Cloud Security Vulnerabilities

Cloud Security Vulnerabilities está en vista previa para tu sitio de Datadog seleccionado (). Solicita acceso rellenando este formulario.

Información general

Cloud Security Vulnerabilities te ayuda a mejorar tu postura de seguridad y lograr el cumplimiento mediante el análisis continuo de imágenes de contenedor, hosts, imágenes de host y funciones serverless en busca de vulnerabilidades, desde los pipelines CI/CD hasta la producción en directo. Aprovechando la capacidad de observación en tiempo de ejecución, te ayuda a priorizar y corregir vulnerabilidades explotables en tus flujos de trabajo diarios, todo en una única vista y sin dependencias de otros productos de Datadog.

Con Cloud Security Vulnerabilities, puedes gestionar tu estrategia de gestión de la seguridad en la nube, todo en un solo lugar:

  • Crea un programa de gestión de vulnerabilidades, desde los pipelines CI/CD hasta los recursos de producción.
  • Aprobar auditorías de cumplimiento (como SOC2, PCI, HIPAA, CIS y FedRamp)
  • Corregir vulnerabilidades emergentes (CVE de día cero)

Nota: Para la gestión de vulnerabilidades en bibliotecas de aplicaciones, consulta Software Composition Analysis. Para el código de las aplicaciones, consulta Code Security.

Capacidades clave

Desplegar utilizando Agentless o el Datadog Agent unificado
Analiza rápidamente todo tu infraestructura en busca de vulnerabilidades, ya sea utilizando Agentless el Datadog Agent unificado que ya tienes desplegado.
Inventariar recursos en la nube, en tiempo real
Realiza un inventario en tiempo real de imágenes de contenedor, hosts, funciones serverless y todos los paquetes desplegados en tu infraestructura y exporta tu SBOM.
Detectar vulnerabilidades continuamente
escanea actualizaciones recientes y CVEs recientemente publicados, a través de imágenes de contenedor en ejecución desde hosts y registros, host, imágenes de host y serverless, e identifica capas de imágenes de contenedor vulnerables.
Priorizar vulnerabilidades explotables, utilizando la capacidad de observación en tiempo de ejecución
Aprovecha la puntuación de la seguridad de Datadog, basada en CVSS, incorporando información de CISA KEV, EPSS y la disponibilidad pública de exploits. Con la capacidad de observación en tiempo de ejecución, puedes monitorizar la producción, la exposición a ataques, el procesamiento de datos confidenciales y el acceso privilegiado.
Aprovechar la corrección guiada
Observa qué capas están afectadas, obtén sugerencias específicas para cada imagen y actúa sobre la gestión del ciclo de vida de tus vulnerabilidades.
Implementar la automatización y las integraciones
Automatiza la creación de tickets de Jira e implementa SLA. Utiliza la API pública de Datadog para exportar vulnerabilidades, cobertura y SBOM.
Explorar informes
Observa y monitoriza datos de vulnerabilidad en tus dashboards.

Métodos de despliegue

Empieza con Cloud Security Vulnerabilities y cubre tu infraestructura en minutos, utilizando:

También puedes utilizar ambos métodos de despliegue: el Datadog Agent unificado, donde ya lo tienes desplegado, y Agentless, en otros lugares.

Luego de la activación, Datadog comienza a analizar tus recursos de forma continua y comienza a informar de las vulnerabilidades priorizadas en tu página de Redsultados de Cloud Security Vulnerabilities en una hora.

Utiliza estas tablas para decidir con qué solución empezar:

CaracterísticaAgentlessDatadog Agent unificado
Tiempo de despliegue en infraestructuraMinutosHoras a semanas
Priorización de vulnerabilidadesSí, con contexto en tiempo de ejecución
Frecuencia de análisis de vulnerabilidades12 horasTiempo real
Contexto de detección de vulnerabilidadesAgentlessDatadog Agent unificado
Host e imagen de hostPaquetes de sistema operativo y de aplicaciones, asignados a la imagenPaquetes de sistema operativo
Imagen de contenedorPaquetes de sistema operativo y de aplicaciones, asignados a la imagenPaquetes de sistema operativo
Proveedor de la nubeAWS, Azure (Vista previa)AWS, Azure, GCP, on-prem, etc.
Sistema operativoLinuxLinux, Windows
ServerlessAWS Lambda, AWS ECS FargateNo aplicable
Registros de contenedoresAmazon ECRNo aplicable

Para obtener más información sobre compatibilidad, consulta Hosts y compatibilidad de contenedores de Cloud Security Vulnerabilities. Si necesitas ayuda, consulta la guía para solucionar problemas, o ponte en contacto con support@datadoghq.com.

Detectar, priorizar y corregir continuamente vulnerabilidades explotables

La página de Resultados de Cloud Security Vulnerabilities te ayuda a investigar las vulnerabilidades detectadas en tus imágenes de contenedor y host, hosts en ejecución y funciones serverless utilizando funciones de filtrado y agrupación.

Céntrate primero en las vulnerabilidades explotables, utilizando la puntuación de gravedad de Datadog que combina la puntuación CVSS base con varios factores de riesgo, como datos confidenciales, sensibilidad del entorno, exposición a ataques, disponibilidad de exploits o fuentes de información sobre amenazas.

Para vulnerabilidades con correcciones disponibles, la página de Resultados proporciona pasos de corrección guiados para ayudar a los equipos de desarrollo y operaciones a resolver los problemas de forma más rápida y eficaz. También puedes clasificar, silenciar, comentar y asignar vulnerabilidades para gestionar su ciclo de vida.

La página de Resultados de Cloud Security Vulnerabilities que muestra una vulnerabilidad y las acciones que puede tomar un usuario para corregirla

En las imágenes de contenedor, puedes rastrear vulnerabilidades encontradas en una imagen a capas específicas, para que puedas localizar y remediar tus riesgos de seguridad más rápidamente.

Una lista de vulnerabilidades asociadas con cada capa de una imagen

Automatización e integración Jira

Permite que Cloud Security Vulnerabilities forme parte de tu flujo de trabajo diario, configurando reglas de notificación de seguridad y pipelines de automatización (en Vista previa):

  • Recibir alertas cuando se detectan vulnerabilidades explotables en tu contexto
  • Crear tickets de Jira automáticamente
  • Configurar SLA para corregir vulnerabilidades
Pantalla de configuración de una regla de notificación

Seguimiento e informes

Utiliza el dashboard de Cloud Security Vulnerabilities predefinido para realizar un seguimiento e informar de los progresos a las partes interesadas. Clónalo y modifícalo según tus necesidades.

El dashboard de Cloud Security Vulnerabilities

Explorar paquetes de infraestructura

El Catálogo de paquetes de infraestructura proporciona un inventario en tiempo real de todos los paquetes en hosts, imágenes de host e imágenes de contenedor desplegados en tu infraestructura. Ofrece una interfaz que puedes utilizar para investigar tus SBOM, enriquecida con vulnerabilidades y contextos de tiempo de ejecución.

Evalúa rápidamente el impacto de una vulnerabilidad crítica emergente buscando las versiones de paquetes afectadas e identificando todos los recursos que la utilizan.

Inventario de paquetes desplegados en la infraestructura con un contexto de vulnerabilidades y la vista de los recursos que los utilizan

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Activar la recopilación de SBOM en Cloud Security VulnerabilitiesDOCUMENTACIÓN more more Configuración de vulnerabilidades de hostDOCUMENTACIÓN more more Visualización de las imágenes de contenedorDOCUMENTACIÓN more more Solucionar problemas de Cloud Security VulnerabilitiesDOCUMENTACIÓN more more Mejorar el flujo de trabajo de solución de problemas con imágenes de contenedor en Datadog Container MonitoringBLOG more more