• 製品
  • 使用を開始する
  • 関連ドキュメント
  • リソース

Amazon Security Hub と統合する

この記事では、Jira Service Management Cloud の一部のお客様に段階的に展開されている、Jira Service Management でネイティブに利用できる新しいアラート機能を取り上げています。ご利用のサイトにはまだ表示されていないか、利用できない可能性があります。

AWS Security Hub ロゴ

統合でできるようになること

Amazon Security Hub を使用すると、複数の AWS サービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie など) や AWS パートナー ソリューションからのセキュリティ アラートや結果を一元的に集約し、整理および優先順位付けできます。

Amazon Security Hub 統合を使用して、Amazon Security Hub の結果を Jira Service Management に転送します。Jira Service Management では、オンコール スケジュールに基づいて適切な通知先が決定されます。メール、テキスト メッセージ (SMS)、電話、iOS や Android のプッシュ通知によって通知し、アラートが承認されるかクローズされるまでアラートをエスカレートします。

統合による機能

Amazon Security Hub を通じて、対応する CloudWatch イベント ルールに一致する結果が CloudWatch に送信されます。ターゲットに対して SNS トピックを選択すると、結果に関連するイベント メッセージを SNS に公開して、最終的にそのメッセージが Jira Service Management に送信されるようにできます。

また、Jira Service Management では、Amazon Security Hub 統合によって作成された Jira Service Management アラートに対して次のアクションが実行された場合に、Amazon Security Hub に更新を送り返すことができます。

  • Jira Service Management でアラートが承認された場合に、Amazon Security Hub で結果のワークフロー ステータスが通知済みに更新される。

  • Jira Service Management でアラートがクローズされた場合に、Amazon Security Hub で結果のワークフロー ステータスが解決済みに更新される。

  • Jira Service Management でアラートにメモが追加された場合に、Amazon Security Hub で同じメモが結果に追加される。

  • Jira Service Management でアラートの優先度が更新された場合に、Amazon Security Hub で結果の重大度が更新される。

統合をセットアップする

Amazon Security Hub は双方向の統合です。これを Jira Service Management に追加し、(Jira Service Management で作成されたアラートに対して何らかのアクションが実行されたときに) アラートの更新を Amazon Security Hub に送り返すように設定するには、次の一連の手順が必要です。

  • Jira Service Management で Amazon Security Hub 統合を追加する

  • Amazon Security Hub で統合を設定する

  • Jira Service Management に SNS メッセージを送信するためのサブスクリプションを作成する

  • Amazon CloudWatch イベント ルールを作成する

  • Amazon EventBridge イベントでターゲットの SNS トピックを選択する

  • Amazon Security Hub に更新を送り返す

Amazon Security Hub 統合を追加する

双方向統合は Free プランと Standard プランではサポートされていません。他のすべての統合は FreeStandard でチーム レベルでサポートされています。ただし、送信統合を機能させるには、上位のプランにアップグレードする必要があります。Settings (歯車アイコン) > Products (Jira 設定の下) > OPERATIONS からサイト レベルで統合を追加できるのは、Premium プランと Enterprise プランのみです。

統合をチームの運用ページから追加すると、そのチームが統合の所有者になります。つまり、Jira Service Management は、この統合を通じて受信したアラートをチームにのみ割り当てます。

Jira Service Management で Amazon Security Hub 統合を追加するには、次の手順に従います。

  1. チームのオペレーション ページに移動します

  2. 左側のナビゲーション パネルで、[統合]、[統合を追加] の順に選択します。

  3. 検索を実行して「Amazon Security Hub」を選択します。

  4. 次の画面で、統合の名前を入力します。

  5. オプション: 特定のチームが統合からのアラートを受信するようにする場合は、[Assignee team (担当者チーム)] のチームを選択します。

  6. [続行] を選択します。
    この時点で、統合が保存されます。

  7. [統合を設定する手順] セクションを展開して、統合エンドポイント URL をコピーします。
    この URL は、後ほど Amazon Security Hub で統合を設定する際に使用します。

  8. [統合をオンにする] を選択します。
    統合のために作成したルールは、統合をオンにした場合にのみ機能します。

Amazon Security Hub で統合を設定する

Amazon Security Hub で統合を設定するには、次の手順に従います。

1. カスタム Security Hub アクションを作成します。

2. Security Hub の結果に対して CloudWatch イベントのルールを作成し、CloudWatch イベント ターゲットに対して SNS トピックを作成します。ClouldFormation テンプレートをダウンロードしてください

3. 前にコピーしたエンドポイント URL を CloudFormation テンプレートの SNSSubEndpoint に貼り付けます。

4. (ステップ 1 で作成したカスタム Security Hub アクションの ARN を入力した後) 次の内容をコピーして、CloudFormation テンプレートの EventPatternParameter に貼り付けます。設定が正常に完了すると、Jira Service Management で確認のアラートが作成されます。

1 2 3 4 5 6 7 8 9 10 11 { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "< CUSTOM ACTION ARN YOU CREATED IN SECURITY HUB >" ] }

6.Jira Service Management で、[Send alert updates back to Amazon Security Hub (アラートの更新を Amazon Security Hub に送り返す)] を選択して、送信機能を有効にします。

7. Jira Service Management が IAM ロールを使用して Security Hub リソースにアクセスすることを許可します。
CloudFormation テンプレートを使用して IAM ロールを作成します

8. IAM ロールの ARN をコピーして、AmazonSecurityHub Role ARN に貼り付けます。

9. Security Hub をセットアップした AWS リージョンを選択します。

Jira Service Management に SNS メッセージを送信するためのサブスクリプションを作成する

ターゲットの SNS トピックを選択すると、結果に関連するイベント メッセージを SNS に公開できます。

  1. AWS SNS に移動し、[トピック] > [トピックを作成] を選択します。

  2. [サブスクリプション] タブで、[Create subscription (サブスクリプションの作成)] を選択します。
    これは、Jira Service Management に SNS メッセージを送信する方法です。

  3. [Protocol (プロトコル)] フィールドで、エンドポイント タイプとして [HTTPS] を選択します。

  4. [Endpoint (エンドポイント)] フィールドに、Jira Service Management で統合を追加する際にコピーした API エンドポイント URL を入力します。

Amazon CloudWatch イベント ルールを作成する

Amazon CloudWatch イベント ルールを作成して、Amazon Security Hub がルールに一致する結果を CloudWatch に送信できるようにします。

  1. Amazon CloudWatch アカウントで、[Events (イベント)] > [Rules (ルール)] を選択します。

  2. [ルールを作成] を選択します。

  3. [Event Source (イベント ソース)] セクションで、[Event Pattern (イベント パターン)] オプションを選択します。

  4. ドロップダウン メニューから [Build event pattern to match all events (すべてのイベントに一致するようにイベント パターンを作成)] を選択します。

  5. イベント パターン プレビューで [Edit (編集)] を選択し、このセクションに記載されているスクリプトをコピーして貼り付けます。

  6. [Targets (ターゲット)] セクションで、ドロップダウン メニューから [SNS topic (SNS トピック)] を選択し、事前に作成したトピックを選択します。

  7. [Configure details (詳細の設定)] を選択し、名前、説明、その他の情報を入力します。

  8. [ルールを作成] を選択します。

イベント パターンのプレビューのスクリプト

次のスクリプトをコピーして、イベント ソースイベント パターン プレビュー セクションに貼り付けます。

イベント パターン プレビュー スクリプト (JSON 形式)

1 2 3 4 5 6 7 8 9 10 11 { "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ <custom action arn you created in security hub> ] }

Amazon EventBridge イベントでターゲットの SNS トピックを選択する

ターゲットに対して SNS トピックを選択すると、結果に関連するイベント メッセージを SNS に公開して、最終的にそのメッセージが Jira Service Management に送信されるようにできます。

  1. Amazon EventBridge に移動し、[Rules (ルール)] を選択します。

  2. [ルールを作成] を選択します。

  3. [ステップ 1] に、そのルールの [名前] と [説明] を入力します。

  4. [Rule type (ルール タイプ)] として [Rule with an event patterns (イベント パターンを持つルール)] を選択し、[Next (次へ)] を選択します。

  5. [ステップ 2] で、[イベント ソース] として [AWS events and EventBrigde partner events (AWS イベントおよび EventBrigde パートナー イベント)] を選択します。

  6. [Event source (イベント ソース)] として [AWS services (AWS サービス)] を選択します。

  7. [AWS サービス] として [Security Hub] を選択します。

  8. [イベント タイプ] セクションで、セキュリティ ハブで作成したカスタム アクションを選択します。

  9. 次へ をクリックします。

  10. ステップ 3 で、[Target types (ターゲット タイプ)] のドロップダウン メニューから [SNS topic (SNS トピック)] を選択し、[Topic (トピック)] フィールドで事前に作成したトピックを選択します。

  11. 次へ をクリックします。

  12. [ステップ 5] で、ルールを確認し、作成します。

Amazon Security Hub にアラートの更新を送り返す

Jira Service Management で次の手順を実行して、アラートの更新を Amazon Security Hub に送り返します。

  1. Jira Service Management の Amazon Security Hub 統合ページから、[Send alert updates back to Amazon Security Hub (アラートの更新を Amazon Security Hub に送り返す)] チェックボックスを選択します。

  2. Jira Service Management が IAM ロールを使用して Security Hub リソースにアクセスすることを許可します。Jira Service Management に対して Security Hub リソースへのアクセスを許可するロールを作成するには、CloudFormation テンプレートを使用します。

  3. CloudFormation テンプレートへのすべての入力パラメーター (統合ページの API URL (事前入力)、Jira Service Management Aws AccountId (事前入力)、RoleName など) が正しいことを確認します。ロール名は jsmSecurityHubRole* 形式である必要があります。

  4. 前のステップで作成した IAM ロールの ARN をコピーして、AmazonSecurityHub Role ARN に貼り付けます。

  5. Security Hub が有効になっているリージョンを選択します。

Amazon Security Hub からのペイロードの例

(JSON 形式)

1 2 3 4 5 6 7 8 9 10 11 { "Type": "Notification", "MessageId": "96d4c7c2-999e-57ab-aade", "TopicArn": "arn:aws:sns:us-west-2:test", "Message": "{\"version\":\"0\",\"id\":\"3ee38987-e0ce--91a1\",\"detail-type\":\"EC2 Instance State-change Notification\",\"source\":\"aws.ec2\",\"account\":\"abc\",\"time\":\"2017-09-11T10:49:41Z\",\"region\":\"us-west-2\",\"resources\":[\"arn:aws:ec2:us-west-2:asdf:instance/i-abc\"],\"detail\":{\"actionName\":\"custom-action-name\",\"actionDescription\":\"description of the action\",\"findings\":[{\"AwsAccountId\": \"abc\",\"Compliance\": {\"Status\": \"PASSED\"},\"Confidence\": 42,\"CreatedAt\": \"2017-03-22T13:22:13.933Z\",\"Criticality\": 99,\"Description\": \"The version of openssl found on instance i-abcd1234 is known to contain a vulnerability.\",\"FirstObservedAt\": \"2017-03-22T13:22:13.933Z\",\"GeneratorId\": \"acme-vuln-9ab348\",\"Id\": \"us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef\",\"LastObservedAt\": \"2017-03-23T13:22:13.933Z\",\"Malware\": [{\"Name\": \"Stringler\",\"Type\": \"COIN_MINER\",\"Path\": \"/usr/sbin/stringler\",\"State\": \"OBSERVED\"}],\"Network\": {\"Direction\": \"IN\",\"Protocol\": \"TCP\",\"SourceIpV4\": \"1.2.3.4\",\"SourceIpV6\": \"FE80:CD00:0000:0CDE:1257:0000:211E:729C\",\"SourcePort\": \"42\",\"SourceDomain\": \"here.com\",\"SourceMac\": \"00:0d:83:b1:c0:8e\",\"DestinationIpV4\": \"2.3.4.5\",\"DestinationIpV6\": \"FE80:CD00:0000:0CDE:1257:0000:211E:729C\",\"DestinationPort\": \"80\",\"DestinationDomain\": \"there.com\"},\"Note\": {\"Text\": \"Don't forget to check under the mat.\",\"UpdatedBy\": \"jsmith\",\"UpdatedAt\": \"2018-08-31T00:15:09Z\"},\"Process\": {\"Name\": \"syslogd\",\"Path\": \"/usr/sbin/syslogd\",\"Pid\": 12345,\"ParentPid\": 56789,\"LaunchedAt\": \"2018-09-27T22:37:31Z\",\"TerminatedAt\": \"2018-09-27T23:37:31Z\"},\"ProductArn\": \"arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default\",\"ProductFields\": {\"generico/secure-pro/Count\": \"6\",\"Service_Name\": \"cloudtrail.amazonaws.com\",\"aws/inspector/AssessmentTemplateName\": \"My daily CVE assessment\",\"aws/inspector/AssessmentTargetName\": \"My prod env\",\"aws/inspector/RulesPackageName\": \"Common Vulnerabilities and Exposures\"},\"RecordState\": \"ACTIVE\",\"RelatedFindings\": [{ \"ProductArn\": \"arn:aws:securityhub:us-west-2::product/aws/guardduty\",\"Id\": \"123e4567-e89b-12d3-a456-426655440000\" },{ \"ProductArn\": \"arn:aws:securityhub:us-west-2::product/aws/guardduty\",\"Id\": \"AcmeNerfHerder--x189dx7824\" }],\"Remediation\": {\"Recommendation\": {\"Text\": \"Run sudo yum update and cross your fingers and toes.\",\"Url\": \"http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html\"}},\"Resources\": [{\"Type\": \"AwsEc2Instance\",\"Id\": \"i-cafebabe\",\"Partition\": \"aws\",\"Region\": \"us-west-2\",\"Tags\": {\"billingCode\": \"Lotus-1-2-3\",\"needsPatching\": \"true\"},\"Details\": {\"AwsEc2Instance\": {\"Type\": \"i3.xlarge\",\"ImageId\": \"ami-abcd1234\",\"IpV4Addresses\": [ \"54.194.252.215\", \"192.168.1.88\" ],\"IpV6Addresses\": [ \"2001:db8:1234:1a2b::123\" ],\"KeyName\": \"my_keypair\",\"IamInstanceProfileArn\": \"arn:aws:iam:::instance-profile/AdminRole\",\"VpcId\": \"vpc-11112222\",\"SubnetId\": \"subnet-56f5f633\",\"LaunchedAt\": \"2018-05-08T16:46:19.000Z\"}}}],\"SchemaVersion\": \"2018-10-08\",\"Severity\": {\"Product\": 8.3,\"Normalized\": 25},\"SourceUrl\": \"string\",\"ThreatIntelIndicators\": [{\"Type\": \"IPV4_ADDRESS\",\"Value\": \"8.8.8.8\",\"Category\": \"BACKDOOR\",\"LastObservedAt\": \"2018-09-27T23:37:31Z\",\"Source\": \"Threat Intel Weekly\",\"SourceUrl\": \"http://threatintelweekly.org/backdoors/8888\"}],\"Title\": \"title\",\"Types\": [\"Software and Configuration Checks/Vulnerabilities/CVE\"],\"UpdatedAt\": \"123578964332\",\"UserDefinedFields\": {\"reviewedByCio\": \"true\",\"comeBackToLater\": \"Check this again on Monday\"},\"VerificationState\": \"string\",\"WorkflowState\": \"NEW\"}]}}", "Timestamp": "2017-09-11T10:49:42.630Z", "SignatureVersion": "1", "Signature": "sign", "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotification.pem", "UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:" }

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。