メインコンテンツへスキップ

概要

Google Cloud Security Command Center(SCC)統合(INT-009)は、SCC の検出結果(findings)を CaseBender に取り込み、アラート(および任意でケース)に変換します。

自動ポーリング(pull)

CaseBender はサービスアカウントを使用してスケジュールに基づき、SCC から直接新しい 検出結果をプルします。Pub/Sub 通知は不要です。

通知 Webhook(push)

代替として、SCC 通知(Pub/Sub + Cloud Function 経由)が検出結果を CaseBender の 取り込みエンドポイントへ転送します。
推奨: 自動ポーリングを有効にしてください。 読み取り専用のサービスアカウントのみで、 インバウンドエンドポイントは不要です。自動ポーリング を 参照してください。
ポーリングは 公式 Google Cloud SDK@google-cloud/security-center)を使用して SCC v1 API で検出結果を列挙します。

機能

前提条件

1

サービスアカウントを作成

Google Cloud IAM でサービスアカウントを作成し、JSON キー をダウンロードします。組織または プロジェクトレベルで Security Center Findings Viewer ロール (roles/securitycenter.findingsViewer)を付与します。
2

組織またはプロジェクト ID を収集

数値の 組織 ID(推奨)または プロジェクト ID をメモします。
3

ネットワーク送信

CaseBender のポーラーが securitycenter.googleapis.comoauth2.googleapis.com に到達できる 必要があります。

CaseBender で統合を構成

1

統合カタログを開く

Settings → Integrations → Create に移動し、Cloud Security カテゴリの Google Cloud SCC を選択します。
2

GCP 認証情報を入力

3

自動ポーリングを有効にする(推奨)

4

ケースの自動作成を構成

インバウンド(自動ポーリング)

1

スケジュール取得

各間隔で、CaseBender は eventTime が前回のカーソル以降の ACTIVE な検出結果をイベント時刻順で 列挙します。初回実行時は pollingInitialLookbackHours 以内の検出結果が取り込まれます。
2

カーソル + 重複排除

CaseBender はカーソルを最新の eventTime まで進めます。検出結果は 検出結果名で重複排除 されるため、ウィンドウが重なっても重複は作成されません。
3

正規化

各検出結果は、観測対象とカテゴリタグを含む CaseBender のアラートに正規化されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。securitycenter.googleapis.com に(直接またはプロキシ経由で)到達できることを確認してください。

インバウンド(通知 Webhook / プッシュ)

代替として、SCC 通知の構成(Pub/Sub → Cloud Function)が検出結果を次へ POST できます。
リクエストは x-api-key ヘッダー内の統合 API キー で認証されます。ペイロード形式は { "finding": { ... }, "resource": { ... } } を想定しています。

セキュリティ上の考慮事項

  • 最小権限Security Center Findings Viewer のみを付与してください。
  • シークレットの取り扱い — サービスアカウントの JSON キーは統合設定に保存されます。組織の ポリシーに従ってローテーションし、専用の統合サービスアカウントを使用してください。
  • ネットワーク — 送信を securitycenter.googleapis.comoauth2.googleapis.com に制限して ください。

トラブルシューティング

JSON キーファイルの内容全体を、囲む波括弧を含めて貼り付けてください。
サービスアカウントが構成した組織/プロジェクトに対して Findings Viewer ロールを持ち、カーソルより 新しい ACTIVE な検出結果が存在することを確認してください。初回実行時は pollingInitialLookbackHours 以内の検出結果のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では docker compose psworkermisp-processor サービスが Up である必要があります。
サービスアカウントに要求されたスコープでの securitycenter.findings.list がないか、組織/プロジェクト ID が正しくありません。

関連ドキュメント