개요
Google Cloud Security Command Center(SCC) 통합(INT-009)은 SCC 발견 항목(findings)을 CaseBender로 수집하여 알림(및 선택적으로 케이스)으로 변환합니다.자동 폴링(pull)
CaseBender는 서비스 계정을 사용하여 예약된 일정에 따라 SCC에서 직접 새 발견
항목을 가져옵니다. Pub/Sub 알림이 필요하지 않습니다.
알림 웹훅(push)
대안으로 SCC 알림(Pub/Sub + Cloud Function 경유)이 발견 항목을 CaseBender 수집
엔드포인트로 전달합니다.
폴링은 공식 Google Cloud SDK(
@google-cloud/security-center)를 사용하여 SCC v1
API로 발견 항목을 열거합니다.기능
사전 요구 사항
1
서비스 계정 생성
Google Cloud IAM에서 서비스 계정을 생성하고 JSON 키를 다운로드합니다. 조직 또는 프로젝트
수준에서 Security Center Findings Viewer 역할(
roles/securitycenter.findingsViewer)을
부여합니다.2
조직 또는 프로젝트 ID 수집
숫자 조직 ID(권장) 또는 프로젝트 ID를 기록합니다.
3
네트워크 아웃바운드
CaseBender 폴러가
securitycenter.googleapis.com과 oauth2.googleapis.com에 도달할 수 있어야
합니다.CaseBender에서 통합 구성
1
통합 카탈로그 열기
Settings → Integrations → Create로 이동하여 Cloud Security 카테고리에서 Google Cloud SCC
를 선택합니다.
2
GCP 자격 증명 입력
3
자동 폴링 활성화(권장)
4
케이스 자동 생성 구성
인바운드(자동 폴링)
1
예약 가져오기
각 주기마다 CaseBender는
eventTime이 마지막 커서 이후인 ACTIVE 발견 항목을 이벤트 시간순으로
열거합니다. 첫 실행 시에는 pollingInitialLookbackHours 이내의 발견 항목을 가져옵니다.2
커서 + 중복 제거
CaseBender는 커서를 가장 최근의
eventTime까지 진행합니다. 발견 항목은 발견 항목 이름으로 중복
제거되므로 윈도우가 겹쳐도 중복이 생성되지 않습니다.3
정규화
각 발견 항목은 관찰 대상과 카테고리 태그를 포함한 CaseBender 알림으로 정규화됩니다.
폴링은 CaseBender의 백그라운드 폴링 서비스에서 실행됩니다.
securitycenter.googleapis.com에 (직접
또는 프록시를 통해) 도달할 수 있는지 확인하세요.인바운드(알림 웹훅 / 푸시)
대안으로 SCC 알림 구성(Pub/Sub → Cloud Function)이 발견 항목을 다음으로 POST할 수 있습니다.x-api-key 헤더의 통합 API 키로 인증됩니다. 페이로드 형식은
{ "finding": { ... }, "resource": { ... } }를 예상합니다.
보안 고려 사항
- 최소 권한 — Security Center Findings Viewer만 부여하세요.
- 시크릿 처리 — 서비스 계정 JSON 키는 통합 설정에 저장됩니다. 조직 정책에 따라 교체하고 전용 통합 서비스 계정을 사용하세요.
- 네트워크 — 아웃바운드를
securitycenter.googleapis.com과oauth2.googleapis.com으로 제한하세요.
문제 해결
서비스 계정 키가 유효한 JSON이 아님
서비스 계정 키가 유효한 JSON이 아님
감싸는 중괄호를 포함하여 JSON 키 파일의 전체 내용을 붙여넣으세요.
폴링은 활성화되어 있지만 발견 항목이 표시되지 않음
폴링은 활성화되어 있지만 발견 항목이 표시되지 않음
서비스 계정이 구성한 조직/프로젝트에 대해 Findings Viewer 역할을 가지고 있고 커서보다 새로운
ACTIVE 발견 항목이 존재하는지 확인하세요. 첫 실행 시에는
pollingInitialLookbackHours 이내의
발견 항목만 가져옵니다.모든 CaseBender 서비스가 실행 중인지 확인하세요 — Docker에서는 docker compose ps에서
worker 및 misp-processor 서비스가 Up 상태여야 합니다.PermissionDenied 오류
PermissionDenied 오류
서비스 계정에 요청된 범위에 대한
securitycenter.findings.list 권한이 없거나, 조직/프로젝트 ID가
올바르지 않습니다.