Activación de de Agentless Scanning

Este producto no es compatible con el sitio Datadog seleccionado. ().

Agentless Scanning brinda visibilidad de las vulnerabilidades que existen en tu infraestructura en la nube, sin instalar el Datadog Agent. Agentless Scanning se ejecuta completamente dentro de tu infraestructura, enviando datos mínimos a Datadog, y dejando tus datos confidenciales en tu entorno. Dado que el escáner se ejecuta en tu cuenta en la nube, se aplican los costes del proveedor de la nube estándar. Para obtener más información, consulta la Descripción general de Agentless Scanning.

La instalación tarda aproximadamente 30 minutos por cuenta en la nube:

  1. Verifica los requisitos previos a continuación.
  2. Elige tu proveedor de nube y el método de despliegue.
  3. Inicia una plantilla en tu cuenta en la nube.
  4. Verifica los resultados del escaneo en Datadog.

Requisitos previos

Antes de configurar Agentless Scanning, comprueba que se cumplen los siguientes requisitos previos:

  • Remote Configuration: Remote Configuration debe estar habilitado en tu organización de Datadog para enviar instrucciones de escaneo a los escáneres sin agent.

  • Claves de API y de aplicación:

    • Se necesita una clave de API con Remote Configuration activado para que los escáneres informen de los resultados del escaneo a Datadog.
    • Se necesita una clave de aplicación con permisos de Gestión de integraciones o Gestión de organizaciones para activar las funciones de escaneo a través de la API de Datadog.

  • Permisos en la nube: la instancia de Agentless Scanning requiere permisos específicos para escanear hosts, imágenes de host, registros de contenedores y funciones. Datadog aplica automáticamente estos permisos, enumerados a continuación para mayor transparencia, durante la instalación.

    Permisos de escaneo:

    • ebs:GetSnapshotBlock
    • ebs:ListChangedBlocks
    • ebs:ListSnapshotBlocks
    • ec2:CopySnapshot
    • ec2:CreateSnapshot
    • ec2:CreateTags
    • ec2:DeleteSnapshot
    • ec2:DeregisterImage
    • ec2:DescribeSnapshotAttribute
    • ec2:DescribeSnapshots
    • ec2:DescribeVolumes
    • ecr:BatchGetImage
    • ecr:GetAuthorizationToken
    • ecr:GetDownloadUrlForLayer
    • kms:CreateGrant
    • kms:Decrypt
    • kms:DescribeKey
    • lambda:GetFunction
    • lambda:GetLayerVersion

    Solo cuando está activado Sensitive Data Scanning (DSPM):

    • kms:GenerateDataKey
    • s3:GetObject
    • s3:ListBucket

    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/endGetAccess/action
    • Microsoft.ContainerRegistry/registries/pull/read
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.globalOperations.get
    • compute.images.get
    • compute.instances.attachDisk
    • compute.instances.detachDisk
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.list
    • compute.snapshots.delete
    • compute.snapshots.setLabels

Instalación

Consulta Despliegue de Agentless Scanning para obtener información sobre cómo estructurar tu despliegue, incluido el número de cuentas y regiones en las que se despliegan los escáneres.

Selecciona tu proveedor de nube para ver los métodos de configuración disponibles. Si estás configurando Agentless Scanning en varios proveedores de nube, completa la configuración para cada proveedor de forma independiente.

    Elige tu configuración

    • Nuevo en Datadog: en la página Intro to Cloud Security, haz clic en Get Started with Cloud Security (Introducción a Cloud Security) y, a continuación, en Quick Start (Inicio rápido). El inicio rápido es un flujo de configuración guiado que utiliza AWS CloudFormation para desplegar Agentless Scanning con todas las funciones de Cloud Security prehabilitadas. Solo está disponible para organizaciones que aún no hayan configurado Cloud Security Management.
    • Una sola cuenta de AWS en Datadog: utiliza CloudFormation o Terraform. Terraform se recomienda para despliegues multiregión.
    • Organización de AWS con múltiples cuentas: utiliza CloudFormation StackSet para desplegar capacidades de análisis en todas las cuentas miembro.
    • Múltiples cuentas sin AWS Organizations: repite la configuración de CloudFormation o Terraform para cada cuenta individualmente.

    Utiliza CloudFormation si ya tienes una cuenta de AWS integrada con Datadog y deseas activar Agentless Scanning, o si deseas añadir una nueva cuenta de AWS.

    Nueva cuenta de AWS

    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. En la parte inferior de la sección de AWS, haz clic en Add AWS accounts by following these steps (Añadir cuentas de AWS siguiendo estos pasos). Aparecerá la pantalla Add New AWS Account(s) (Añadir nuevas cuentas de AWS).
    3. Selecciona la región de AWS en la que deseas crear el stack tecnológico de CloudFormation.
    4. Selecciona una clave de API que tenga activado Remote Configuration.
    5. Elige si deseas activar Sensitive Data Scanner para el almacenamiento en la nube. Esto cataloga y clasifica automáticamente los datos confidenciales en los recursos de Amazon S3.
    6. Haz clic en Launch CloudFormation Template (Lanzar plantilla de CloudFormation). Se abrirá una nueva ventana con la pantalla de AWS CloudFormation. Utiliza la plantilla de CloudFormation proporcionada para crear un stack tecnológico. La plantilla incluye los permisos de IAM necesarios para desplegar y gestionar analizadores sin agente.

    Cuenta existente de AWS

    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. Haz clic en la cuenta de AWS en la que deseas desplegar el escáner sin agent, lo que abre el panel lateral.
    3. En la pestaña Features (Características), haz clic en Configure Agentless Scanning (Configurar Agentless Scanning) o en Manage (Gestionar) para abrir el cuadro de configuración de Agentless Scanning.
    4. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona CloudFormation.
    5. Selecciona una clave de API que tenga activado Remote Configuration.
    6. Activa las funciones que desees, como Vulnerability Management o Sensitive Data Scanner.
    7. Haz clic en Launch CloudFormation Template (Lanzar plantilla de CloudFormation). Se abrirá una nueva ventana con la pantalla de AWS CloudFormation. Utiliza la plantilla de CloudFormation proporcionada para crear un stack tecnológico.
    8. Haz clic en Done (Listo).

    Para las organizaciones de AWS con varias cuentas, utiliza CloudFormation StackSet para desplegar la función de delegado de Agentless Scanning en todas las cuentas miembro. Este enfoque automatiza la incorporación y configura las nuevas cuentas añadidas a tu organización de AWS.

    Esta configuración despliega el rol delegado requerido para escaneo entre cuentas a través de tu organización de AWS o unidades organizativas (OUs) específicas. Primero, configura Agentless Scanning en tu cuenta de escaneo central usando CloudFormation o Terraform, luego despliega el StackSet para configurar las cuentas restantes.

    Requisitos previos

    1. Accede a la cuenta de gestión AWS.
    2. El acceso de confianza con AWS Organizations debe estar habilitado para CloudFormation StackSets.
    3. Agentless Scanning ya está configurado en tu cuenta de escaneo central (véase más arriba).

    Despliegue del StackSet

    1. Inicia sesión en tu cuenta de gestión AWS y ve a CloudFormation > StackSets.
    2. Haz clic en Create StackSet (Crear StackSet).
    3. Selecciona Service-managed permissions (Permisos gestionados por el servicio).
    4. En Specify template (Especificar plantilla), selecciona Amazon S3 URL (URL de Amazon S3) e introduce la siguiente URL:
      https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/v4.3.1/datadog_agentless_delegate_role_stackset.yaml
    5. Introduce un nombre de StackSet (por ejemplo, DatadogAgentlessScanningStackSet).
    6. Configura el parámetro ScannerInstanceRoleARN, que es el ARN del rol de IAM adjunto a tus instancias del escáner sin agent.
      El ScannerInstanceRoleARN debe ser el ARN exacto del rol de instancia del escáner (por ejemplo, arn:aws:iam::123456789012:role/DatadogAgentlessScannerRole). El uso de un ARN raíz como arn :aws:iam::123456789012:root no funciona.

      El ScannerInstanceRoleARN establece una relación de confianza entre el rol delegado (creado en las cuentas de destino) y tus instancias de escáner (que ya se ejecutan en la cuenta central). Esto permite el escaneo entre cuentas cuando:

      • The scanner runs in Account 4.
      • The delegate role exists in Accounts 1, 2, 3 (deployed through the StackSet).
      • The scanner assumes the delegate roles to scan resources in those accounts.
    7. Establece Deployment targets (Objetivos de despliegue) para desplegar en tu organización de AWS o en unidades de organización específicas.
    8. Activa Automatic deployment (Despliegue automático) para configurar las nuevas cuentas añadidas a tu organización de AWS.
    9. Selecciona una región única para el despliegue (el rol IAM es global y solo necesita desplegarse una vez por cuenta).
    10. Revisa y envía el StackSet.

    Una vez desplegado el StackSet, las cuentas miembro se configuran para permitir el escaneo entre cuentas desde tu cuenta de escáner central.

    El módulo de Terraform Datadog Agentless Scanner proporciona una configuración reutilizable para instalar el escáner sin agent de Datadog. Terraform es el método de despliegue recomendado para entornos multiregión. Despliega un escáner por región, lo que evita costes de red entre regiones. Para más información sobre cómo elegir la topología de despliegue, consulta Deploying Agentless Scanning. Para ver ejemplos de uso, incluidas configuraciones multirregión, consulta el directorio de ejemplos en el repositorio de GitHub.

    Nueva cuenta de AWS

    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. En la parte inferior de la sección de AWS, haz clic en Add AWS accounts by following these steps (Añadir cuentas de AWS siguiendo estos pasos). Aparecerá la pantalla Add New AWS Account(s) (Añadir nuevas cuentas de AWS).
    3. En Choose a method for adding your AWS account (Elige un método para añadir tu cuenta de AWS), selecciona Manually (Manualmente).
    4. Sigue las instrucciones para instalar el módulo del analizador sin agente de Datadog.
    5. Selecciona la casilla I confirm that the Datadog IAM Role has been added to the AWS Account (Confirmo que la función de IAM de Datadog se ha añadido a la cuenta de AWS).
    6. Introduce el AWS Account ID (ID de cuenta de AWS) y el AWS Role Name (Nombre del rol de AWS).
    7. Haz clic en Save (Guardar).

    Cuenta existente de AWS

    1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
    2. Haz clic en la cuenta de AWS en la que deseas desplegar el escáner sin agent para abrir el panel lateral.
    3. En la pestaña Features (Características), haz clic en Configure Agentless Scanning (Configurar Agentless Scanning) o en Manage (Gestionar) para abrir el cuadro de configuración de Agentless Scanning.
    4. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona Terraform.
    5. Sigue las instrucciones para instalar el módulo del analizador sin agente de Datadog.
    6. Selecciona la casilla I confirm the Terraform module is installed (Confirmo que el módulo de Terraform está instalado).
    7. Haz clic en Done (Listo).

    Después de completar cualquiera de los métodos de configuración anteriores, verifica tu configuración.

    Elige tu configuración

    Utiliza la plantilla de Azure Resource Manager para desplegar el escáner sin agent. La plantilla incluye las definiciones de rol necesarias para desplegar y gestionar escáneres sin agent.

    Nueva suscripción a Azure

    Asegúrate de tener configurada la integración con Azure en Datadog .

    Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

    Cloud Security Setup page
    1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
    2. Locate the tenant ID of your subscription.
    3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
    4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
    5. Click the Enable button under Vulnerability Scanning.
    6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
    7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
    8. Click Launch Azure Resource Manager to be redirected to the Azure portal.
    Azure portal
    1. Log in to the Azure portal. The template creation form is displayed.
    2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
    3. In Subscriptions to scan, select all the subscriptions you want to scan.
    4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
    5. Click Review + create.

    Suscripción existente a Azure

    Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

    Cloud Security Setup page
    1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
    2. Locate the tenant ID of your subscription.
    3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
    4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
    5. Click the Enable button under Vulnerability Scanning.
    6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
    7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
    8. Click Launch Azure Resource Manager to be redirected to the Azure portal.
    Azure portal
    1. Log in to the Azure portal. The template creation form is displayed.
    2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
    3. In Subscriptions to scan, select all the subscriptions you want to scan.
    4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
    5. Click Review + create.

    El módulo de Terraform Datadog Agentless Scanner proporciona una configuración reutilizable para instalar el escáner sin agent de Datadog. Para obtener orientación sobre la elección de tu topología de despliegue, consulta Deploying Agentless Scanning. Para ejemplos de uso, consulta el directorio de ejemplos en el repositorio de GitHub.

    1. En la página Cloud Security Setup, haz clic en Cloud Integrations > Azure (Integraciones en la nube > Azure).
    2. Expande el inquilino que contiene la suscripción en la que deseas desplegar el analizador sin agente.
    3. Haz clic en el botón Enable (Habilitar) de la suscripción de Azure en la que deseas desplegar el Agentless Scanner.
    4. Activa Vulnerability Scanning (Escaneo de vulnerabilidades).
    5. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona Terraform.
    6. Sigue las instrucciones para instalar el módulo del Datadog Agentless Scanner.
    7. Haz clic en Done (Listo).

    Después de completar cualquiera de los métodos de configuración anteriores, verifica tu configuración.

    Elige tu configuración

    Si aún no has conectado tu proyecto de GCP a Datadog, configura primero la integración con GCP.

    Utiliza Google Cloud Shell para configurar Agentless Scanning para tus proyectos de GCP. Este método descarga un script de configuración que envuelve el módulo de Terraform Datadog Agentless Scanner para GCP, por lo que no es necesario gestionar Terraform directamente. Puedes revisar el script antes de ejecutarlo.

    Permisos de GCP requeridos: la identidad que utilices en Cloud Shell debe tener Owner (Propietario) o equivalente en el proyecto del escáner. El script crea un bucket de GCS para el estado de Terraform, por lo que también debes tener permisos Storage (Almacenamiento) en ese proyecto (por ejemplo, roles/storage.admin o storage.buckets.create/storage.buckets.get/storage.buckets.update). Alternativamente, puedes reutilizar un bucket existente para el estado de Terraform estableciendo la variable de entorno TF_STATE_BUCKET a un nombre de bucket existente; el script no creará un bucket en ese caso. Si aparece un error 403 en “Setting up Terraform state storage”, consulta [GCP: Failed to create state bucket][26] en la guía de solución de problemas.

    1. En la página Cloud Security Setup, haz clic en Cloud Integrations > GCP (Integraciones en la nube > GCP).
    2. Expande la cuenta que contiene el proyecto en el que deseas desplegar el analizador sin agente.
    3. Haz clic en el botón Enable (Habilitar) para el proyecto de GCP en el que deseas desplegar el escáner sin agent. Se abrirá el modal Vulnerability Scanning.
    4. En la sección How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), selecciona Cloud Shell.
    5. Selecciona una clave de API que tenga activado Remote Configuration. Se genera automáticamente una clave de aplicación.
    6. Selecciona los proyectos GCP que deseas escanear.
    7. Configura el escáner:
      • Si ya tienes escáneres desplegados, puedes elegir entre utilizar un escáner existente (recomendado) o desplegar un nuevo escáner.
      • Si vas a desplegar un nuevo escáner, selecciona el proyecto de escáner (que debe ser uno de los proyectos seleccionados). Recomendamos instalar escáneres en cada región en la que tengas más de 150 hosts
    8. Haz clic en Copy command (Copiar comando) para copiar el comando generado y haz clic en Open Google Cloud Shell (Abrir Google Cloud Shell) para abrir Google Cloud Shell. Revisa y ejecuta el comando. El script aplica el módulo de Terraform Datadog Agentless Scanner para GCP para desplegar y configurar el escáner en tu proyecto y región(es) seleccionadas.
    9. Una vez completado el comando, vuelve a la página de configuración de Datadog y haz clic en Done (Hecho).

    El módulo de Terraform Datadog Agentless Scanner proporciona una configuración reutilizable para instalar el escáner sin agent de Datadog. Para obtener orientación sobre la elección de tu topología de despliegue, consulta Deploying Agentless Scanning. Para ejemplos de uso, consulta el directorio de ejemplos en el repositorio de GitHub.

    1. En la página Cloud Security Setup, haz clic en Cloud Integrations > GCP (Integraciones en la nube > GCP).
    2. Expande la cuenta que contiene el proyecto en el que deseas desplegar el analizador sin agente.
    3. Haz clic en el botón Enable (Habilitar) para el proyecto de GCP en el que deseas desplegar el analizador sin agente.
    4. Activa Vulnerability Scanning (Escaneo de vulnerabilidades).
    5. Sigue las instrucciones para instalar el módulo del Datadog Agentless Scanner.
    6. Haz clic en Done (Listo).

    Después de completar cualquiera de los métodos de configuración anteriores, verifica tu configuración.

    Verifica tu configuración

    Una vez completada la configuración, Agentless Scanning tarda un tiempo en producir los resultados iniciales. El primer ciclo de escaneado tarda aproximadamente 30 minutos en completarse.

    Si no aparecen resultados después de dos horas, consulte la guía de solución de problemas de Agentless Scanning.

    Visualiza los resultados del escaneo en las siguientes ubicaciones:

    Excluir recursos de los análisis

    Para excluir hosts, contenedores o funciones específicos de los escaneos, consulta Filtros de evaluación de recursos.

    Desactivar el análisis Agentless

      1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > AWS (Integraciones en la nube > AWS).
      2. Si es necesario, utiliza filtros para encontrar la cuenta para la que deseas detener Agentless Scanning. Haz clic en la cuenta para abrir el panel lateral que contiene su configuración.
      3. En la pestaña Features (Características), haz clic en Configure Agentless Scanning (Configurar Agentless Scanning) o en Manage (Gestionar) para abrir el cuadro de configuración de Agentless Scanning.
      4. En How would you like to set up Agentless Scanning? (¿Cómo deseas configurar Agentless Scanning?), haz clic en Terraform.
      5. En Enable Features (Activar funciones), junto a Enable Agentless Vulnerability management (Activar gestión de Agentless Vulnerability), cambia el conmutador a la posición de desactivado.
      6. Haz clic en Done (Listo).
      1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > Azure (Integraciones en la nube > Azure).
      2. Localiza el inquilino de tu suscripción, expande la lista de suscripciones e identifica la suscripción en la que quieres desactivar el análisis Agentless.
      3. Junto a la etiqueta Enabled (Habilitado), haz clic en el botón Edit (Editar) () para abrir el modal de Vulnerability Scanning.
      4. Junto a Vulnerability Scanning, coloca el conmutador en la posición de desactivado.
      5. Haz clic en Done (Listo).
      1. En la página Cloud Security Setup (Configuración de Cloud Security), haz clic en Cloud Integrations > GCP (Integraciones en la nube > GCP).
      2. Expande la cuenta que contiene el proyecto en el que deseas desactivar Agentless Scanning.
      3. Junto a la etiqueta Enabled (Habilitado), haz clic en el botón Edit (Editar) () para abrir el modal de Vulnerability Scanning.
      4. Junto a Vulnerability Scanning, coloca el conmutador en la posición de desactivado.
      5. Haz clic en Done (Listo).

      Desinstalar Agentless Scanning

      Selecciona el método de despliegue que utilizaste para instalar Agentless Scanning:

        Para desinstalar Agentless Scanning, elimina el módulo del analizador de tu código de Terraform. Para obtener más información, consulta la documentación del módulo de Terraform.

        Para desinstalar Agentless Scanning, inicia sesión en tu consola de AWS y elimina el stack tecnológico de CloudFormation creado para Agentless Scanning (el nombre del substack tecnológico sigue el patrón DatadogIntegration-DatadogAgentlessScanning-...).

        Para desinstalar Agentless Scanning que se configuró mediante Google Cloud Shell, ejecuta el mismo comando de configuración que utilizaste durante la instalación, sustituyendo deploy por destroy al final. Por ejemplo:

        curl -sSL "<CLOUD_SHELL_SCRIPT_URL>" -o gcp_agentless_setup.pyz && \
DD_API_KEY="<DD_API_KEY>" \
DD_APP_KEY="<DD_APP_KEY>" \
DD_SITE="<DD_SITE>" \
SCANNER_PROJECT="<SCANNER_PROJECT>" \
SCANNER_REGIONS="<SCANNER_REGIONS>" \
PROJECTS_TO_SCAN="<PROJECTS>" \
python3 gcp_agentless_setup.pyz destroy

        Puedes revisar la fuente de script de configuración antes de ejecutar el comando.

        Para desinstalar Agentless Scanning, inicia sesión en tu suscripción de Azure. Si creaste un grupo de recursos dedicado para el escáner sin agent, elimina este grupo de recursos junto con las siguientes definiciones de funciones de Azure:

        • Rol del analizador sin agente de Datadog
        • Rol delegado del analizador sin agente de Datadog

        Si no has utilizado un grupo de recursos dedicado, deberás eliminar manualmente los recursos del analizador, que pueden identificarse con las etiquetas (tags) Datadog:true y DatadogAgentlessScanner:true.

        Referencias adicionales

        Más enlaces, artículos y documentación útiles:

        Configuración de Cloud SecurityDOCUMENTACIÓN more more Cloud Security Agentless ScanningDOCUMENTACIÓN more more Actualización de Agentless ScanningDOCUMENTACIÓN more more Resolución de problemas de Agentless ScanningDOCUMENTACIÓN more more