Vai al contenuto principale

Panoramica

L’integrazione di Google Cloud Security Command Center (SCC) (INT-009) acquisisce i finding di SCC in CaseBender e li trasforma in avvisi (ed eventualmente casi).

Polling automatico (pull)

CaseBender estrae nuovi finding direttamente da SCC in modo pianificato utilizzando un account di servizio — senza notifica Pub/Sub.

Webhook di notifica (push)

In alternativa, una notifica SCC (tramite Pub/Sub + Cloud Function) inoltra i finding all’endpoint di acquisizione di CaseBender.
Consigliato: abilita il polling automatico. Richiede solo un account di servizio in sola lettura e nessun endpoint in entrata. Vedi Polling automatico.
Il polling utilizza l’SDK Google Cloud ufficiale (@google-cloud/security-center) per enumerare i finding tramite l’API v1 di SCC.

Funzionalità

Prerequisiti

1

Crea un account di servizio

In IAM di Google Cloud, crea un account di servizio e scarica una chiave JSON. Concedigli il ruolo Security Center Findings Viewer (roles/securitycenter.findingsViewer) a livello di organizzazione o progetto.
2

Raccogli l'ID di organizzazione o progetto

Annota il tuo ID organizzazione numerico (consigliato) o un ID progetto.
3

Uscita di rete

Il poller di CaseBender deve raggiungere securitycenter.googleapis.com e oauth2.googleapis.com.

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli Google Cloud SCC nella categoria Cloud Security.
2

Inserisci le credenziali GCP

3

Abilita il polling automatico (consigliato)

4

Configura la creazione automatica dei casi

Entrata (polling automatico)

1

Estrazione pianificata

A ogni intervallo, CaseBender enumera i finding ACTIVE con eventTime pari o successivo all’ultimo cursore, ordinati per ora dell’evento. Alla prima esecuzione vengono importati i finding entro pollingInitialLookbackHours.
2

Cursore + deduplicazione

CaseBender avanza il cursore fino all’eventTime più recente. I finding vengono deduplicati per nome finding, quindi finestre sovrapposte non creano mai duplicati.
3

Normalizzazione

Ogni finding viene normalizzato in un avviso di CaseBender con osservabili e tag di categoria.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Assicurati che possa raggiungere securitycenter.googleapis.com (direttamente o tramite il tuo proxy).

Entrata (webhook di notifica / push)

In alternativa, una configurazione di notifica SCC (Pub/Sub → Cloud Function) può eseguire un POST dei finding verso:
Le richieste sono autenticate con l’API key di integrazione nell’intestazione x-api-key. È prevista la forma di payload { "finding": { ... }, "resource": { ... } }.

Considerazioni sulla sicurezza

  • Privilegio minimo — concedi solo Security Center Findings Viewer.
  • Gestione dei segreti — la chiave JSON dell’account di servizio è memorizzata nelle impostazioni dell’integrazione; ruotala secondo la policy della tua organizzazione e preferisci un account di servizio di integrazione dedicato.
  • Rete — limita l’uscita a securitycenter.googleapis.com e oauth2.googleapis.com.

Risoluzione dei problemi

Incolla l’intero contenuto del file di chiave JSON, comprese le parentesi graffe che lo racchiudono.
Conferma che l’account di servizio abbia il ruolo Findings Viewer sull’organizzazione/progetto configurato e che esistano finding ACTIVE più recenti del cursore. Alla prima esecuzione vengono importati solo i finding entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker, docker compose ps deve mostrare i servizi worker e misp-processor come Up.
All’account di servizio manca securitycenter.findings.list sull’ambito richiesto, oppure l’ID di organizzazione/progetto è errato.

Documentazione correlata