Visão geral
A integração do Google Cloud Security Command Center (SCC) (INT-009) ingere os findings do SCC no CaseBender e os converte em alertas (e opcionalmente casos).Sondagem automática (pull)
O CaseBender extrai novos findings diretamente do SCC de forma agendada usando
uma conta de serviço — sem notificação do Pub/Sub.
Webhook de notificação (push)
Como alternativa, uma notificação do SCC (via Pub/Sub + Cloud Function)
encaminha os findings ao endpoint de ingestão do CaseBender.
A sondagem usa o SDK oficial do Google Cloud (
@google-cloud/security-center)
para enumerar os findings via API v1 do SCC.Recursos
Pré-requisitos
1
Criar uma conta de serviço
No IAM do Google Cloud, crie uma conta de serviço e baixe uma chave JSON. Conceda a ela a
função Security Center Findings Viewer (
roles/securitycenter.findingsViewer) no nível de
organização ou projeto.2
Reunir o ID de organização ou projeto
Anote seu ID de organização numérico (recomendado) ou um ID de projeto.
3
Saída de rede
O sondador do CaseBender deve alcançar
securitycenter.googleapis.com e oauth2.googleapis.com.Configurar a integração no CaseBender
1
Abrir o catálogo de integrações
Vá em Settings → Integrations → Create e escolha Google Cloud SCC na categoria
Cloud Security.
2
Inserir as credenciais do GCP
3
Ativar a sondagem automática (recomendado)
4
Configurar a criação automática de casos
Entrada (sondagem automática)
1
Extração agendada
A cada intervalo, o CaseBender enumera os findings ACTIVE com
eventTime igual ou posterior ao
último cursor, ordenados por horário do evento. Na primeira execução, os findings dentro de
pollingInitialLookbackHours são importados.2
Cursor + deduplicação
O CaseBender avança o cursor até o
eventTime mais recente. Os findings são deduplicados por
nome de finding, de modo que janelas sobrepostas nunca criam duplicatas.3
Normalização
Cada finding é normalizado em um alerta do CaseBender com observáveis e tags de categoria.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que
ele consiga alcançar
securitycenter.googleapis.com (diretamente ou através do seu proxy).Entrada (webhook de notificação / push)
Como alternativa, uma configuração de notificação do SCC (Pub/Sub → Cloud Function) pode fazer POST dos findings para:x-api-key. É
esperado o formato de payload { "finding": { ... }, "resource": { ... } }.
Considerações de segurança
- Privilégio mínimo — conceda apenas Security Center Findings Viewer.
- Manejo de segredos — a chave JSON da conta de serviço é armazenada nas configurações da integração; faça a rotação conforme a política da sua organização e prefira uma conta de serviço de integração dedicada.
- Rede — restrinja a saída a
securitycenter.googleapis.comeoauth2.googleapis.com.
Solução de problemas
A chave da conta de serviço não é um JSON válido
A chave da conta de serviço não é um JSON válido
Cole o conteúdo inteiro do arquivo de chave JSON, incluindo as chaves que o envolvem.
A sondagem está ativada, mas nenhum finding aparece
A sondagem está ativada, mas nenhum finding aparece
Confirme que a conta de serviço tem a função Findings Viewer na organização/projeto configurado
e que existem findings ACTIVE mais recentes que o cursor. Na primeira execução, apenas os
findings dentro de
pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker,
docker compose ps deve mostrar os serviços worker e misp-processor como Up.Erros PermissionDenied
Erros PermissionDenied
A conta de serviço não tem
securitycenter.findings.list no escopo solicitado, ou o ID de
organização/projeto está incorreto.