Descripción general
La integración de Google Cloud Security Command Center (SCC) (INT-009) ingiere los hallazgos de SCC en CaseBender y los convierte en alertas (y opcionalmente casos).Sondeo automático (pull)
CaseBender extrae nuevos hallazgos directamente de SCC de forma programada
usando una cuenta de servicio — sin notificación de Pub/Sub.
Webhook de notificación (push)
Como alternativa, una notificación de SCC (vía Pub/Sub + Cloud Function)
reenvía los hallazgos al endpoint de ingesta de CaseBender.
El sondeo usa el SDK oficial de Google Cloud (
@google-cloud/security-center) para
enumerar hallazgos mediante la API v1 de SCC.Capacidades
Requisitos previos
1
Crear una cuenta de servicio
En IAM de Google Cloud, cree una cuenta de servicio y descargue una clave JSON. Otórguele
el rol Security Center Findings Viewer (
roles/securitycenter.findingsViewer) a nivel de
organización o proyecto.2
Recopilar el ID de organización o proyecto
Anote su ID de organización numérico (recomendado) o un ID de proyecto.
3
Salida de red
El sondeador de CaseBender debe alcanzar
securitycenter.googleapis.com y
oauth2.googleapis.com.Configurar la integración en CaseBender
1
Abrir el catálogo de integraciones
Vaya a Settings → Integrations → Create y elija Google Cloud SCC en la categoría
Cloud Security.
2
Introducir las credenciales de GCP
3
Activar el sondeo automático (recomendado)
4
Configurar la creación automática de casos
Entrada (sondeo automático, recomendado)
1
Extracción programada
En cada intervalo, CaseBender enumera los hallazgos ACTIVE con
eventTime igual o posterior
al último cursor, ordenados por hora de evento. En la primera ejecución se importan los
hallazgos dentro de pollingInitialLookbackHours.2
Cursor + deduplicación
CaseBender avanza el cursor hasta el
eventTime más reciente. Los hallazgos se deduplican
por nombre de hallazgo, por lo que las ventanas superpuestas nunca crean duplicados.3
Normalización
Cada hallazgo se normaliza como una alerta de CaseBender con observables y etiquetas de
categoría.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que
pueda alcanzar
securitycenter.googleapis.com (directamente o a través de su proxy).Entrada (webhook de notificación / push)
Como alternativa, una configuración de notificación de SCC (Pub/Sub → Cloud Function) puede hacer POST de los hallazgos a:x-api-key. Se
espera la forma de carga { "finding": { ... }, "resource": { ... } }.
Consideraciones de seguridad
- Privilegio mínimo — otorgue solo Security Center Findings Viewer.
- Manejo de secretos — la clave JSON de la cuenta de servicio se almacena en la configuración de la integración; rótela según la política de su organización y prefiera una cuenta de servicio de integración dedicada.
- Red — restrinja la salida a
securitycenter.googleapis.comyoauth2.googleapis.com.
Solución de problemas
La clave de la cuenta de servicio no es JSON válido
La clave de la cuenta de servicio no es JSON válido
Pegue el contenido completo del archivo de clave JSON, incluidas las llaves que lo rodean.
El sondeo está activado pero no aparecen hallazgos
El sondeo está activado pero no aparecen hallazgos
Confirme que la cuenta de servicio tiene el rol Findings Viewer en la organización/proyecto
que configuró y que existen hallazgos ACTIVE más nuevos que el cursor. En la primera ejecución
solo se importan hallazgos dentro de
pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker,
docker compose ps debe mostrar los servicios worker y misp-processor como Up.Errores PermissionDenied
Errores PermissionDenied
La cuenta de servicio carece de
securitycenter.findings.list en el ámbito solicitado, o el
ID de organización/proyecto es incorrecto.