Panoramica
L’integrazione di Google Cloud Security Command Center (SCC) (INT-009) acquisisce i finding di SCC in CaseBender e li trasforma in avvisi (ed eventualmente casi).Polling automatico (pull)
CaseBender estrae nuovi finding direttamente da SCC in modo pianificato
utilizzando un account di servizio — senza notifica Pub/Sub.
Webhook di notifica (push)
In alternativa, una notifica SCC (tramite Pub/Sub + Cloud Function) inoltra i
finding all’endpoint di acquisizione di CaseBender.
Il polling utilizza l’SDK Google Cloud ufficiale (
@google-cloud/security-center)
per enumerare i finding tramite l’API v1 di SCC.Funzionalità
Prerequisiti
1
Crea un account di servizio
In IAM di Google Cloud, crea un account di servizio e scarica una chiave JSON. Concedigli il
ruolo Security Center Findings Viewer (
roles/securitycenter.findingsViewer) a livello di
organizzazione o progetto.2
Raccogli l'ID di organizzazione o progetto
Annota il tuo ID organizzazione numerico (consigliato) o un ID progetto.
3
Uscita di rete
Il poller di CaseBender deve raggiungere
securitycenter.googleapis.com e
oauth2.googleapis.com.Configurare l’integrazione in CaseBender
1
Apri il catalogo delle integrazioni
Vai su Settings → Integrations → Create e scegli Google Cloud SCC nella categoria
Cloud Security.
2
Inserisci le credenziali GCP
3
Abilita il polling automatico (consigliato)
4
Configura la creazione automatica dei casi
Entrata (polling automatico)
1
Estrazione pianificata
A ogni intervallo, CaseBender enumera i finding ACTIVE con
eventTime pari o successivo
all’ultimo cursore, ordinati per ora dell’evento. Alla prima esecuzione vengono importati i
finding entro pollingInitialLookbackHours.2
Cursore + deduplicazione
CaseBender avanza il cursore fino all’
eventTime più recente. I finding vengono deduplicati
per nome finding, quindi finestre sovrapposte non creano mai duplicati.3
Normalizzazione
Ogni finding viene normalizzato in un avviso di CaseBender con osservabili e tag di categoria.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Assicurati che
possa raggiungere
securitycenter.googleapis.com (direttamente o tramite il tuo proxy).Entrata (webhook di notifica / push)
In alternativa, una configurazione di notifica SCC (Pub/Sub → Cloud Function) può eseguire un POST dei finding verso:x-api-key. È
prevista la forma di payload { "finding": { ... }, "resource": { ... } }.
Considerazioni sulla sicurezza
- Privilegio minimo — concedi solo Security Center Findings Viewer.
- Gestione dei segreti — la chiave JSON dell’account di servizio è memorizzata nelle impostazioni dell’integrazione; ruotala secondo la policy della tua organizzazione e preferisci un account di servizio di integrazione dedicato.
- Rete — limita l’uscita a
securitycenter.googleapis.comeoauth2.googleapis.com.
Risoluzione dei problemi
La chiave dell'account di servizio non è JSON valido
La chiave dell'account di servizio non è JSON valido
Incolla l’intero contenuto del file di chiave JSON, comprese le parentesi graffe che lo
racchiudono.
Il polling è abilitato ma non appaiono finding
Il polling è abilitato ma non appaiono finding
Conferma che l’account di servizio abbia il ruolo Findings Viewer sull’organizzazione/progetto
configurato e che esistano finding ACTIVE più recenti del cursore. Alla prima esecuzione vengono
importati solo i finding entro
pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker,
docker compose ps deve mostrare i servizi worker e misp-processor come Up.Errori PermissionDenied
Errori PermissionDenied
All’account di servizio manca
securitycenter.findings.list sull’ambito richiesto, oppure l’ID
di organizzazione/progetto è errato.