Passer au contenu principal

Présentation

L’intégration Google Cloud Security Command Center (SCC) (INT-009) ingère les findings SCC dans CaseBender et les convertit en alertes (et éventuellement en cas).

Interrogation automatique (pull)

CaseBender extrait de nouveaux findings directement de SCC de façon planifiée à l’aide d’un compte de service — sans notification Pub/Sub.

Webhook de notification (push)

En alternative, une notification SCC (via Pub/Sub + Cloud Function) transfère les findings vers l’endpoint d’ingestion de CaseBender.
Recommandé : activez l’interrogation automatique. Elle ne nécessite qu’un compte de service en lecture seule et aucun endpoint entrant. Voir Interrogation automatique.
L’interrogation utilise le SDK Google Cloud officiel (@google-cloud/security-center) pour énumérer les findings via l’API v1 de SCC.

Fonctionnalités

Prérequis

1

Créer un compte de service

Dans IAM de Google Cloud, créez un compte de service et téléchargez une clé JSON. Accordez-lui le rôle Security Center Findings Viewer (roles/securitycenter.findingsViewer) au niveau de l’organisation ou du projet.
2

Recueillir l'ID d'organisation ou de projet

Notez votre ID d’organisation numérique (recommandé) ou un ID de projet.
3

Sortie réseau

L’interrogateur de CaseBender doit atteindre securitycenter.googleapis.com et oauth2.googleapis.com.

Configurer l’intégration dans CaseBender

1

Ouvrir le catalogue d'intégrations

Allez dans Settings → Integrations → Create, puis choisissez Google Cloud SCC dans la catégorie Cloud Security.
2

Saisir les identifiants GCP

3

Activer l'interrogation automatique (recommandé)

4

Configurer la création automatique de cas

Entrant (interrogation automatique)

1

Extraction planifiée

À chaque intervalle, CaseBender énumère les findings ACTIVE dont eventTime est égal ou postérieur au dernier curseur, triés par heure d’événement. Au premier passage, les findings dans pollingInitialLookbackHours sont importés.
2

Curseur + déduplication

CaseBender avance le curseur jusqu’au eventTime le plus récent. Les findings sont dédupliqués par nom de finding, de sorte que les fenêtres qui se chevauchent ne créent jamais de doublons.
3

Normalisation

Chaque finding est normalisé en alerte CaseBender avec observables et tags de catégorie.
L’interrogation s’exécute dans le service d’interrogation en arrière-plan de CaseBender. Assurez-vous qu’il peut atteindre securitycenter.googleapis.com (directement ou via votre proxy).

Entrant (webhook de notification / push)

En alternative, une configuration de notification SCC (Pub/Sub → Cloud Function) peut faire un POST des findings vers :
Les requêtes sont authentifiées avec l’API key d’intégration dans l’en-tête x-api-key. La forme de charge { "finding": { ... }, "resource": { ... } } est attendue.

Considérations de sécurité

  • Moindre privilège — n’accordez que Security Center Findings Viewer.
  • Gestion des secrets — la clé JSON du compte de service est stockée dans les paramètres de l’intégration ; faites-la tourner selon la politique de votre organisation et préférez un compte de service d’intégration dédié.
  • Réseau — restreignez la sortie à securitycenter.googleapis.com et oauth2.googleapis.com.

Dépannage

Collez l’intégralité du contenu du fichier de clé JSON, y compris les accolades qui l’entourent.
Confirmez que le compte de service a le rôle Findings Viewer sur l’organisation/le projet configuré et qu’il existe des findings ACTIVE plus récents que le curseur. Au premier passage, seuls les findings dans pollingInitialLookbackHours sont importés.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker, docker compose ps doit afficher les services worker et misp-processor en Up.
Le compte de service ne dispose pas de securitycenter.findings.list sur la portée demandée, ou l’ID d’organisation/projet est incorrect.

Documentation connexe