SCC Findingsを、もう見逃さない。
Google Security Command Center(SCC)は、セキュリティ上の問題をFindingsとして検出します。前回の記事では、SCCの通知を拡張してセキュリティFindingsの可視性を高め、Cloud Monitoringでメトリクスやアラートとして扱う方法を解説しました。
本記事では、Findingsを自動でSlackチャンネルへ送信し、さらに気づきやすくするもう一つの方法をご紹介します。
Google SCCのFindingアラートをSlackチャンネルへ送信
本プロジェクトは、PubSubトピックに送信されたSCC FindingsをトリガーとするGoogle Cloud Functionです。PubSubの設定は、関連プロジェクト https://github.com/gschaeffer/scc-alerts から行えます。デフォルトのフィルターは、重大度が高いFindingsを対象としています。
前提条件
あらかじめSCC Notificationsを設定しておく必要があります。設定は、関連プロジェクト https://github.com/gschaeffer/scc-alerts を使うとシンプルに行えます。
インストール
gcloudコマンドで使うプロジェクトを指定します。
PROJECT="[REPLACE_WITH_PROJECT_ID]" gcloud config set core/project $PROJECT # Verify the change gcloud config get-value core/projectCloud Secret Managerでシークレットを作成します。サービスが未有効の場合は、先に有効化してください。
Cloud Functionをデプロイします。
https://github.com/gschaeffer/scc-slack-handler
クリーンアップ
リソースを削除するには、以下のgcloudスクリプトをご利用ください。
初出: https://github.com。
