메인 콘텐츠로 건너뛰기

개요

Google Cloud Security Command Center(SCC) 통합(INT-009)은 SCC 발견 항목(findings)을 CaseBender로 수집하여 알림(및 선택적으로 케이스)으로 변환합니다.

자동 폴링(pull)

CaseBender는 서비스 계정을 사용하여 예약된 일정에 따라 SCC에서 직접 새 발견 항목을 가져옵니다. Pub/Sub 알림이 필요하지 않습니다.

알림 웹훅(push)

대안으로 SCC 알림(Pub/Sub + Cloud Function 경유)이 발견 항목을 CaseBender 수집 엔드포인트로 전달합니다.
권장: 자동 폴링을 활성화하세요. 읽기 전용 서비스 계정만 필요하며 인바운드 엔드포인트가 필요하지 않습니다. 자동 폴링을 참조하세요.
폴링은 공식 Google Cloud SDK(@google-cloud/security-center)를 사용하여 SCC v1 API로 발견 항목을 열거합니다.

기능

사전 요구 사항

1

서비스 계정 생성

Google Cloud IAM에서 서비스 계정을 생성하고 JSON 키를 다운로드합니다. 조직 또는 프로젝트 수준에서 Security Center Findings Viewer 역할(roles/securitycenter.findingsViewer)을 부여합니다.
2

조직 또는 프로젝트 ID 수집

숫자 조직 ID(권장) 또는 프로젝트 ID를 기록합니다.
3

네트워크 아웃바운드

CaseBender 폴러가 securitycenter.googleapis.comoauth2.googleapis.com에 도달할 수 있어야 합니다.

CaseBender에서 통합 구성

1

통합 카탈로그 열기

Settings → Integrations → Create로 이동하여 Cloud Security 카테고리에서 Google Cloud SCC 를 선택합니다.
2

GCP 자격 증명 입력

3

자동 폴링 활성화(권장)

4

케이스 자동 생성 구성

인바운드(자동 폴링)

1

예약 가져오기

각 주기마다 CaseBender는 eventTime이 마지막 커서 이후인 ACTIVE 발견 항목을 이벤트 시간순으로 열거합니다. 첫 실행 시에는 pollingInitialLookbackHours 이내의 발견 항목을 가져옵니다.
2

커서 + 중복 제거

CaseBender는 커서를 가장 최근의 eventTime까지 진행합니다. 발견 항목은 발견 항목 이름으로 중복 제거되므로 윈도우가 겹쳐도 중복이 생성되지 않습니다.
3

정규화

각 발견 항목은 관찰 대상과 카테고리 태그를 포함한 CaseBender 알림으로 정규화됩니다.
폴링은 CaseBender의 백그라운드 폴링 서비스에서 실행됩니다. securitycenter.googleapis.com에 (직접 또는 프록시를 통해) 도달할 수 있는지 확인하세요.

인바운드(알림 웹훅 / 푸시)

대안으로 SCC 알림 구성(Pub/Sub → Cloud Function)이 발견 항목을 다음으로 POST할 수 있습니다.
요청은 x-api-key 헤더의 통합 API 키로 인증됩니다. 페이로드 형식은 { "finding": { ... }, "resource": { ... } }를 예상합니다.

보안 고려 사항

  • 최소 권한Security Center Findings Viewer만 부여하세요.
  • 시크릿 처리 — 서비스 계정 JSON 키는 통합 설정에 저장됩니다. 조직 정책에 따라 교체하고 전용 통합 서비스 계정을 사용하세요.
  • 네트워크 — 아웃바운드를 securitycenter.googleapis.comoauth2.googleapis.com으로 제한하세요.

문제 해결

감싸는 중괄호를 포함하여 JSON 키 파일의 전체 내용을 붙여넣으세요.
서비스 계정이 구성한 조직/프로젝트에 대해 Findings Viewer 역할을 가지고 있고 커서보다 새로운 ACTIVE 발견 항목이 존재하는지 확인하세요. 첫 실행 시에는 pollingInitialLookbackHours 이내의 발견 항목만 가져옵니다.모든 CaseBender 서비스가 실행 중인지 확인하세요 — Docker에서는 docker compose ps에서 workermisp-processor 서비스가 Up 상태여야 합니다.
서비스 계정에 요청된 범위에 대한 securitycenter.findings.list 권한이 없거나, 조직/프로젝트 ID가 올바르지 않습니다.

관련 문서