Activer le scanning sans Agent

This product is not supported for your selected Datadog site. ().

Le scanning sans Agent offre une visibilité sur les vulnérabilités qui existent dans votre infrastructure cloud, sans nécessiter l’installation de l’Agent Datadog. Pour en savoir plus sur les capacités du scanning sans Agent et son fonctionnement, consultez la documentation sur le scanning sans Agent.

Prérequis

Avant de configurer le scanning sans Agent, assurez-vous que les prérequis suivants sont remplis :

  • Configuration à distance : la Configuration à distance est requise pour permettre à Datadog d’envoyer des informations aux scanners sans Agent, telles que les ressources cloud à scanner.

  • Clés d’API et d’application :

    • Une clé d’API avec la Configuration à distance activée est requise pour que les scanners signalent les résultats de scan à Datadog.
    • Une clé d’application avec les autorisations Integrations Manage ou Org Management est requise pour activer les fonctionnalités de scanning via l’API Datadog.

  • Autorisations cloud : l’instance de scanning sans Agent nécessite des autorisations spécifiques pour scanner les hosts, les images de host, les registres de conteneurs et les fonctions. Ces autorisations sont automatiquement appliquées dans le cadre du processus d’installation et sont strictement limitées aux autorisations minimales requises pour effectuer les scans nécessaires, conformément au principe du moindre privilège.

    Autorisations de scanning :

    • ebs:GetSnapshotBlock
    • ebs:ListChangedBlocks
    • ebs:ListSnapshotBlocks
    • ec2:CopySnapshot
    • ec2:CreateSnapshot
    • ec2:CreateTags
    • ec2:DeleteSnapshot
    • ec2:DeregisterImage
    • ec2:DescribeSnapshotAttribute
    • ec2:DescribeSnapshots
    • ec2:DescribeVolumes
    • ecr:BatchGetImage
    • ecr:GetAuthorizationToken
    • ecr:GetDownloadUrlForLayer
    • kms:CreateGrant
    • kms:Décryptage
    • kms:DescribeKey
    • lambda:GetFunction
    • lambda:GetLayerVersion

    Uniquement lorsque le Sensitive Data Scanner (DSPM) est activé :

    • kms:GenerateDataKey
    • s3:GetObject
    • s3:ListBucket

    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/endGetAccess/action
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.globalOperations.get
    • calculer.images.obtenir
    • compute.instances.attachDisk
    • compute.instances.detachDisk
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.list
    • compute.snapshots.delete
    • compute.snapshots.setLabels

Configuration

L'exécution des scanners sans Agent entraîne des coûts supplémentaires. Pour optimiser ces coûts tout en garantissant des scans fiables toutes les 12 heures, Datadog recommande de configurer le scanning sans Agent avec Terraform comme modèle par défaut.

Pour activer le scanning sans Agent, utilisez l’un des workflows suivants :

Prise en main rapide

Conçu pour les nouveaux utilisateurs, le workflow de démarrage rapide offre un processus de configuration efficace pour Cloud Security, permettant une surveillance immédiate des ressources AWS. Il utilise AWS CloudFormation pour automatiser la configuration.

Conçu pour les nouveaux utilisateurs, le workflow de démarrage rapide offre un processus de configuration efficace pour Cloud Security, permettant une surveillance immédiate des ressources AWS. Il utilise AWS CloudFormation pour automatiser la configuration et inclut les fonctionnalités Cloud Security : Misconfigurations, Identity Risks (CIEM) et Vulnerability Management.

Cet article fournit des instructions pour le workflow de démarrage rapide pour nouveaux utilisateurs qui utilise AWS CloudFormation pour configurer le scanning sans Agent. Pour les utilisateurs existants qui souhaitent ajouter un nouveau compte AWS ou activer le scanning sans Agent sur un compte AWS intégré existant, consultez les instructions pour Terraform ou AWS CloudFormation.
L'exécution des scanners sans Agent entraîne des coûts supplémentaires. Pour optimiser ces coûts tout en garantissant des scans fiables toutes les 12 heures, Datadog recommande de configurer le scanning sans Agent avec Terraform comme modèle par défaut.
Le Scanner de données sensibles pour le stockage cloud est en disponibilité limitée. Demandez l'accès pour vous inscrire.
Installation
  1. Sur la page Introduction à Cloud Security, cliquez sur Get Started with Cloud Security.
  2. Cliquez sur Quick Start. La page Features s’affiche, montrant les fonctionnalités incluses avec le démarrage rapide du scanning sans Agent.
  3. Cliquez sur Start Using Cloud Security pour continuer.
  4. Sélectionnez la région AWS où vous souhaitez créer la stack CloudFormation.
  5. Sélectionnez une clé API déjà configurée pour la Configuration à distance. Si la clé API que vous sélectionnez n’a pas la Configuration à distance activée, la Configuration à distance est automatiquement activée pour cette clé lors de la sélection.
  6. Choisissez d’activer ou non le Sensitive Data Scanner pour le stockage cloud. Cela catalogue et classifie automatiquement les données sensibles dans les ressources Amazon S3.
  7. Cliquez sur Launch CloudFormation Template. Une nouvelle fenêtre s’ouvre, affichant l’écran AWS CloudFormation. Utilisez le modèle CloudFormation fourni pour créer une stack. Le modèle inclut les autorisations IAM requises pour déployer et gérer les scanners sans Agent.
Mettre à jour la stack CloudFormation

Datadog recommande de mettre à jour régulièrement la stack CloudFormation, afin d’avoir accès aux nouvelles fonctionnalités et corrections de bugs au fur et à mesure de leur publication. Pour ce faire, suivez ces étapes :

  1. Connectez-vous à votre console AWS et accédez à la page CloudFormation Stacks.
  2. Sélectionnez la sous-stack CloudFormation DatadogIntegration-DatadogAgentlessScanning-…, cliquez sur Update, puis cliquez sur Update nested stack.
  3. Cliquez sur Replace existing template.
  4. Dans l’URL S3 suivante : https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml, remplacez <VERSION> par la version trouvée dans aws_quickstart/version.txt. Collez cette URL dans le champ Amazon S3 URL.
  5. Cliquez sur Next pour avancer sur les pages suivantes sans les modifier, puis soumettez le formulaire.

Terraform

Le module Terraform Datadog Agentless Scanner fournit une configuration simple et réutilisable pour installer le scanner sans Agent Datadog pour AWS, Azure et GCP.

Si vous avez déjà configuré Cloud Security et souhaitez ajouter un nouveau compte cloud ou activer le scanning sans Agent sur un compte cloud intégré existant, vous pouvez utiliser Terraform, AWS CloudFormation ou Azure Resource Manager. Cet article fournit des instructions détaillées pour l’approche Terraform.

Si vous configurez Cloud Security pour la première fois, vous pouvez suivre le workflow de démarrage rapide, qui utilise AWS CloudFormation pour activer le scanning sans Agent.
    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. En bas de la section AWS, cliquez sur Add AWS accounts by following these steps. La boîte de dialogue Add New AWS Account(s) s’affiche.
    3. Sous Choose a method for adding your AWS account, sélectionnez Manually.
    4. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    5. Cochez la case I confirm that the Datadog IAM Role has been added to the AWS Account.
    6. Saisissez l’AWS Account ID et l’AWS Role Name.
    7. Cliquez sur Save.
    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. Cliquez sur le bouton Edit scanning () pour le compte AWS où vous souhaitez déployer le scanner sans Agent.
    3. Enable Resource Scanning devrait déjà être activé. Si ce n’est pas le cas, activez Enable Resource Scanning.
    4. Dans la section How would you like to set up Agentless Scanning?, sélectionnez Terraform.
    5. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    6. Cochez la case I confirm the Terraform module is installed.
    7. Cliquez sur Done.
    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > Azure.
    2. Développez le locataire contenant l’abonnement où vous souhaitez déployer le scanner sans Agent.
    3. Cliquez sur le bouton Enable pour le compte Azure où vous souhaitez déployer le scanner sans Agent.
    4. Activez Vulnerability Scanning.
    5. Dans la section How would you like to set up Agentless Scanning?, sélectionnez Terraform.
    6. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    7. Cliquez sur Done.
    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > GCP.
    2. Développez le compte contenant le projet où vous souhaitez déployer le scanner sans Agent.
    3. Cliquez sur le bouton Enable pour le projet GCP où vous souhaitez déployer le scanner sans Agent.
    4. Activez Vulnerability Scanning.
    5. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    6. Cliquez sur Done.
    Mettre à jour la version des modules Terraform

    Mettez à jour la référence source pour les modules Agentless Scanner vers la dernière version. Vous pouvez trouver la dernière version sur GitHub Releases.

    Pour des exemples d’utilisation, consultez notre référentiel Github.


    AWS Cloudformation

    Utilisez le modèle AWS CloudFormation pour créer une stack CloudFormation. Le modèle inclut les autorisations IAM requises pour déployer et gérer les scanners sans Agent.

    Si vous avez déjà configuré Cloud Security et souhaitez ajouter un nouveau compte cloud ou activer le scanning sans Agent sur un compte AWS intégré existant, vous pouvez utiliser Terraform ou AWS CloudFormation. Cet article fournit des instructions détaillées pour l’approche AWS CloudFormation.

    Si vous configurez Cloud Security pour la première fois, vous pouvez suivre le workflow de démarrage rapide, qui utilise également AWS CloudFormation pour activer le scanning sans Agent.
    L'exécution des scanners sans Agent entraîne des coûts supplémentaires. Pour optimiser ces coûts tout en garantissant des scans fiables toutes les 12 heures, Datadog recommande de configurer le scanning sans Agent avec Terraform comme modèle par défaut.
    Le Scanner de données sensibles pour le stockage cloud est en disponibilité limitée. Demandez l'accès pour vous inscrire.
    Configurer AWS CloudFormation
      1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
      2. En bas de la section AWS, cliquez sur Add AWS accounts by following these steps. La boîte de dialogue Add New AWS Account(s) s’affiche.
      3. Sélectionnez la région AWS où vous souhaitez créer la stack CloudFormation.
      4. Sélectionnez une clé API déjà configurée pour la Configuration à distance. Si la clé API que vous sélectionnez n’a pas la Configuration à distance activée, la Configuration à distance est automatiquement activée pour cette clé lors de la sélection.
      5. Choisissez d’activer ou non le Sensitive Data Scanner pour le stockage cloud. Cela catalogue et classifie automatiquement les données sensibles dans les ressources Amazon S3.
      6. Cliquez sur Launch CloudFormation Template. Une nouvelle fenêtre s’ouvre, affichant l’écran AWS CloudFormation. Utilisez le modèle CloudFormation fourni pour créer une stack. Le modèle inclut les autorisations IAM requises pour déployer et gérer les scanners sans Agent.
      1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
      2. Cliquez sur le bouton Edit () pour le compte AWS où vous souhaitez déployer le scanner sans Agent.
      3. Vérifiez que Enable Resource Scanning est activé. Si ce n’est pas le cas, activez Enable Resource Scanning et suivez les étapes 3 à 7 dans Nouveau compte AWS.
      4. Dans la section Agentless Scanning, activez Enable Vulnerability Management (Host, Container and Lambda).
      5. Choisissez d’activer ou non Enable Sensitive Data Scanner for Cloud Storage. Cela catalogue et classifie automatiquement les données sensibles dans les ressources Amazon S3.
      6. Cliquez sur Done.
      Mettre à jour la stack CloudFormation

      Datadog recommande de mettre à jour régulièrement la stack CloudFormation, afin d’avoir accès aux nouvelles fonctionnalités et corrections de bugs au fur et à mesure de leur publication. Pour ce faire, suivez ces étapes :

      1. Connectez-vous à votre console AWS et accédez à la page CloudFormation Stacks.
      2. Sélectionnez la sous-stack CloudFormation DatadogIntegration-DatadogAgentlessScanning-…, cliquez sur Update, puis cliquez sur Update nested stack.
      3. Cliquez sur Replace existing template.
      4. Dans l’URL S3 suivante : https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml, remplacez <VERSION> par la version trouvée dans aws_quickstart/version.txt. Collez cette URL dans le champ Amazon S3 URL.
      5. Cliquez sur Next pour avancer sur les pages suivantes sans les modifier, puis soumettez le formulaire.

      Azure Resource Manager

      Utilisez le modèle Azure Resource Manager pour déployer le scanner sans Agent. Le modèle inclut les définitions de rôles requises pour déployer et gérer les scanners sans Agent.

      Si vous avez déjà configuré Cloud Security et souhaitez ajouter un nouveau compte Azure ou activer le scanning sans Agent sur un compte Azure intégré existant, vous pouvez utiliser Terraform ou Azure Resource Manager. Cet article fournit des instructions détaillées pour l’approche Azure Resource Manager.

      L'exécution des scanners sans Agent entraîne des coûts supplémentaires. Pour optimiser ces coûts tout en garantissant des scans fiables toutes les 12 heures, Datadog recommande de configurer le scanning sans Agent avec Terraform comme modèle par défaut.
        Configurer l’intégration Datadog/Azure

        Suivez les instructions pour configurer l’intégration Azure Datadog.

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        Configuration

        Vérifier votre configuration

        Après avoir terminé la configuration, vous pouvez vérifier que le scanning sans Agent fonctionne correctement en recherchant les résultats de scan dans Datadog. Les résultats apparaissent généralement après la fin du premier cycle de scan.

        Consultez les résultats de scan aux emplacements suivants :

        Exclure des ressources des scans

        To exclude hosts, containers, and functions from scans, apply the tag DatadogAgentlessScanner:false to each resource. For detailed instructions, refer to the Resource Filters documentation.

        Désactiver le scanning sans Agent

          1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
          2. Si nécessaire, utilisez les filtres pour trouver le compte pour lequel vous souhaitez arrêter le scanning sans Agent. Cliquez sur le compte pour ouvrir le panneau latéral qui contient ses paramètres.
          3. Sur l’onglet Features, cliquez sur Configure Agentless Scanning ou Manage pour ouvrir la fenêtre de configuration du scanning sans Agent.
          4. Sous How would you like to set up Agentless scanning?, cliquez sur Terraform.
          5. Sous Enable Features, à côté de Enable Agentless Vulnerability management, désactivez le bouton.
          6. Cliquez sur Done.
          1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > Azure.
          2. Localisez le locataire de votre abonnement, développez la liste des abonnements et identifiez l’abonnement pour lequel vous souhaitez désactiver le scanning sans Agent.
          3. À côté de l’étiquette Enabled, cliquez sur le bouton Edit () pour ouvrir la fenêtre Vulnerability Scanning.
          4. À côté de Vulnerability Scanning, désactivez le bouton.
          5. Cliquez sur Done.
          1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > GCP.
          2. Développez le compte contenant le projet où vous souhaitez désactiver le scanning sans Agent.
          3. À côté de l’étiquette Enabled, cliquez sur le bouton Edit () pour ouvrir la fenêtre Vulnerability Scanning.
          4. À côté de Vulnerability Scanning, désactivez le bouton.
          5. Cliquez sur Done.

          Désinstaller le scanning sans Agent

            Pour désinstaller le scanning sans Agent, supprimez le module scanner de votre code Terraform. Pour plus d’informations, consultez la documentation du module Terraform.

            Pour désinstaller le scanning sans Agent, connectez-vous à votre console AWS et supprimez la stack CloudFormation créée pour le scanning sans Agent.

            Pour désinstaller le scanning sans Agent, connectez-vous à votre compte Azure. Si vous avez créé un groupe de ressources dédié pour le scanner sans Agent, supprimez ce groupe de ressources ainsi que les définitions de rôles Azure suivantes :

            • Datadog Agentless Scanner Role
            • Datadog Agentless Scanner Delegate Role

            Si vous n’avez pas utilisé de groupe de ressources dédié, vous devez supprimer manuellement les ressources du scanner, qui peuvent être identifiées par les tags Datadog:true et DatadogAgentlessScanner:true.

            Pour aller plus loin

            Documentation, liens et articles supplémentaires utiles:

            Configurer Cloud SecurityDOCUMENTATION more more Scanning sans Agent Cloud SecurityDOCUMENTATION more more