概要
Google Cloud Security Command Center(SCC)統合(INT-009)は、SCC の検出結果(findings)を CaseBender に取り込み、アラート(および任意でケース)に変換します。自動ポーリング(pull)
CaseBender はサービスアカウントを使用してスケジュールに基づき、SCC から直接新しい
検出結果をプルします。Pub/Sub 通知は不要です。
通知 Webhook(push)
代替として、SCC 通知(Pub/Sub + Cloud Function 経由)が検出結果を CaseBender の
取り込みエンドポイントへ転送します。
ポーリングは 公式 Google Cloud SDK(
@google-cloud/security-center)を使用して
SCC v1 API で検出結果を列挙します。機能
前提条件
1
サービスアカウントを作成
Google Cloud IAM でサービスアカウントを作成し、JSON キー をダウンロードします。組織または
プロジェクトレベルで Security Center Findings Viewer ロール
(
roles/securitycenter.findingsViewer)を付与します。2
組織またはプロジェクト ID を収集
数値の 組織 ID(推奨)または プロジェクト ID をメモします。
3
ネットワーク送信
CaseBender のポーラーが
securitycenter.googleapis.com と oauth2.googleapis.com に到達できる
必要があります。CaseBender で統合を構成
1
統合カタログを開く
Settings → Integrations → Create に移動し、Cloud Security カテゴリの Google Cloud SCC
を選択します。
2
GCP 認証情報を入力
3
自動ポーリングを有効にする(推奨)
4
ケースの自動作成を構成
インバウンド(自動ポーリング)
1
スケジュール取得
各間隔で、CaseBender は
eventTime が前回のカーソル以降の ACTIVE な検出結果をイベント時刻順で
列挙します。初回実行時は pollingInitialLookbackHours 以内の検出結果が取り込まれます。2
カーソル + 重複排除
CaseBender はカーソルを最新の
eventTime まで進めます。検出結果は 検出結果名で重複排除
されるため、ウィンドウが重なっても重複は作成されません。3
正規化
各検出結果は、観測対象とカテゴリタグを含む CaseBender のアラートに正規化されます。
ポーリングは CaseBender のバックグラウンドポーリングサービスで実行されます。
securitycenter.googleapis.com
に(直接またはプロキシ経由で)到達できることを確認してください。インバウンド(通知 Webhook / プッシュ)
代替として、SCC 通知の構成(Pub/Sub → Cloud Function)が検出結果を次へ POST できます。x-api-key ヘッダー内の統合 API キー で認証されます。ペイロード形式は
{ "finding": { ... }, "resource": { ... } } を想定しています。
セキュリティ上の考慮事項
- 最小権限 — Security Center Findings Viewer のみを付与してください。
- シークレットの取り扱い — サービスアカウントの JSON キーは統合設定に保存されます。組織の ポリシーに従ってローテーションし、専用の統合サービスアカウントを使用してください。
- ネットワーク — 送信を
securitycenter.googleapis.comとoauth2.googleapis.comに制限して ください。
トラブルシューティング
サービスアカウントキーが有効な JSON ではない
サービスアカウントキーが有効な JSON ではない
JSON キーファイルの内容全体を、囲む波括弧を含めて貼り付けてください。
ポーリングは有効だが検出結果が表示されない
ポーリングは有効だが検出結果が表示されない
サービスアカウントが構成した組織/プロジェクトに対して Findings Viewer ロールを持ち、カーソルより
新しい ACTIVE な検出結果が存在することを確認してください。初回実行時は
pollingInitialLookbackHours
以内の検出結果のみが取り込まれます。CaseBender のすべてのサービスが稼働していることを確認してください — Docker では
docker compose ps で worker と misp-processor サービスが Up である必要があります。PermissionDenied エラー
PermissionDenied エラー
サービスアカウントに要求されたスコープでの
securitycenter.findings.list がないか、組織/プロジェクト
ID が正しくありません。