Pular para o conteúdo principal

Visão geral

A integração do Google Cloud Security Command Center (SCC) (INT-009) ingere os findings do SCC no CaseBender e os converte em alertas (e opcionalmente casos).

Sondagem automática (pull)

O CaseBender extrai novos findings diretamente do SCC de forma agendada usando uma conta de serviço — sem notificação do Pub/Sub.

Webhook de notificação (push)

Como alternativa, uma notificação do SCC (via Pub/Sub + Cloud Function) encaminha os findings ao endpoint de ingestão do CaseBender.
Recomendado: ative a sondagem automática. Requer apenas uma conta de serviço somente leitura e nenhum endpoint de entrada. Consulte Sondagem automática.
A sondagem usa o SDK oficial do Google Cloud (@google-cloud/security-center) para enumerar os findings via API v1 do SCC.

Recursos

Pré-requisitos

1

Criar uma conta de serviço

No IAM do Google Cloud, crie uma conta de serviço e baixe uma chave JSON. Conceda a ela a função Security Center Findings Viewer (roles/securitycenter.findingsViewer) no nível de organização ou projeto.
2

Reunir o ID de organização ou projeto

Anote seu ID de organização numérico (recomendado) ou um ID de projeto.
3

Saída de rede

O sondador do CaseBender deve alcançar securitycenter.googleapis.com e oauth2.googleapis.com.

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha Google Cloud SCC na categoria Cloud Security.
2

Inserir as credenciais do GCP

3

Ativar a sondagem automática (recomendado)

4

Configurar a criação automática de casos

Entrada (sondagem automática)

1

Extração agendada

A cada intervalo, o CaseBender enumera os findings ACTIVE com eventTime igual ou posterior ao último cursor, ordenados por horário do evento. Na primeira execução, os findings dentro de pollingInitialLookbackHours são importados.
2

Cursor + deduplicação

O CaseBender avança o cursor até o eventTime mais recente. Os findings são deduplicados por nome de finding, de modo que janelas sobrepostas nunca criam duplicatas.
3

Normalização

Cada finding é normalizado em um alerta do CaseBender com observáveis e tags de categoria.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que ele consiga alcançar securitycenter.googleapis.com (diretamente ou através do seu proxy).

Entrada (webhook de notificação / push)

Como alternativa, uma configuração de notificação do SCC (Pub/Sub → Cloud Function) pode fazer POST dos findings para:
As requisições são autenticadas com a API key de integração no cabeçalho x-api-key. É esperado o formato de payload { "finding": { ... }, "resource": { ... } }.

Considerações de segurança

  • Privilégio mínimo — conceda apenas Security Center Findings Viewer.
  • Manejo de segredos — a chave JSON da conta de serviço é armazenada nas configurações da integração; faça a rotação conforme a política da sua organização e prefira uma conta de serviço de integração dedicada.
  • Rede — restrinja a saída a securitycenter.googleapis.com e oauth2.googleapis.com.

Solução de problemas

Cole o conteúdo inteiro do arquivo de chave JSON, incluindo as chaves que o envolvem.
Confirme que a conta de serviço tem a função Findings Viewer na organização/projeto configurado e que existem findings ACTIVE mais recentes que o cursor. Na primeira execução, apenas os findings dentro de pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker, docker compose ps deve mostrar os serviços worker e misp-processor como Up.
A conta de serviço não tem securitycenter.findings.list no escopo solicitado, ou o ID de organização/projeto está incorreto.

Documentação relacionada