

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的整合 ServiceNow
<a name="servicenow"></a>

 本主題說明如何存取 Security Hub 主控台來設定 的整合ServiceNow ITSM。在完成本主題中的任何程序之前，您必須先訂閱 ServiceNow ITSM，才能新增此整合。如需詳細資訊，請參閱 ServiceNow 網站上的 [定價頁面](https://www.servicenow.com/lpgp/pricing-itsm.html)。

 對於組織中的帳戶，只有委派管理員可以設定整合。委派管理員可以針對任何成員帳戶調查結果手動使用建立票證功能。此外，委派管理員可以使用[自動化規則](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html)，自動為與成員帳戶相關聯的任何問題清單建立票證。定義自動化規則時，委派管理員可以設定條件，其中包含所有成員帳戶或特定成員帳戶。如需設定委派管理員的資訊，請參閱[在 Security Hub 中設定委派管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html)。

 對於不在組織中的帳戶，此功能的所有層面都可用。

## 先決條件 - 設定 ServiceNow 環境
<a name="security-hub-v2-servicenow"></a>

 您必須先完成下列先決條件，才能設定 的整合ServiceNow ITSM。否則，您在 ServiceNow ITSM和 Security Hub 之間的整合將無法運作。

### 1. 安裝適用於 IT Service Management (ITSM) 的 Security Hubfindings 整合
<a name="w2aab7c47c11b9b5"></a>

 下列程序說明如何安裝 Security Hub 外掛程式。

1.  登入您的ServiceNow ITSM執行個體，然後開啟應用程式導覽器。

1.  導覽至 [ServiceNow 存放區](https://store.servicenow.com/store)。

1.  搜尋適用於 *IT Service Management (ITSM) 的 Security Hub 調查結果整合*，然後選擇**取得**以安裝應用程式。

**注意**  
 在 Security Hub 應用程式的設定中，選擇當新的 Security Hub 問題清單傳送到您的ServiceNow ITSM環境時要採取的動作。您可以選擇不**執行任何操作**、**建立事件**、**建立問題**或**建立兩者 （事件/問題）**。

### 2. 設定傳入 OAuth 請求的用戶端登入資料授予類型
<a name="w2aab7c47c11b9b7"></a>

 您必須為傳入 OAuth 請求設定此授予類型。如需詳細資訊，請參閱ServiceNow支援網頁中[支援傳入 OAuth 的用戶端登入資料授予類型](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212)。

### 3. 建立 OAuth 應用程式
<a name="w2aab7c47c11b9b9"></a>

 如果您已建立 OAuth 應用程式，則可以略過此先決條件。如需有關建立 OAuth 應用程式的資訊，請參閱[設定 OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest)。

## 先決條件 - 設定AWS Secrets Manager
<a name="security-hub-v2-servicenow"></a>

 若要使用 Security Hub 與 ServiceNow 的整合，ServiceNow OAuth 應用程式的登入資料必須存放在 Secrets Manager 中。在 Secrets Manager 中存放您的登入資料可讓您控制和查看登入資料的使用情況，同時允許 Security Hub 使用登入資料與您的 ServiceNow 執行個體整合。若要將登入資料儲存在 Secrets Manager 中，您必須使用客戶受管AWS KMS金鑰來保護秘密。此AWS KMS金鑰可讓您在靜態儲存時保護秘密，並允許將政策連接至金鑰，讓 Security Hub 有權存取保護秘密的金鑰。

 使用下列步驟為您的 ServiceNow 登入資料設定 Secrets Manager。

### 步驟 1：將政策連接至您的AWS KMS金鑰
<a name="w2aab7c47c11c11b7"></a>

 若要成功設定 ServiceNow 整合，您必須先授予 Security Hub 許可，才能使用與 Secrets Manager 中的 ServiceNow 登入資料相關聯的AWS KMS金鑰。

**修改 Security Hub 的AWS KMS金鑰政策以存取您的 ServiceNow 登入資料**

1.  在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS主控台。

1.  若要變更AWS區域，請使用頁面右上角的區域選擇器。

1.  選取現有的AWS KMS金鑰，或執行《 *AWS KMS開發人員指南*》中的[建立新金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)的步驟。

1.  在 **Key policy** (金鑰政策) 區段中，選擇 **Edit** (編輯)。

1.  如果顯示**切換到政策檢視**，請選擇它以顯示金鑰政策，然後選擇**編輯**。

1.  將下列政策區塊複製到您的AWS KMS金鑰政策，以授予 Security Hub 使用您的金鑰的許可。

   ```
   {
       "Version": "2012-10-17", 		 	 	  
       "Statement": [
           {
           "Sid": "Enable IAM User Permissions",
           "Effect": "Allow",
           "Principal": {
               "AWS": "arn:aws:iam::{{your-account-id}}:root"
           },
           "Action": "kms:*",
           "Resource": "*"
           },
           {
           "Sid": "Allow Security Hub connector service to decrypt secrets",
           "Effect": "Allow",
           "Principal": {
               "Service": "connector.securityhub.amazonaws.com"
           },
           "Action": "kms:Decrypt",
           "Resource": "*",
           "Condition": {
               "StringEquals": {
               "kms:ViaService": "secretsmanager.{{your-region}}.amazonaws.com"
               },
               "StringLike": {
               "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:ServiceNow*"
               }
           }
           }
       ]
       }
   ```

1.  透過取代政策範例中的下列值來編輯政策：
   +  將 {{your-account-id}} 取代為AWS您的帳戶 ID。
   +  {{將區域}}取代為您的AWS區域 （例如 `us-east-1`)。

1.  如果您在最終陳述式之前新增政策陳述式，請在新增此陳述式之前新增逗號。請確定AWS KMS金鑰政策的 JSON 語法有效。

1.  選擇**儲存**。

1.  （選用） 將金鑰 ARN 複製到記事本，以供後續步驟使用。

### 步驟 2：在 Secrets Manager 中建立秘密
<a name="w2aab7c47c11c11b9"></a>

 在 Secrets Manager 中建立秘密，以存放您的 ServiceNow 登入資料。Security Hub 會在與您的 ServiceNow 環境互動時存取此秘密。

 請依照 *AWS Secrets Manager使用者指南*中的步驟[建立秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)。建立秘密之後，請複製秘密 ARN，因為在建立 Security Hub 連接器時需要此操作。

 建立秘密時，請務必設定下列項目：

**秘密類型**  
 其他類型的秘密 

**鍵/值對 （純文字格式）**  

```
{
    "ClientId": "{{your-servicenow-client-id}}",
    "ClientSecret": "{{your-servicenow-client-secret}}"
    }
```
 欄位名稱必須完全為 `ClientId`和 `ClientSecret`（區分大小寫）。Security Hub 需要這些確切名稱才能擷取登入資料。

**加密金鑰**  
 使用您在步驟 1 中設定的AWS KMS金鑰 

**資源政策**  
 請使用下列資源政策：  

```
{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
        "Effect": "Allow",
        "Principal": {
            "Service": "connector.securityhub.amazonaws.com"
        },
        "Action": "secretsmanager:GetSecretValue",
        "Resource": "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:ServiceNow*",
        "Condition": {
            "StringEquals": {
            "aws:SourceAccount": "{{your-account-id}}",
            "aws:SourceArn": "arn:aws:securityhub:{{your-region}}:{{your-account-id}}:*"
            }
        }
        }
    ]
    }
```

 現在已設定您的秘密，您可以使用 CreateConnectorV2 API 或AWS主控台建立 Security Hub 連接器。您需要提供：
+  **InstanceName**：您的 ServiceNow 執行個體 URL （例如 `your-instance.service-now.com`) 
+  **SecretArn**：您在此程序中建立之秘密的 ARN 

## 設定 的整合 ServiceNow ITSM
<a name="security-hub-v2-servicenow-configure"></a>

 Security Hub 可以在 中自動建立事件或問題ServiceNow ITSM。

**設定 的整合 ServiceNow ITSM**

1.  使用您的登入資料登入AWS您的帳戶，然後開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台？region=us-east-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)。

1.  從導覽窗格中，選擇**管理**，然後選擇**整合**。

1.  在 下**ServiceNow ITSM**，選擇**新增整合**。

1.  如需**詳細資訊**，請輸入整合的名稱，並決定是否要輸入整合的選用描述。

1.  針對**加密**，選擇您希望如何在 Security Hub 中加密整合憑證。
   +  **使用AWS擁有的金鑰** - 使用此選項時，Security Hub 擁有的服務金鑰將用於加密 Security Hub 中的整合憑證資料。
   +  **選擇不同的 KMS 金鑰 （進階）** - 使用此選項，您可以選擇您已建立AWS KMS key的 ，用於在 Security Hub 中加密整合憑證資料。如需有關如何建立AWS KMS金鑰的資訊，請參閱《 *AWS Key Management Service開發人員指南*》中的[建立AWS KMS金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。如果您選擇使用自己的金鑰，則必須將政策陳述式新增至允許 Security Hub 存取金鑰的 KMS 金鑰。如需必要[AWS KMS政策的詳細資訊，請參閱 Security Hub 票證整合的重要](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html)政策。
**注意**  
 一旦完成此組態，您就無法變更這些設定。不過，如果您選擇**自訂金鑰**，您可以隨時編輯自訂金鑰政策。

1.  針對**登入**資料，輸入您的 ServiceNow ITSM URL，以及在先決條件區段中產生的AWS Secrets Manager秘密 ARN。

1.  對於**標籤**，決定是否要建立選用標籤並將其新增至您的整合。

1.  選擇**新增整合作業**。完成組態後，您可以在已設定的整合索引標籤中檢視**已設定的整合**。

 設定與 ServiceNow 的整合後，您可以測試連線，以確認所有內容都已在您的 ServiceNow 環境和 Security Hub 中正確設定。如需詳細資訊，請參閱[測試設定的票證整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html)。