Présentation
L’intégration Google Cloud Security Command Center (SCC) (INT-009) ingère les findings SCC dans CaseBender et les convertit en alertes (et éventuellement en cas).Interrogation automatique (pull)
CaseBender extrait de nouveaux findings directement de SCC de façon planifiée
à l’aide d’un compte de service — sans notification Pub/Sub.
Webhook de notification (push)
En alternative, une notification SCC (via Pub/Sub + Cloud Function) transfère
les findings vers l’endpoint d’ingestion de CaseBender.
L’interrogation utilise le SDK Google Cloud officiel
(
@google-cloud/security-center) pour énumérer les findings via l’API v1 de SCC.Fonctionnalités
Prérequis
1
Créer un compte de service
Dans IAM de Google Cloud, créez un compte de service et téléchargez une clé JSON.
Accordez-lui le rôle Security Center Findings Viewer
(
roles/securitycenter.findingsViewer) au niveau de l’organisation ou du projet.2
Recueillir l'ID d'organisation ou de projet
Notez votre ID d’organisation numérique (recommandé) ou un ID de projet.
3
Sortie réseau
L’interrogateur de CaseBender doit atteindre
securitycenter.googleapis.com et
oauth2.googleapis.com.Configurer l’intégration dans CaseBender
1
Ouvrir le catalogue d'intégrations
Allez dans Settings → Integrations → Create, puis choisissez Google Cloud SCC dans la
catégorie Cloud Security.
2
Saisir les identifiants GCP
3
Activer l'interrogation automatique (recommandé)
4
Configurer la création automatique de cas
Entrant (interrogation automatique)
1
Extraction planifiée
À chaque intervalle, CaseBender énumère les findings ACTIVE dont
eventTime est égal ou
postérieur au dernier curseur, triés par heure d’événement. Au premier passage, les findings
dans pollingInitialLookbackHours sont importés.2
Curseur + déduplication
CaseBender avance le curseur jusqu’au
eventTime le plus récent. Les findings sont
dédupliqués par nom de finding, de sorte que les fenêtres qui se chevauchent ne créent
jamais de doublons.3
Normalisation
Chaque finding est normalisé en alerte CaseBender avec observables et tags de catégorie.
L’interrogation s’exécute dans le service d’interrogation en arrière-plan de CaseBender.
Assurez-vous qu’il peut atteindre
securitycenter.googleapis.com (directement ou via votre
proxy).Entrant (webhook de notification / push)
En alternative, une configuration de notification SCC (Pub/Sub → Cloud Function) peut faire un POST des findings vers :x-api-key. La
forme de charge { "finding": { ... }, "resource": { ... } } est attendue.
Considérations de sécurité
- Moindre privilège — n’accordez que Security Center Findings Viewer.
- Gestion des secrets — la clé JSON du compte de service est stockée dans les paramètres de l’intégration ; faites-la tourner selon la politique de votre organisation et préférez un compte de service d’intégration dédié.
- Réseau — restreignez la sortie à
securitycenter.googleapis.cometoauth2.googleapis.com.
Dépannage
La clé du compte de service n'est pas un JSON valide
La clé du compte de service n'est pas un JSON valide
Collez l’intégralité du contenu du fichier de clé JSON, y compris les accolades qui
l’entourent.
L'interrogation est activée mais aucun finding n'apparaît
L'interrogation est activée mais aucun finding n'apparaît
Confirmez que le compte de service a le rôle Findings Viewer sur l’organisation/le projet
configuré et qu’il existe des findings ACTIVE plus récents que le curseur. Au premier passage,
seuls les findings dans
pollingInitialLookbackHours sont importés.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker,
docker compose ps doit afficher les services worker et misp-processor en Up.Erreurs PermissionDenied
Erreurs PermissionDenied
Le compte de service ne dispose pas de
securitycenter.findings.list sur la portée demandée,
ou l’ID d’organisation/projet est incorrect.