Saltar al contenido principal

Descripción general

La integración de Google Cloud Security Command Center (SCC) (INT-009) ingiere los hallazgos de SCC en CaseBender y los convierte en alertas (y opcionalmente casos).

Sondeo automático (pull)

CaseBender extrae nuevos hallazgos directamente de SCC de forma programada usando una cuenta de servicio — sin notificación de Pub/Sub.

Webhook de notificación (push)

Como alternativa, una notificación de SCC (vía Pub/Sub + Cloud Function) reenvía los hallazgos al endpoint de ingesta de CaseBender.
Recomendado: active el sondeo automático. Solo requiere una cuenta de servicio de solo lectura y ningún endpoint entrante. Véase Sondeo automático.
El sondeo usa el SDK oficial de Google Cloud (@google-cloud/security-center) para enumerar hallazgos mediante la API v1 de SCC.

Capacidades

Requisitos previos

1

Crear una cuenta de servicio

En IAM de Google Cloud, cree una cuenta de servicio y descargue una clave JSON. Otórguele el rol Security Center Findings Viewer (roles/securitycenter.findingsViewer) a nivel de organización o proyecto.
2

Recopilar el ID de organización o proyecto

Anote su ID de organización numérico (recomendado) o un ID de proyecto.
3

Salida de red

El sondeador de CaseBender debe alcanzar securitycenter.googleapis.com y oauth2.googleapis.com.

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija Google Cloud SCC en la categoría Cloud Security.
2

Introducir las credenciales de GCP

3

Activar el sondeo automático (recomendado)

4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

1

Extracción programada

En cada intervalo, CaseBender enumera los hallazgos ACTIVE con eventTime igual o posterior al último cursor, ordenados por hora de evento. En la primera ejecución se importan los hallazgos dentro de pollingInitialLookbackHours.
2

Cursor + deduplicación

CaseBender avanza el cursor hasta el eventTime más reciente. Los hallazgos se deduplican por nombre de hallazgo, por lo que las ventanas superpuestas nunca crean duplicados.
3

Normalización

Cada hallazgo se normaliza como una alerta de CaseBender con observables y etiquetas de categoría.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que pueda alcanzar securitycenter.googleapis.com (directamente o a través de su proxy).

Entrada (webhook de notificación / push)

Como alternativa, una configuración de notificación de SCC (Pub/Sub → Cloud Function) puede hacer POST de los hallazgos a:
Las solicitudes se autentican con la API key de integración en el encabezado x-api-key. Se espera la forma de carga { "finding": { ... }, "resource": { ... } }.

Consideraciones de seguridad

  • Privilegio mínimo — otorgue solo Security Center Findings Viewer.
  • Manejo de secretos — la clave JSON de la cuenta de servicio se almacena en la configuración de la integración; rótela según la política de su organización y prefiera una cuenta de servicio de integración dedicada.
  • Red — restrinja la salida a securitycenter.googleapis.com y oauth2.googleapis.com.

Solución de problemas

Pegue el contenido completo del archivo de clave JSON, incluidas las llaves que lo rodean.
Confirme que la cuenta de servicio tiene el rol Findings Viewer en la organización/proyecto que configuró y que existen hallazgos ACTIVE más nuevos que el cursor. En la primera ejecución solo se importan hallazgos dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker, docker compose ps debe mostrar los servicios worker y misp-processor como Up.
La cuenta de servicio carece de securitycenter.findings.list en el ámbito solicitado, o el ID de organización/proyecto es incorrecto.

Documentación relacionada