Ne passez plus jamais à côté d'un Finding SCC.
Google Security Command Center (SCC) fait remonter les problèmes de sécurité sous forme de Findings. Dans un précédent article, nous avons vu comment étendre les notifications de SCC pour gagner en visibilité sur les Findings de sécurité et les exploiter dans Cloud Monitoring pour les métriques et les alertes.
Dans ce billet, vous allez découvrir une autre façon d'élargir encore la visibilité de ces Findings en les envoyant automatiquement vers un canal Slack.
Alerte de Finding Google SCC envoyée vers un canal Slack
Le projet repose sur une Google Cloud Function déclenchée par les Findings SCC publiés sur un Topic PubSub. La configuration PubSub peut être mise en place via le projet associé https://github.com/gschaeffer/scc-alerts. Par défaut, le filtre cible les Findings de sévérité élevée.
Prérequis
Les notifications SCC doivent être configurées au préalable. Le projet associé https://github.com/gschaeffer/scc-alerts simplifie cette étape.
Installation
Définissez la valeur du projet pour les commandes gcloud.
PROJECT="[REPLACE_WITH_PROJECT_ID]" gcloud config set core/project $PROJECT # Verify the change gcloud config get-value core/projectCréez les secrets dans Cloud Secret Manager. Activez le service s'il ne l'est pas déjà.
Déployez la cloud function
https://github.com/gschaeffer/scc-slack-handler
Nettoyage
Pour supprimer les ressources, utilisez les scripts gcloud ci-dessous.
Publié initialement sur https://github.com.
