Activación de de Agentless Scanning

Este producto no es compatible con el sitio Datadog seleccionado. ().

Agentless Scanning proporciona visibilidad de las vulnerabilidades que existen dentro de tu infraestructura en la nube, sin necesidad de instalar el Datadog Agent. Para obtener más información sobre las capacidades y el funcionamiento de Agentless Scanning, consulta la documentación Agentless Scanning.

Requisitos previos

Antes de configurar Agentless Scanning, asegúrate de que se cumplen los siguientes requisitos previos:

  • Configuración remota: la Configuración remota es necesaria para permitir que Datadog envíe información a Agentless Scanner, como qué recursos en la nube escanear.

  • Claves de aplicación y de API:

    • Se necesita una clave de API con la configuración remota activada para que los escáneres informen de los resultados de los escaneos a Datadog.
    • Se necesita una clave de aplicación con permisos Integrations Manage o Org Management para activar las funciones de escaneo a través de la API de Datadog.

  • Permisos en la nube: la instancia de Agentless Scanning requiere permisos específicos para escanear hosts, imágenes de host, registros de contenedores y funciones. Estos permisos se aplican automáticamente como parte del proceso de instalación y se limitan estrictamente a los permisos mínimos requeridos para realizar los escaneos necesarios, siguiendo el principio de mínimo privilegio.

    Permisos de escaneo:

    • ebs:GetSnapshotBlock
    • ebs:ListChangedBlocks
    • ebs:ListSnapshotBlocks
    • ec2:CopySnapshot
    • ec2:CreateSnapshot
    • ec2:CreateTags
    • ec2:DeleteSnapshot
    • ec2:DeregisterImage
    • ec2:DescribeSnapshotAttribute
    • ec2:DescribeSnapshots
    • ec2:DescribeVolumes
    • ecr:BatchGetImage
    • ecr:GetAuthorizationToken
    • ecr:GetDownloadUrlForLayer
    • kms:CreateGrant
    • kms:Decrypt
    • kms:DescribeKey
    • lambda:GetFunction
    • lambda:GetLayerVersion

    Solo cuando está activado Sensitive Data Scanning (DSPM):

    • kms:GenerateDataKey
    • s3:GetObject
    • s3:ListBucket

    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/endGetAccess/action
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.globalOperations.get
    • compute.images.get
    • compute.instances.attachDisk
    • compute.instances.detachDisk
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.list
    • compute.snapshots.delete
    • compute.snapshots.setLabels

Instalación

La ejecución de escáneres sin agent conlleva costes adicionales. Para optimizar estos costes sin dejar de garantizar la fiabilidad de los escaneos cada 12 horas, Datadog recomienda configurar Agentless Scanning con Terraform como plantilla predeterminada.

Para activar Agentless Scanning, utiliza uno de los siguientes flujos de trabajo:

Inicio rápido

Diseñado para nuevos usuarios, el proceso de inicio rápido ofrece un paso de configuración eficiente para Cloud Security, permitiendo la monitorización inmediata de los recursos de AWS. Utiliza AWS CloudFormation para automatizar la configuración.

Diseñado para nuevos usuarios, el proceso de inicio rápido ofrece un paso de configuración eficiente para Cloud Security, permitiendo la monitorización inmediata de los recursos de AWS. Utiliza AWS CloudFormation para automatizar la configuración, e incluye las características de Cloud Security: Misconfigurations, Identity Risks (CIEM) y Vulnerability Management.

Este artículo proporciona instrucciones para el proceso de inicio rápido para nuevos usuarios que utiliza AWS CloudFormation para configurar Agentless Scanning. Para los usuarios existentes que deseen agregar una nueva cuenta de AWS o habilitar Agentless Scanning en una cuenta de AWS integrada existente, consulta las instrucciones de Terraform o AWS CloudFormation.
La ejecución de escáneres sin agent conlleva costes adicionales. Para optimizar estos costes sin dejar de garantizar la fiabilidad de los escaneos cada 12 horas, Datadog recomienda configurar Agentless Scanning con Terraform como plantilla predeterminada.
Sensitive Data Scanner para el almacenamiento en la nube tiene Disponibilidad limitada. Solicita acceso para inscribirte.
Instalación
  1. En la página de Introducción a Cloud Security, haz clic en Get Started with Cloud Security (Iniciar con Cloud Security).
  2. Haz clic en Quick Start (Inicio rápido). Aparecerá la página Features (Características), que muestra las características incluidas en el Inicio rápido de Agentless Scanning.
  3. Haz clic en Start Using Cloud Security (Iniciar el uso de Cloud Security) para continuar.
  4. Selecciona la región de AWS en la que deseas crear el stack tecnológico de CloudFormation.
  5. Selecciona una clave de API que ya esté configurada para la Configuración remota. Si la clave de API que seleccionas no tiene habilitada la Configuración remota, ésta se habilitará automáticamente para dicha clave al seleccionarla.
  6. Elige si deseas activar Sensitive Data Scanner para el almacenamiento en la nube. Esto cataloga y clasifica automáticamente los datos confidenciales en los recursos de Amazon S3.
  7. Haz clic en Launch CloudFormation Template (Lanzar plantilla de CloudFormation). Se abrirá una nueva ventana con la pantalla de AWS CloudFormation. Utiliza la plantilla de CloudFormation proporcionada para crear un stack tecnológico. La plantilla incluye los permisos de IAM necesarios para desplegar y gestionar Agentless Scanner.
Actualizar el stack tecnológico de CloudFormation

Datadog recomienda actualizar el stack tecnológico de CloudFormation con regularidad para poder acceder a las nuevas funciones y correcciones de errores a medida que se publiquen. Para ello, sigue estos pasos:

  1. Inicia sesión en tu consola de AWS y ve a la página de Stacks tecnológicos de CloudFormation.
  2. Selecciona el stack tecnológico secundario de CloudFormation DatadogIntegration-DatadogAgentlessScanning-…, haz clic en Update (Actualizar) y, a continuación, en Update nested stack (Actualizar stack tecnológico anidado).
  3. Haz clic en Replace existing template (Reemplazar plantilla existente).
  4. En la siguiente URL de S3: https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml, sustituye <VERSION> por la versión que se encuentra en aws_quickstart/version.txt. Pega esa URL en el campo Amazon S3 URL (URL de Amazon S3).
  5. Pulsa Next (Siguiente) para avanzar por las siguientes páginas sin modificarlas y, a continuación, envía el formulario.

Terraform

El módulo Terraform Datadog Agentless Scanner proporciona una configuración sencilla y reutilizable para instalar el escáner sin agent de Datadog para AWS, Azure y GCP.

Si ya has configurado Cloud Security y quieres añadir una nueva cuenta en la nube o habilitar Agentless Scanning en una cuenta en la nube integrada existente, puedes utilizar Terraform, AWS CloudFormation o Azure Resource Manager. Este artículo proporciona instrucciones detalladas para el enfoque de Terraform.

Si estás configurando Cloud Security por primera vez, puedes seguir el proceso de inicio rápido, que utiliza AWS CloudFormation para habilitar Agentless Scanning.
    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. En la parte inferior de la sección de AWS, haz clic en Add AWS accounts by following these steps (Añadir cuentas de AWS siguiendo estos pasos). Aparecerá la pantalla Add New AWS Account(s) (Añadir nuevas cuentas de AWS).
    3. En Choose a method for adding your AWS account (Elige un método para añadir tu cuenta de AWS), selecciona Manually (Manualmente).
    4. Sigue las instrucciones para instalar el módulo de Datadog Agentless Scanner.
    5. Selecciona la casilla I confirm that the Datadog IAM Role has been added to the AWS Account (Confirmo que la función de IAM de Datadog se ha añadido a la cuenta de AWS).
    6. Introduce el AWS Account ID (ID de cuenta de AWS) y el AWS Role Name (Nombre del rol de AWS).
    7. Haz clic en Save (Guardar).
    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. Haz clic en el botón Edit scanning (Editar escaneo) () de la cuenta de AWS en la que deseas desplegar el Agentless Scanner.
    3. La opción Enable Resource Scanning (Activar escaneo de recursos) ya debería estar activada. Si no lo está, activa Enable Resource Scanning (Activar escaneo de recursos).
    4. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona Terraform.
    5. Sigue las instrucciones para instalar el módulo de Datadog Agentless Scanner.
    6. Selecciona la casilla I confirm the Terraform module is installed (Confirmo que el módulo de Terraform está instalado).
    7. Haz clic en Done (Listo).
    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > Azure (Integraciones en la nube > Azure).
    2. Expande el inquilino que contiene la suscripción en la que deseas desplegar el Agentless Scanner.
    3. Haz clic en el botón Enable (Habilitar) de la cuenta de Azure en la que deseas desplegar el escáner sin agent.
    4. Activa Vulnerability Scanning (Escaneo de vulnerabilidades).
    5. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona Terraform.
    6. Sigue las instrucciones para instalar el módulo de Datadog Agentless Scanner.
    7. Haz clic en Done (Listo).
    1. En la página Cloud Security Setup (Configuración de seguridad en la nube), haz clic en Cloud Integrations > GCP (Integraciones de la nube > GCP).
    2. Expande la cuenta que contiene el proyecto en el que deseas desplegar el escáner sin agent.
    3. Haz clic en el botón Enable (Habilitar) para el proyecto de GCP en el que deseas desplegar el escáner sin agent.
    4. Activa Vulnerability Scanning (Escaneo de vulnerabilidades).
    5. Sigue las instrucciones para instalar el módulo de Datadog Agentless Scanner.
    6. Haz clic en Done (Listo).
    Actualizar la versión de los módulos de Terraform

    Actualiza la referencia source para los módulos del Agentless Scanner a la última versión. Puedes encontrar la última versión en Versiones de GitHub.

    Para ver ejemplos de uso, consulta nuestro repositorio de Github.


    AWS Cloudformation

    Utiliza la plantilla de AWS CloudFormation para crear un stack tecnológico de CloudFormation. La plantilla incluye los permisos de IAM necesarios para desplegar y gestionar Agentless Scanner.

    Si ya has configurado Cloud Security y deseas añadir una nueva cuenta en la nube o habilitar Agentless Scanning en una cuenta integrada existente de AWS, puedes utilizar Terraform o AWS CloudFormation. Este artículo proporciona instrucciones detalladas para el enfoque de AWS CloudFormation.

    Si estás configurando Cloud Security por primera vez, puedes seguir el proceso de inicio rápido, que también utiliza AWS CloudFormation para habilitar Agentless Scanning.
    La ejecución de escáneres sin agent conlleva costes adicionales. Para optimizar estos costes sin dejar de garantizar la fiabilidad de los escaneos cada 12 horas, Datadog recomienda configurar Agentless Scanning con Terraform como plantilla predeterminada.
    Sensitive Data Scanner para el almacenamiento en la nube tiene Disponibilidad limitada. Solicita acceso para inscribirte.
    Configurar AWS CloudFormation
      1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
      2. En la parte inferior de la sección de AWS, haz clic en Add AWS accounts by following these steps (Añadir cuentas de AWS siguiendo estos pasos). Aparecerá la pantalla Add New AWS Account(s) (Añadir nuevas cuentas de AWS).
      3. Selecciona la región de AWS en la que deseas crear el stack tecnológico de CloudFormation.
      4. Selecciona una clave de API que ya esté configurada para la Configuración remota. Si la clave de API que seleccionas no tiene habilitada la Configuración remota, ésta se habilitará automáticamente para dicha clave al seleccionarla.
      5. Elige si deseas activar Sensitive Data Scanner para el almacenamiento en la nube. Esto cataloga y clasifica automáticamente los datos confidenciales en los recursos de Amazon S3.
      6. Haz clic en Launch CloudFormation Template (Lanzar plantilla de CloudFormation). Se abrirá una nueva ventana con la pantalla de AWS CloudFormation. Utiliza la plantilla de CloudFormation proporcionada para crear un stack tecnológico. La plantilla incluye los permisos de IAM necesarios para desplegar y gestionar Agentless Scanner.
      1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
      2. Haz clic en el botón Edit (Editar) () de la cuenta de AWS en la que deseas desplegar Agentless Scanner.
      3. Comprueba que Enable Resource Scanning (Activar escaneo de recursos) está activado. Si no lo está, activa la casilla Enable Resource Scanning (Activar escaneo de recursos) y sigue los pasos 3-7 de Nueva cuenta de AWS.
      4. En la sección Agentless Scanning, activa Enable Vulnerability Management (Host, Container and Lambda) (Activar Vulnerability Management [Host, contenedor y Lambda]).
      5. Elige si deseas Enable Sensitive Data Scanner for Cloud Storage (Habilitar Sensitive Data Scanner para almacenamiento en la nube). Esto cataloga y clasifica automáticamente los datos confidenciales en los recursos de Amazon S3.
      6. Haz clic en Done (Listo).
      Actualizar el stack tecnológico de CloudFormation

      Datadog recomienda actualizar el stack tecnológico de CloudFormation con regularidad para poder acceder a las nuevas funciones y correcciones de errores a medida que se publiquen. Para ello, sigue estos pasos:

      1. Inicia sesión en tu consola de AWS y ve a la página de Stacks tecnológicos de CloudFormation.
      2. Selecciona el stack tecnológico secundario de CloudFormation DatadogIntegration-DatadogAgentlessScanning-…, haz clic en Update (Actualizar) y, a continuación, en Update nested stack (Actualizar stack tecnológico anidado).
      3. Haz clic en Replace existing template (Reemplazar plantilla existente).
      4. En la siguiente URL de S3: https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml, sustituye <VERSION> por la versión que se encuentra en aws_quickstart/version.txt. Pega esa URL en el campo Amazon S3 URL (URL de Amazon S3).
      5. Pulsa Next (Siguiente) para avanzar por las siguientes páginas sin modificarlas y, a continuación, envía el formulario.

      Azure Resource Manager

      Utiliza la plantilla de Azure Resource Manager para desplegar el Agentless Scanner. La plantilla incluye las definiciones de rol necesarias para desplegar y gestionar los Agentless Scanner.

      Si ya has configurado Cloud Security y deseas agregar una nueva cuenta de Azure o habilitar Agentless Scanning en una cuenta de Azure integrada existente, puedes utilizar Terraform o Azure Resource Manager. Este artículo proporciona instrucciones detalladas para el enfoque mediante Azure Resource Manager.

      La ejecución de escáneres sin agent conlleva costes adicionales. Para optimizar estos costes sin dejar de garantizar la fiabilidad de los escaneos cada 12 horas, Datadog recomienda configurar Agentless Scanning con Terraform como plantilla predeterminada.
        Configurar la integración Datadog Azure

        Sigue las instrucciones para configurar la integración Datadog Azure.

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        Configuración

        Verificar tu configuración

        Una vez finalizada la configuración, puedes verificar que Agentless Scanning funciona correctamente consultando los resultados del escaneo en Datadog. Los resultados suelen aparecer una vez completado el primer ciclo de escaneo.

        Visualiza los resultados del escaneo en las siguientes ubicaciones:

        Excluir recursos de los análisis

        To exclude hosts, containers, and functions from scans, apply the tag DatadogAgentlessScanner:false to each resource. For detailed instructions, refer to the Resource Filters documentation.

        Desactivar Agentless scanning

          1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
          2. Si es necesario, utiliza filtros para encontrar la cuenta para la que deseas detener Agentless scanning. Haz clic en la cuenta para abrir el panel lateral que contiene su configuración.
          3. En la pestaña Features (Características), haz clic en Configure Agentless Scanning (Configurar Agentless Scanning) o en Manage (Gestionar) para abrir el cuadro de configuración de Agentless Scanning.
          4. En How would you like to set up Agentless scanning? (¿Cómo deseas configurar Agentless Scanning?), haz clic en Terraform.
          5. En Enable Features (Activar funciones), junto a Enable Agentless Vulnerability management (Activar gestión de Agentless Vulnerability), cambia el conmutador a la posición de desactivado.
          6. Haz clic en Done (Listo).
          1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > Azure (Integraciones en la nube > Azure).
          2. Localiza el inquilino de tu suscripción, expande la lista de suscripciones e identifica la suscripción en la que quieres desactivar el análisis Agentless.
          3. Junto a la etiqueta Enabled (Habilitado), haz clic en el botón Edit (Editar) () para abrir el modal de Vulnerability Scanning.
          4. Junto a Vulnerability Scanning, coloca el conmutador en la posición de desactivado.
          5. Haz clic en Done (Listo).
          1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > GCP (Integraciones en la nube > GCP).
          2. Expande la cuenta que contiene el proyecto en el que deseas desactivar Agentless Scanning.
          3. Junto a la etiqueta Enabled (Habilitado), haz clic en el botón Edit (Editar) () para abrir el modal de Vulnerability Scanning.
          4. Junto a Vulnerability Scanning, coloca el conmutador en la posición de desactivado.
          5. Haz clic en Done (Listo).

          Desinstalar Agentless Scanning

            Para desinstalar Agentless Scanning, elimina el módulo del escáner de tu código de Terraform. Para obtener más información, consulta la documentación del módulo de Terraform.

            Para desinstalar Agentless Scanning, inicia sesión en tu consola de AWS y elimina el stack tecnológico de CloudFormation creado para Agentless Scanning.

            Para desinstalar Agentless Scanning, inicia sesión en tu cuenta de Azure. Si creaste un grupo de recursos dedicado para el escáner sin agent, elimina este grupo de recursos junto con las siguientes definiciones de rol de Azure:

            • Rol del analizador Agentless de Datadog
            • Rol delegado del analizador Agentless de Datadog

            Si no has utilizado un grupo de recursos dedicado, deberás eliminar manualmente los recursos del escáner, que pueden identificarse con las etiquetas Datadog:true y DatadogAgentlessScanner:true.

            Referencias adicionales

            Más enlaces, artículos y documentación útiles:

            Configuración de Cloud SecurityDOCUMENTACIÓN more more Cloud Security Agentless ScanningDOCUMENTACIÓN more more