Activer Agentless Scanning

Ce produit n'est pas pris en charge par le site Datadog que vous avez sélectionné. ().

Agentless Scanning offre une visibilité sur les vulnérabilités présentes dans votre infrastructure cloud, sans installer l’Agent Datadog. Agentless Scanning s’exécute entièrement dans votre infrastructure, envoie un minimum de données à Datadog et laisse vos données sensibles dans votre environnement. Le scanner s’exécutant dans votre compte cloud, les coûts standard du fournisseur cloud s’appliquent. Pour en savoir plus, consultez la section Présentation d’Agentless Scanning.

La configuration prend environ 30 minutes par compte cloud :

  1. Vérifiez les prérequis ci-dessous.
  2. Choisissez votre fournisseur cloud et votre méthode de déploiement.
  3. Lancez un modèle dans votre compte cloud.
  4. Vérifiez les résultats du scan dans Datadog.

Prérequis

Avant de configurer Agentless Scanning, vérifiez que les prérequis suivants sont satisfaits :

  • Configuration à distance : la configuration à distance doit être activée sur votre organisation Datadog pour envoyer des instructions de scan aux scanners Agentless.

  • Clés d’API et d’application :

    • Une clé d’API avec la configuration à distance activée est requise pour que les scanners puissent transmettre les résultats des scans à Datadog.
    • Une clé d’application avec les autorisations Integrations Manage ou Org Management est requise pour activer les fonctionnalités de scan via l’API Datadog.

  • Autorisations cloud : l’instance Agentless Scanning nécessite des autorisations spécifiques pour scanner les hosts, les images de host, les registres de conteneur et les fonctions. Datadog applique automatiquement ces autorisations, listées ci-dessous à titre informatif, lors de l’installation.

    Autorisations de scanning :

    • ebs:GetSnapshotBlock
    • ebs:ListChangedBlocks
    • ebs:ListSnapshotBlocks
    • ec2:CopySnapshot
    • ec2:CreateSnapshot
    • ec2:CreateTags
    • ec2:DeleteSnapshot
    • ec2:DeregisterImage
    • ec2:DescribeSnapshotAttribute
    • ec2:DescribeSnapshots
    • ec2:DescribeVolumes
    • ecr:BatchGetImage
    • ecr:GetAuthorizationToken
    • ecr:GetDownloadUrlForLayer
    • kms:CreateGrant
    • kms:Décryptage
    • kms:DescribeKey
    • lambda:GetFunction
    • lambda:GetLayerVersion

    Uniquement lorsque le Sensitive Data Scanner (DSPM) est activé :

    • kms:GenerateDataKey
    • s3:GetObject
    • s3:ListBucket

    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/endGetAccess/action
    • Microsoft.ContainerRegistry/registries/pull/read
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.globalOperations.get
    • calculer.images.obtenir
    • compute.instances.attachDisk
    • compute.instances.detachDisk
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.list
    • compute.snapshots.delete
    • compute.snapshots.setLabels

Configuration

Consultez la section Déployer Agentless Scanning pour obtenir des informations sur la structure de votre déploiement, notamment le nombre de comptes et de régions dans lesquels déployer des scanners.

Sélectionnez votre fournisseur cloud pour afficher les méthodes de configuration disponibles. Si vous configurez Agentless Scanning pour plusieurs fournisseurs cloud, effectuez la configuration de chaque fournisseur séparément.

    Choisir votre configuration

    • Nouvel utilisateur Datadog : sur la page Intro to Cloud Security, cliquez sur Get Started with Cloud Security, puis sur Quick Start. Quick Start est un flux de configuration guidée qui utilise AWS CloudFormation pour déployer Agentless Scanning avec toutes les fonctionnalités Cloud Security préactivées. Cette option est uniquement disponible pour les organisations n’ayant pas encore configuré Cloud Security Management.
    • Compte AWS unique dans Datadog : utilisez CloudFormation ou Terraform. Terraform est recommandé pour les déploiements multi-régions.
    • Organisation AWS avec plusieurs comptes : utilisez CloudFormation StackSet pour déployer les capacités de scan dans tous les comptes membres.
    • Plusieurs comptes sans AWS Organizations : répétez la configuration CloudFormation ou Terraform pour chaque compte individuellement.

    Utilisez CloudFormation si vous disposez déjà d’un compte AWS intégré à Datadog et souhaitez activer Agentless Scanning, ou si vous souhaitez ajouter un nouveau compte AWS.

    Nouveau compte AWS

    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. En bas de la section AWS, cliquez sur Add AWS accounts by following these steps. La boîte de dialogue Add New AWS Account(s) s’affiche.
    3. Sélectionnez la région AWS où vous souhaitez créer la stack CloudFormation.
    4. Sélectionnez une clé d’API pour laquelle la configuration à distance est activée.
    5. Choisissez d’activer ou non le Sensitive Data Scanner pour le stockage cloud. Cela catalogue et classifie automatiquement les données sensibles dans les ressources Amazon S3.
    6. Cliquez sur Launch CloudFormation Template. Une nouvelle fenêtre s’ouvre, affichant l’écran AWS CloudFormation. Utilisez le modèle CloudFormation fourni pour créer une stack. Le modèle inclut les autorisations IAM requises pour déployer et gérer les scanners sans Agent.

    Compte AWS existant

    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. Cliquez sur le compte AWS dans lequel vous souhaitez déployer le scanner Agentless, ce qui ouvre le volet latéral.
    3. Sur l’onglet Features, cliquez sur Configure Agentless Scanning ou Manage pour ouvrir la fenêtre de configuration d’Agentless Scanning.
    4. Dans la section How would you like to set up Agentless Scanning?, sélectionnez CloudFormation.
    5. Sélectionnez une clé d’API pour laquelle la configuration à distance est activée.
    6. Activez les fonctionnalités souhaitées, telles que Vulnerability Management ou Sensitive Data Scanner.
    7. Cliquez sur Launch CloudFormation Template. Une nouvelle fenêtre s’ouvre, affichant l’écran AWS CloudFormation. Utilisez le modèle CloudFormation fourni pour créer une stack.
    8. Cliquez sur Done.

    Pour les organisations AWS avec plusieurs comptes, utilisez un CloudFormation StackSet pour déployer le rôle délégué Agentless Scanning dans tous les comptes membres. Cette approche automatise l’intégration et configure les nouveaux comptes ajoutés à votre organisation AWS.

    Cette configuration déploie le rôle délégué requis pour le scan inter-comptes dans votre organisation AWS ou des unités organisationnelles (OU) spécifiques. Commencez par configurer Agentless Scanning dans votre compte de scan central à l’aide de CloudFormation ou de Terraform, puis déployez le StackSet pour configurer les comptes restants.

    Prérequis

    1. Accès au compte de gestion AWS.
    2. Trusted Access with AWS Organizations doit être activé pour les CloudFormation StackSets.
    3. Agentless Scanning est déjà configuré dans votre compte de scan central (voir ci-dessus).

    Déployer le StackSet

    1. Connectez-vous à votre compte de gestion AWS et accédez à CloudFormation > StackSets.
    2. Cliquez sur Create StackSet.
    3. Sélectionnez Service-managed permissions.
    4. Sous Specify template, sélectionnez Amazon S3 URL et saisissez l’URL suivante :
      https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/v4.3.1/datadog_agentless_delegate_role_stackset.yaml
    5. Saisissez un StackSet name (par exemple, DatadogAgentlessScanningStackSet).
    6. Configurez le paramètre ScannerInstanceRoleARN, qui correspond à l’ARN du rôle IAM associé à vos instances de scanner Agentless.
      Le ScannerInstanceRoleARN doit être l'ARN exact du rôle d'instance de scanner (par exemple, arn:aws:iam::123456789012:role/DatadogAgentlessScannerRole). L'utilisation d'un ARN racine tel que arn:aws:iam::123456789012:root ne fonctionne pas.

      Le ScannerInstanceRoleARN établit une relation d'approbation entre le rôle délégué (créé dans les comptes cibles) et vos instances de scanner (déjà en cours d'exécution dans le compte central). Cela permet le scan inter-comptes dans lequel :

      • The scanner runs in Account 4.
      • The delegate role exists in Accounts 1, 2, 3 (deployed through the StackSet).
      • The scanner assumes the delegate roles to scan resources in those accounts.
    7. Définissez les Deployment targets pour un déploiement dans votre organisation AWS ou des OU spécifiques.
    8. Activez Automatic deployment pour configurer les nouveaux comptes ajoutés à votre organisation AWS.
    9. Sélectionnez une seule région pour le déploiement (le rôle IAM est global et ne doit être déployé qu’une seule fois par compte).
    10. Vérifiez et soumettez le StackSet.

    Une fois le StackSet déployé, les comptes membres sont configurés pour autoriser le scan inter-comptes depuis votre compte de scanner central.

    Le module Terraform Datadog Agentless Scanner fournit une configuration réutilisable pour l’installation du scanner Agentless Datadog. Terraform est la méthode de déploiement recommandée pour les environnements multi-régions. Il déploie un scanner par région, ce qui évite les coûts réseau inter-régions. Pour obtenir des conseils sur le choix de votre topologie de déploiement, consultez la section Déployer Agentless Scanning. Pour des exemples d’utilisation incluant des configurations multi-régions, consultez le répertoire examples dans le référentiel GitHub.

    Nouveau compte AWS

    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. En bas de la section AWS, cliquez sur Add AWS accounts by following these steps. La boîte de dialogue Add New AWS Account(s) s’affiche.
    3. Sous Choose a method for adding your AWS account, sélectionnez Manually.
    4. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    5. Cochez la case I confirm that the Datadog IAM Role has been added to the AWS Account.
    6. Saisissez l’AWS Account ID et l’AWS Role Name.
    7. Cliquez sur Save.

    Compte AWS existant

    1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
    2. Cliquez sur le compte AWS dans lequel vous souhaitez déployer le scanner Agentless pour ouvrir le volet latéral.
    3. Sur l’onglet Features, cliquez sur Configure Agentless Scanning ou Manage pour ouvrir la fenêtre de configuration d’Agentless Scanning.
    4. Dans la section How would you like to set up Agentless Scanning?, sélectionnez Terraform.
    5. Suivez les instructions pour installer le module Datadog Agentless Scanner.
    6. Cochez la case I confirm the Terraform module is installed.
    7. Cliquez sur Done.

    Après avoir suivi l’une des méthodes de configuration ci-dessus, vérifiez votre configuration.

    Choisir votre configuration

    Utilisez le modèle Azure Resource Manager pour déployer le scanner Agentless. Le modèle inclut les définitions de rôles requises pour déployer et gérer les scanners Agentless.

    Nouvel abonnement Azure

    Vérifiez que vous avez configuré l'intégration Azure Datadog.

    Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

    Cloud Security Setup page
    1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
    2. Locate the tenant ID of your subscription.
    3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
    4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
    5. Click the Enable button under Vulnerability Scanning.
    6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
    7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
    8. Click Launch Azure Resource Manager to be redirected to the Azure portal.
    Azure portal
    1. Log in to the Azure portal. The template creation form is displayed.
    2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
    3. In Subscriptions to scan, select all the subscriptions you want to scan.
    4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
    5. Click Review + create.

    Abonnement Azure existant

    Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

    Cloud Security Setup page
    1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
    2. Locate the tenant ID of your subscription.
    3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
    4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
    5. Click the Enable button under Vulnerability Scanning.
    6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
    7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
    8. Click Launch Azure Resource Manager to be redirected to the Azure portal.
    Azure portal
    1. Log in to the Azure portal. The template creation form is displayed.
    2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
    3. In Subscriptions to scan, select all the subscriptions you want to scan.
    4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
    5. Click Review + create.

    Le module Terraform Datadog Agentless Scanner fournit une configuration réutilisable pour l’installation du scanner Agentless Datadog. Pour obtenir des conseils sur le choix de votre topologie de déploiement, consultez la section Déployer Agentless Scanning. Pour des exemples d’utilisation, consultez le répertoire examples dans le référentiel GitHub.

    1. Sur la page Cloud Security Setup, cliquez sur Cloud Integrations > Azure.
    2. Développez le locataire contenant l’abonnement où vous souhaitez déployer le scanner sans Agent.
    3. Cliquez sur le bouton Enable correspondant à l’abonnement Azure dans lequel vous souhaitez déployer le scanner Agentless.
    4. Activez Vulnerability Scanning.
    5. Dans la section How would you like to set up Agentless Scanning?, sélectionnez Terraform.
    6. Suivez les instructions d’installation du module Datadog Agentless Scanner.
    7. Cliquez sur Done.

    Après avoir suivi l’une des méthodes de configuration ci-dessus, vérifiez votre configuration.

    Choisir votre configuration

    Si vous n'avez pas encore connecté votre projet GCP à Datadog, configurez l'intégration GCP en premier.

    Utilisez Google Cloud Shell pour configurer Agentless Scanning pour vos projets GCP. Cette méthode télécharge un script de configuration qui encapsule le module Terraform Datadog Agentless Scanner pour GCP, de sorte que vous n’avez pas besoin de gérer Terraform directement. Vous pouvez examiner le script avant de l’exécuter.

    Autorisations GCP requises : l’identité que vous utilisez dans Cloud Shell doit disposer du rôle Owner ou équivalent sur le projet de scanner. Le script crée un bucket GCS pour l’état Terraform ; vous devez donc également disposer d’autorisations Storage sur ce projet (par exemple, roles/storage.admin ou storage.buckets.create / storage.buckets.get / storage.buckets.update). Vous pouvez également réutiliser un bucket existant pour l’état Terraform en définissant la variable d’environnement TF_STATE_BUCKET sur le nom d’un bucket existant ; dans ce cas, le script ne crée pas de bucket. Si vous obtenez une erreur 403 lors de l’étape “Setting up Terraform state storage”, consultez la section [GCP : Échec de la création du bucket d’état][26] dans le guide de dépannage.

    1. Sur la page Cloud Security Setup, cliquez sur Cloud Integrations > GCP.
    2. Développez le compte contenant le projet où vous souhaitez déployer le scanner sans Agent.
    3. Cliquez sur le bouton Enable correspondant au projet GCP dans lequel vous souhaitez déployer le scanner Agentless. La fenêtre modale Vulnerability Scanning s’ouvre.
    4. Dans la section How would you like to set up Agentless Scanning?, sélectionnez Cloud Shell.
    5. Sélectionnez une clé d’API pour laquelle la configuration à distance est activée. Une clé d’application est générée automatiquement.
    6. Sélectionnez les projets GCP à scanner.
    7. Configurez le scanner :
      • Si des scanners sont déjà déployés, vous pouvez choisir d’utiliser un scanner existant (recommandé) ou de déployer un nouveau scanner.
      • Si vous déployez un nouveau scanner, sélectionnez le projet de scanner (qui doit faire partie des projets sélectionnés). Nous recommandons d’installer des scanners dans chaque région où vous avez plus de 150 hosts.
    8. Cliquez sur Copy command pour copier la commande générée, puis sur Open Google Cloud Shell pour ouvrir Google Cloud Shell. Examinez et exécutez la commande. Le script applique le module Terraform Datadog Agentless Scanner pour GCP pour déployer et configurer le scanner dans le projet et la ou les régions sélectionnés.
    9. Une fois la commande terminée, revenez à la page de configuration Datadog et cliquez sur Done.

    Le module Terraform Datadog Agentless Scanner fournit une configuration réutilisable pour l’installation du scanner Agentless Datadog. Pour obtenir des conseils sur le choix de votre topologie de déploiement, consultez la section Déployer Agentless Scanning. Pour des exemples d’utilisation, consultez le répertoire examples dans le référentiel GitHub.

    1. Sur la page Cloud Security Setup, cliquez sur Cloud Integrations > GCP.
    2. Développez le compte contenant le projet où vous souhaitez déployer le scanner sans Agent.
    3. Cliquez sur le bouton Enable pour le projet GCP où vous souhaitez déployer le scanner sans Agent.
    4. Activez Vulnerability Scanning.
    5. Suivez les instructions d’installation du module Datadog Agentless Scanner.
    6. Cliquez sur Done.

    Après avoir suivi l’une des méthodes de configuration ci-dessus, vérifiez votre configuration.

    Vérifier votre configuration

    Après la configuration, Agentless Scanning prend un certain temps pour produire les premiers résultats. Le premier cycle de scan prend environ 30 minutes.

    Si aucun résultat n'apparaît après deux heures, consultez le guide de dépannage d'Agentless Scanning.

    Consultez les résultats de scan aux emplacements suivants :

    Exclure des ressources des scans

    Pour exclure des hosts, conteneurs ou fonctions spécifiques des scans, consultez la section Filtres d’évaluation des ressources.

    Désactiver Agentless Scanning

      1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > AWS.
      2. Si nécessaire, utilisez des filtres pour trouver le compte pour lequel vous souhaitez arrêter Agentless Scanning. Cliquez sur le compte pour ouvrir le volet latéral contenant ses paramètres.
      3. Sur l’onglet Features, cliquez sur Configure Agentless Scanning ou Manage pour ouvrir la fenêtre de configuration d’Agentless Scanning.
      4. Sous How would you like to set up Agentless Scanning?, cliquez sur Terraform.
      5. Sous Enable Features, à côté de Enable Agentless Vulnerability management, désactivez le bouton.
      6. Cliquez sur Done.
      1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > Azure.
      2. Localisez le locataire de votre abonnement, développez la liste des abonnements et identifiez l’abonnement pour lequel vous souhaitez désactiver Agentless Scanning.
      3. À côté du libellé Enabled, cliquez sur le bouton Edit () pour ouvrir la fenêtre modale Vulnerability Scanning.
      4. À côté de Vulnerability Scanning, désactivez le bouton.
      5. Cliquez sur Done.
      1. Sur la page Configuration de Cloud Security, cliquez sur Cloud Integrations > GCP.
      2. Développez le compte contenant le projet pour lequel vous souhaitez désactiver Agentless Scanning.
      3. À côté du libellé Enabled, cliquez sur le bouton Edit () pour ouvrir la fenêtre modale Vulnerability Scanning.
      4. À côté de Vulnerability Scanning, désactivez le bouton.
      5. Cliquez sur Done.

      Désinstaller Agentless Scanning

      Sélectionnez la méthode de déploiement utilisée pour installer Agentless Scanning :

        Pour désinstaller Agentless Scanning, supprimez le module scanner de votre code Terraform. Pour plus d’informations, consultez la documentation du module Terraform.

        Pour désinstaller Agentless Scanning, connectez-vous à votre console AWS et supprimez la stack CloudFormation créée pour Agentless Scanning (le nom de la sous-stack suit le modèle DatadogIntegration-DatadogAgentlessScanning-...).

        Pour désinstaller Agentless Scanning configuré à l’aide de Google Cloud Shell, exécutez la même commande de configuration que celle utilisée lors de l’installation, en remplaçant deploy par destroy à la fin. Par exemple :

        curl -sSL "<CLOUD_SHELL_SCRIPT_URL>" -o gcp_agentless_setup.pyz && \
DD_API_KEY="<DD_API_KEY>" \
DD_APP_KEY="<DD_APP_KEY>" \
DD_SITE="<DD_SITE>" \
SCANNER_PROJECT="<SCANNER_PROJECT>" \
SCANNER_REGIONS="<SCANNER_REGIONS>" \
PROJECTS_TO_SCAN="<PROJECTS>" \
python3 gcp_agentless_setup.pyz destroy

        Vous pouvez consulter le code source du script de configuration avant d’exécuter la commande.

        Pour désinstaller Agentless Scanning, connectez-vous à votre abonnement Azure. Si vous avez créé un groupe de ressources dédié pour le scanner Agentless, supprimez ce groupe de ressources ainsi que les définitions de rôles Azure suivantes :

        • Datadog Agentless Scanner Role
        • Datadog Agentless Scanner Delegate Role

        Si vous n’avez pas utilisé de groupe de ressources dédié, vous devez supprimer manuellement les ressources du scanner, qui peuvent être identifiées par les tags Datadog:true et DatadogAgentlessScanner:true.

        Pour aller plus loin

        Documentation, liens et articles supplémentaires utiles:

        Configurer Cloud SecurityDOCUMENTATION more more Agentless Scanning Cloud SecurityDOCUMENTATION more more Mise à jour d'Agentless ScanningDOCUMENTATION more more Dépannage d'Agentless ScanningDOCUMENTATION more more