden](https://confluence.atlassian.com/enterprise/using-personal-access-tokens-1026032365.html) (Atlassian-Unterstützung).
  + Für Jira Cloud ein Jira-API-Token. Weitere Informationen findest du unter [API-Token verwalten](https://support.atlassian.com/atlassian-account/docs/manage-api-tokens-for-your-atlassian-account/) (Atlassian-Unterstützung).

## Architektur
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-architecture"></a>

In diesem Abschnitt wird die Architektur der Lösung in verschiedenen Szenarien veranschaulicht, z. B. wenn der Entwickler und der Sicherheitsingenieur beschließen, das Risiko zu akzeptieren oder das Problem zu beheben.

*Szenario 1: Der Entwickler behebt das Problem*

1. Security Hub CSPM generiert ein Ergebnis gegen eine bestimmte Sicherheitskontrolle, wie sie beispielsweise im Standard [AWS Foundational Security Best](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) Practices enthalten sind.

1. Ein CloudWatch Amazon-Ereignis, das mit dem Befund und der `CreateJIRA` Aktion verknüpft ist, löst eine AWS Lambda Funktion aus.

1. Die Lambda-Funktion verwendet ihre Konfigurationsdatei und das `GeneratorId` Feld des Ergebnisses, um zu bewerten, ob sie das Ergebnis eskalieren sollte.

1. Die Lambda-Funktion bestimmt, dass das Ergebnis eskaliert werden soll, und ruft das `SecurityContactID` Konto-Tag aus dem Verwaltungskonto ab AWS Organizations . AWS Diese ID ist dem Entwickler zugeordnet und wird als Zuweisungs-ID für das Jira-Ticket verwendet.

1. Die Lambda-Funktion verwendet die in gespeicherten Anmeldeinformationen AWS Secrets Manager , um ein Ticket in Jira zu erstellen. Jira benachrichtigt den Entwickler.

1. Der Entwickler befasst sich mit der zugrundeliegenden Sicherheitslücke und ändert in Jira den Status des Tickets in. `TEST FIX`

1. Security Hub CSPM aktualisiert den Befund als `ARCHIVED` und ein neues Ereignis wird generiert. Dieses Ereignis veranlasst die Lambda-Funktion, das Jira-Ticket automatisch zu schließen.

![\[Ein Architekturdiagramm, das die Integration von Jira und Security Hub zeigt, wenn ein Entwickler ein Problem behebt.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/18d9a6ce-dd38-4d36-a95d-270fce776c30.png)


*Szenario 2: Der Entwickler beschließt, das Risiko zu akzeptieren*

1. Security Hub CSPM generiert ein Ergebnis gegen eine bestimmte Sicherheitskontrolle, wie sie beispielsweise im Standard [AWS Foundational Security Best](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) Practices enthalten sind.

1. Ein mit dem Befund und der `CreateJIRA` Aktion verbundenes CloudWatch Ereignis initiiert eine Lambda-Funktion.

1. Die Lambda-Funktion verwendet ihre Konfigurationsdatei und das `GeneratorId` Feld des Ergebnisses, um zu bewerten, ob sie das Ergebnis eskalieren sollte.

1. Die Lambda-Funktion bestimmt, dass das Ergebnis eskaliert werden soll, und ruft das `SecurityContactID` Konto-Tag aus dem Verwaltungskonto ab AWS Organizations . AWS Diese ID ist dem Entwickler zugeordnet und wird als Zuweisungs-ID für das Jira-Ticket verwendet.

1. Die Lambda-Funktion verwendet die in Secrets Manager gespeicherten Anmeldeinformationen, um ein Ticket in Jira zu erstellen. Jira benachrichtigt den Entwickler.

1. Der Entwickler entscheidet, das Risiko zu akzeptieren, und ändert in Jira den Status des Tickets auf. `AWAITING RISK ACCEPTANCE`

1. Der Sicherheitsingenieur prüft die Anfrage und hält die geschäftliche Begründung für angemessen. Der Sicherheitsingenieur ändert den Status des Jira-Tickets in`ACCEPTED RISK`. Dadurch wird das Jira-Ticket geschlossen.

1. Ein CloudWatch tägliches Ereignis initiiert die Lambda-Refresh-Funktion, die geschlossene Jira-Tickets identifiziert und die zugehörigen Security Hub CSPM-Ergebnisse als aktualisiert. `SUPPRESSED`

![\[Ein Architekturdiagramm, das die Integration von Jira und Security Hub zeigt, wenn ein Entwickler das Risiko einer Entdeckung akzeptiert.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/206b9907-c2a3-4142-90bf-d4eabee534c0/images/d5a2f946-9c79-4661-96c1-74c813cbf406.png)


## Tools
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-tools"></a>

**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) unterstützt Sie bei der Überwachung von Systemereignissen für Ihre AWS Ressourcen, indem es Regeln verwendet, um Ereignisse zuzuordnen und sie an Funktionen oder Streams weiterzuleiten.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ Mit [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) können Sie fest codierte Anmeldeinformationen im Code (einschließlich Passwörter) durch einen API-Aufruf an Secrets Manager ersetzen und das Geheimnis programmgesteuert abrufen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen.

**Code-Repository**

Der Code für dieses Muster ist im Repository [aws-securityhub-jira-software-integration](https://github.com/aws-samples/aws-securityhub-jira-software-integration/) verfügbar. GitHub Er enthält den Beispielcode und den Jira-Workflow für diese Lösung.

## Epen
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-epics"></a>

### Jira konfigurieren
<a name="configure-jira"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Importieren Sie den Workflow. | Importieren Sie als Administrator in Jira die `issue-workflow.xml` Datei in Ihre Jira Data Center-Instanz. Wenn Sie Jira Cloud verwenden, müssen Sie den Workflow entsprechend den Dateien und erstellen. `assets/jira-cloud-transitions.png` `assets/jira-cloud-status.png` Dateien finden Sie im [aws-securityhub-jira-software-integration-Repository](https://github.com/aws-samples/aws-securityhub-jira-software-integration/) unter. GitHub Anweisungen finden Sie unter [Verwenden von XML zur Erstellung eines Workflows](https://confluence.atlassian.com/adminjiraserver/using-xml-to-create-a-workflow-938847525.html) (Jira-Dokumentation). | Jira-Administrator | 
| Aktivieren Sie den Workflow und weisen Sie ihn zu. | Workflows sind inaktiv, bis Sie sie einem Workflow-Schema zuweisen. Anschließend weisen Sie das Workflow-Schema einem Projekt zu.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | Jira-Administrator | 

### Richten Sie die Lösungsparameter ein
<a name="set-up-the-solution-parameters"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Konfigurieren Sie die Lösungsparameter. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | AWS-Systemadministrator | 
| Identifizieren Sie die Ergebnisse, die Sie automatisieren möchten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) |  | 
| Fügen Sie die Ergebnisse der Konfigurationsdatei hinzu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html)Das folgende Codebeispiel zeigt die Automatisierung der Ergebnisse `aws-foundational-security-best-practices/v/1.0.0/SNS.1` und`aws-foundational-security-best-practices/v/1.0.0/S3.1`.<pre>{<br />    "Controls" : {<br />        "eu-west-1": [<br />         "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22" <br />     ],<br />        "default": [<br />aws-foundational-security-best-practices/v/1.0.0/SNS.1,<br />aws-foundational-security-best-practices/v/1.0.0/S3.1<br />     ]<br />    } <br /> }</pre>Sie können wählen, ob Sie für jedes AWS-Region Ergebnis unterschiedliche Ergebnisse automatisieren möchten. Eine bewährte Methode zur Vermeidung doppelter Ergebnisse besteht darin, eine einzelne Region auszuwählen, um die Erstellung von Kontrollen im Zusammenhang mit IAM zu automatisieren. | AWS-Systemadministrator | 

### Stellen Sie die Integration bereit
<a name="deploy-the-integration"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Stellen Sie die Integration bereit. | Geben Sie in einem Befehlszeilenterminal den folgenden Befehl ein:<pre>./deploy.sh prod</pre> | AWS-Systemadministrator | 
| Laden Sie die Jira-Anmeldeinformationen in Secrets Manager hoch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | AWS-Systemadministrator | 
| Erstellen Sie die benutzerdefinierte Security Hub CSPM-Aktion. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) | AWS-Systemadministrator | 

## Zugehörige Ressourcen
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-resources"></a>
+ [AWS Service Management-Konnektor für Jira Service Management](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)
+ [AWS Standard für grundlegende Best Practices im Bereich Sicherheit](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)

## Zusätzliche Informationen
<a name="bidirectionally-integrate-aws-security-hub-with-jira-software-additional"></a>

**Beispiel für ein Jira-Ticket**

Wenn ein bestimmter Security Hub CSPM-Befund auftritt, erstellt diese Lösung automatisch ein Jira-Ticket. Das Ticket enthält die folgenden Informationen:
+ **Titel** — Der Titel identifiziert das Sicherheitsproblem im folgenden Format:

  ```
  AWS Security Issue :: <AWS account ID> :: <Security Hub finding title>
  ```
+ **Beschreibung** — Der Beschreibungsabschnitt des Tickets beschreibt die Sicherheitskontrolle, die mit dem Ergebnis verknüpft ist, enthält einen Link zu dem Ergebnis in der Security Hub CSPM-Konsole und bietet eine kurze Beschreibung, wie das Sicherheitsproblem im Jira-Workflow behandelt werden kann.

Im Folgenden finden Sie ein Beispiel für ein automatisch generiertes Jira-Ticket.


|  | 
| --- |
| Title | AWS Sicherheitsproblem:: 012345678912:: Lambda.1 Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten. | 
| --- |--- |
| **Beschreibung** | **Was ist das Problem?** Wir haben eine Sicherheitslücke in der AWS-Konto 012345678912 festgestellt, für die Sie verantwortlich sind.Dieses Steuerelement prüft, ob die der Lambda-Ressource zugeordnete AWS Lambda Funktionsrichtlinie den öffentlichen Zugriff verbietet. Wenn die Lambda-Funktionsrichtlinie öffentlichen Zugriff zulässt, schlägt die Kontrolle fehl.<Link to Security Hub CSPM finding>**Was muss ich mit dem Ticket machen?**Greifen Sie auf das Konto zu und überprüfen Sie die Konfiguration. Bestätigen Sie, dass Sie an dem Ticket gearbeitet haben, indem Sie es in den Bereich „Zur Problembehebung zugewiesen“ verschieben. Sobald das Problem behoben wurde, wurde es zur Testkorrektur übergegangen, sodass die Sicherheit bestätigt, dass das Problem behoben ist.Wenn Sie der Meinung sind, dass das Risiko akzeptiert werden sollte, verschieben Sie es in „Warten auf Risikoakzeptanz“. Dies erfordert eine Überprüfung durch einen Sicherheitsingenieur.Wenn Sie der Meinung sind, dass es sich um ein falsch positives Ergebnis handelt, wechseln Sie zu „Als falsch positiv markieren“. Dies wird von einem Sicherheitsingenieur und reopened/closed entsprechend überprüft. |