エージェントレス スキャンの有効化

This product is not supported for your selected Datadog site. ().

エージェントレス スキャンは、Datadog Agent をインストールしなくても、クラウド インフラ内に存在する脆弱性を可視化できます。エージェントレス スキャンの機能や仕組みの詳細は、エージェントレス スキャン ドキュメントを参照してください。

前提条件

エージェントレス スキャンをセットアップする前に、次の前提条件を満たしていることを確認してください:

  • Remote Configuration: Datadog がエージェントレス スキャナーに (どのクラウド リソースをスキャンするかなどの) 情報を送信できるようにするために、Remote Configuration が必要です。

  • API とアプリケーション キー:

    • スキャナーがスキャン結果を Datadog にレポートするには、Remote Configuration が有効な API キーが必要です。
    • Datadog API 経由でスキャン機能を有効化するには、Integrations Manage または Org Management の権限を持つアプリケーション キーが必要です。

  • クラウド権限: エージェントレス スキャン インスタンスがホスト、ホスト イメージ、コンテナ レジストリ、関数をスキャンするには、所定の権限が必要です。これらの権限はインストールの一環として自動的に適用され、必要なスキャンを実行するための最小限の権限に厳密に絞り込まれています (最小特権の原則に準拠)。

    スキャンに必要な権限:

    • ebs:GetSnapshotBlock
    • ebs:ListChangedBlocks
    • ebs:ListSnapshotBlocks
    • ec2:CopySnapshot
    • ec2:CreateSnapshot
    • ec2:CreateTags
    • ec2:DeleteSnapshot
    • ec2:DeregisterImage
    • ec2:DescribeSnapshotAttribute
    • ec2:DescribeSnapshots
    • ec2:DescribeVolumes
    • ecr:BatchGetImage
    • ecr:GetAuthorizationToken
    • ecr:GetDownloadUrlForLayer
    • kms:CreateGrant
    • kms:Decrypt
    • kms:DescribeKey
    • lambda:GetFunction
    • lambda:GetLayerVersion

    Sensitive Data Scanning (DSPM) が有効な場合のみ:

    • kms:GenerateDataKey
    • s3:GetObject
    • s3:ListBucket

    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/endGetAccess/action
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.setLabels
    • compute.disks.use
    • compute.globalOperations.get
    • compute.images.get
    • compute.instances.attachDisk
    • compute.instances.detachDisk
    • compute.snapshots.create
    • compute.snapshots.get
    • compute.snapshots.list
    • compute.snapshots.delete
    • compute.snapshots.setLabels

セットアップ

エージェントレス スキャナーの実行には追加コストが発生します。安定した 12 時間ごとのスキャンを維持しつつコストを最適化するため、Datadog では既定のテンプレートとして Terraform によるエージェントレス スキャン のセットアップを推奨します。

エージェントレス スキャンを有効化するには、次のいずれかのワークフローを使用します:

クイック スタート

新規ユーザー向けのクイック スタート ワークフローでは、クラウド セキュリティを効率よくセットアップでき、AWS リソースの監視をすぐに開始できます。設定は AWS CloudFormation を使用して自動化されます。

新規ユーザー向けのクイック スタート ワークフローでは、クラウド セキュリティを効率よくセットアップでき、AWS リソースの監視をすぐに開始できます。設定は AWS CloudFormation で自動化され、クイック スタートには次のクラウド セキュリティ機能が含まれます: Misconfigurations, Identity Risks (CIEM), Vulnerability Management

この記事では、AWS CloudFormation を使用してエージェントレス スキャンをセットアップする新規ユーザー向けクイック スタート ワークフローの手順を説明します。 既存ユーザーで新しい AWS アカウントを追加したい場合、または統合済みの AWS アカウントでエージェントレス スキャンを有効化したい場合は、次の手順を参照してください: Terraform または AWS CloudFormation
エージェントレス スキャナーの実行には追加コストが発生します。安定した 12 時間ごとのスキャンを維持しつつコストを最適化するため、Datadog では既定のテンプレートとして Terraform によるエージェントレス スキャン のセットアップを推奨します。
クラウド ストレージ向けの Sensitive Data Scanner は Limited Availability です。参加するには Request Access から申請してください。
インストール
  1. クラウド セキュリティ 入門 ページで、Get Started with Cloud Security をクリックします。
  2. Quick Start をクリックします。Features ページが表示され、エージェントレス スキャンの Quick Start に含まれる機能が一覧で確認できます。
  3. 続行するには Start Using Cloud Security をクリックします。
  4. CloudFormation スタックを作成する AWS リージョンを選択します。
  5. Remote Configuration が設定済みの API キーを選択します。選択した API キーで Remote Configuration が無効な場合は、そのキーに対して Remote Configuration が自動的に有効化されます。
  6. クラウド ストレージ向けに Sensitive Data Scanner を有効化するかどうかを選択します。有効化すると、Amazon S3 リソース内の機密データが自動的にカタログ化・分類されます。
  7. Launch CloudFormation Template をクリックします。新しいウィンドウが開き、AWS CloudFormation の画面が表示されます。提供される CloudFormation テンプレートを使ってスタックを作成します。このテンプレートには、エージェントレス スキャナーをデプロイして管理するために必要な IAM 権限が含まれます。
CloudFormation スタックの更新

Datadog では、新機能やバグ修正をリリースに合わせて取り込めるよう、CloudFormation スタックを定期的に更新することを推奨しています。更新するには、次の手順に従ってください:

  1. AWS コンソールにログインし、CloudFormation Stacks ページに移動します。
  2. DatadogIntegration-DatadogAgentlessScanning-… の CloudFormation サブ スタックを選択し、Update をクリックしてから Update nested stack をクリックします。
  3. Replace existing template をクリックします。
  4. 次の S3 URL: https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml で、<VERSION>aws_quickstart/version.txt に記載のバージョンに置き換えます。その URL を Amazon S3 URL フィールドに貼り付けます。
  5. 以降のページは変更せずに進むため、Next をクリックして数ページ進めたら、フォームを送信します。

Terraform

Terraform Datadog エージェントレス スキャナー モジュール は、AWS、Azure、GCP 向けの Datadog エージェントレス スキャナーをインストールするための、シンプルで再利用可能な構成を提供します。

すでに Cloud Security をセットアップ 済みで、新しいクラウド アカウントを追加したい場合、または統合済みの既存クラウド アカウントで エージェントレス スキャン を有効化したい場合は、Terraform、AWS CloudFormationAzure Resource Manager のいずれかを利用できます。この記事では Terraform を使う方法を詳しく説明します。

Cloud Security を初めてセットアップする場合は、AWS CloudFormation を使用してエージェントレス スキャンを有効化する クイック スタート ワークフロー に従うこともできます。
    1. Cloud Security Setup ページで、Cloud Integrations > AWS をクリックします。
    2. AWS セクションの下部で、Add AWS accounts by following these steps をクリックします。Add New AWS Account(s) ダイアログが表示されます。
    3. Choose a method for adding your AWS account の下で、Manually を選択します。
    4. Datadog エージェントレス スキャナー モジュール のインストール手順に従います。
    5. I confirm that the Datadog IAM Role has been added to the AWS Account チェック ボックスを選択します。
    6. AWS Account IDAWS Role Name を入力します。
    7. Save をクリックします。
    1. Cloud Security Setup ページで、Cloud Integrations > AWS をクリックします。
    2. エージェントレス スキャナーをデプロイしたい AWS アカウントの Edit scanning ボタン () をクリックします。
    3. Enable Resource Scanning はすでにオンになっているはずです。オフの場合は Enable Resource Scanning をオンに切り替えます。
    4. How would you like to set up Agentless Scanning? セクションで、Terraform を選択します。
    5. Datadog エージェントレス スキャナー モジュール のインストール手順に従います。
    6. I confirm the Terraform module is installed チェック ボックスを選択します。
    7. Done をクリックします。
    1. Cloud Security Setup ページで、Cloud Integrations > Azure をクリックします。
    2. エージェントレス スキャナーをデプロイしたいサブスクリプションを含むテナントを展開します。
    3. エージェントレス スキャナーをデプロイする Azure アカウントの Enable ボタンをクリックします。
    4. Vulnerability Scanning をオンに切り替えます。
    5. How would you like to set up Agentless Scanning? セクションで、Terraform を選択します。
    6. Datadog エージェントレス スキャナー モジュール のインストール手順に従います。
    7. Done をクリックします。
    1. Cloud Security Setup ページで、Cloud Integrations > GCP をクリックします。
    2. エージェントレス スキャナーをデプロイしたいプロジェクトを含むアカウントを展開します。
    3. エージェントレス スキャナーをデプロイする GCP プロジェクトの Enable ボタンをクリックします。
    4. Vulnerability Scanning をオンに切り替えます。
    5. Datadog エージェントレス スキャナー モジュール のインストール手順に従います。
    6. Done をクリックします。
    Terraform モジュールのバージョンを更新する

    エージェントレス スキャナー モジュールの source 参照を最新リリースに更新します。最新バージョンは GitHub Releases で確認できます。

    利用例については、GitHub リポジトリ を参照してください。


    AWS Cloudformation

    AWS CloudFormation テンプレートを使用して CloudFormation スタックを作成します。テンプレートには、エージェントレス スキャナーをデプロイして管理するために必要な IAM 権限が含まれます。

    すでに Cloud Security をセットアップ 済みで、新しいクラウド アカウントを追加したい場合、または統合済みの既存 AWS アカウントで エージェントレス スキャン を有効化したい場合は、Terraform または AWS CloudFormation を利用できます。この記事では AWS CloudFormation を使う方法を詳しく説明します。

    Cloud Security を初めてセットアップする場合は、クイック スタート ワークフロー に従うこともできます。このワークフローでも AWS CloudFormation を使用してエージェントレス スキャンを有効化します。
    エージェントレス スキャナーの実行には追加コストが発生します。安定した 12 時間ごとのスキャンを維持しつつコストを最適化するため、Datadog では既定のテンプレートとして Terraform によるエージェントレス スキャン のセットアップを推奨します。
    クラウド ストレージ向けの Sensitive Data Scanner は Limited Availability です。参加するには Request Access から申請してください。
    AWS CloudFormation のセットアップ
      1. Cloud Security Setup ページで、Cloud Integrations > AWS をクリックします。
      2. AWS セクションの下部で、Add AWS accounts by following these steps をクリックします。Add New AWS Account(s) ダイアログが表示されます。
      3. CloudFormation スタックを作成する AWS リージョンを選択します。
      4. Remote Configuration が設定済みの API キーを選択します。選択した API キーで Remote Configuration が無効な場合は、そのキーに対して Remote Configuration が自動的に有効化されます。
      5. クラウド ストレージ向けに Sensitive Data Scanner を有効化するかどうかを選択します。有効化すると、Amazon S3 リソース内の機密データが自動的にカタログ化・分類されます。
      6. Launch CloudFormation Template をクリックします。新しいウィンドウが開き、AWS CloudFormation 画面が表示されます。提供される CloudFormation テンプレートを使ってスタックを作成します。このテンプレートには、エージェントレス スキャナーをデプロイして管理するために必要な IAM 権限が含まれます。
      1. Cloud Security Setup ページで、Cloud Integrations > AWS をクリックします。
      2. エージェントレス スキャナーをデプロイしたい AWS アカウントの Edit ボタン () をクリックします。
      3. Enable Resource Scanning がオンになっていることを確認します。オフの場合は Enable Resource Scanning をオンに切り替え、新しい AWS アカウント の手順 3-7 を完了してください。
      4. Agentless Scanning セクションで、Enable Vulnerability Management (Host, Container and Lambda) をオンに切り替えます。
      5. Enable Sensitive Data Scanner for Cloud Storage を有効化するかどうかを選択します。有効化すると、Amazon S3 リソース内の機密データが自動的にカタログ化・分類されます。
      6. Done をクリックします。
      CloudFormation スタックの更新

      Datadog では、新機能やバグ修正をリリースに合わせて利用できるよう、CloudFormation スタックを定期的に更新することを推奨しています。更新するには、次の手順に従ってください:

      1. AWS コンソールにログインし、CloudFormation Stacks ページに移動します。
      2. DatadogIntegration-DatadogAgentlessScanning-… の CloudFormation サブ スタックを選択し、Update をクリックしてから Update nested stack をクリックします。
      3. Replace existing template をクリックします。
      4. 次の S3 URL: https://datadog-cloudformation-template-quickstart.s3.amazonaws.com/aws/<VERSION>/datadog_agentless_scanning.yaml で、<VERSION>aws_quickstart/version.txt に記載のバージョンに置き換えます。その URL を Amazon S3 URL フィールドに貼り付けます。
      5. 以降のページは変更せずに進むため、Next をクリックして数ページ進めたら、フォームを送信します。

      Azure Resource Manager

      Azure Resource Manager テンプレートを使用して、エージェントレス スキャナーをデプロイします。このテンプレートには、エージェントレス スキャナーをデプロイして管理するために必要なロール定義が含まれます。

      すでに Cloud Security をセットアップ 済みで、新しい Azure アカウントを追加したい場合、または統合済みの既存 Azure アカウントで エージェントレス スキャン を有効化したい場合は、Terraform または Azure Resource Manager のいずれかを利用できます。この記事では Azure Resource Manager を使う方法を詳しく説明します。

      エージェントレス スキャナーの実行には追加コストが発生します。安定した 12 時間ごとのスキャンを維持しつつコストを最適化するため、Datadog では既定のテンプレートとして Terraform によるエージェントレス スキャン のセットアップを推奨します。
        Datadog の Azure インテグレーションをセットアップする

        Datadog Azure integration のセットアップ手順に従ってください。

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        Enable Agentless Scanning for your Azure subscriptions

        Complete the following steps to enable Agentless Scanning for your Azure subscriptions:

        Cloud Security Setup page

        1. On the Cloud Security Setup page, click Cloud Integrations > Azure.
        2. Locate the tenant ID of your subscription.
        3. (Optional) To enable detection of misconfigurations, toggle Resource Scanning to the on position.
        4. Expand the list of Azure subscriptions and locate the subscription where you want to deploy the Agentless scanner.
        5. Click the Enable button under Vulnerability Scanning.
        6. The Vulnerability Scanning dialog is displayed. Toggle Vulnerability Scanning to the on position.
        7. Under How would you like to set up Agentless Scanning?, select Azure Resource Manager.
        8. Click Launch Azure Resource Manager to be redirected to the Azure portal.

        Azure portal

        1. Log in to the Azure portal. The template creation form is displayed.
        2. Select the subscription and the resource group in which the Agentless scanners are to be deployed. Datadog recommends that you deploy the Datadog Agentless Scanner in a dedicated resource group.
        3. In Subscriptions to scan, select all the subscriptions you want to scan.
        4. Enter your Datadog API Key, select your Datadog Site, and fill out the remainder of the form.
        5. Click on Review + create.

        構成

        セットアップを確認する

        セットアップ完了後、Datadog 上でスキャン結果を確認することで、エージェントレス スキャンが正しく動作しているかを検証できます。結果は通常、最初のスキャン サイクルが完了した後に表示されます。

        スキャン結果は次の場所で確認できます:

        スキャンからリソースを除外する

        To exclude hosts, containers, and functions from scans, apply the tag DatadogAgentlessScanner:false to each resource. For detailed instructions, refer to the Resource Filters documentation.

        エージェントレス スキャンを無効化する

          1. Cloud Security Setup ページで、Cloud Integrations > AWS をクリックします。
          2. 必要に応じてフィルターを使い、エージェントレス スキャンを停止したいアカウントを探します。アカウントをクリックすると、設定を含むサイド パネルが開きます。
          3. Features タブで、Configure Agentless Scanning または Manage をクリックして、Agentless Scanning Setup モーダルを開きます。
          4. How would you like to set up Agentless scanning? の下で、Terraform をクリックします。
          5. Enable Features の下で、Enable Agentless Vulnerability management の横にあるトグルをオフに切り替えます。
          6. Done をクリックします。
          1. Cloud Security Setup ページで、Cloud Integrations > Azure をクリックします。
          2. サブスクリプションのテナントを見つけ、サブスクリプション一覧を展開して、エージェントレス スキャンを無効化したいサブスクリプションを特定します。
          3. Enabled ラベルの横にある Edit ボタン () をクリックして、Vulnerability Scanning モーダルを開きます。
          4. Vulnerability Scanning の横にあるトグルをオフに切り替えます。
          5. Done をクリックします。
          1. Cloud Security Setup ページで、Cloud Integrations > GCP をクリックします。
          2. エージェントレス スキャンを無効化したいプロジェクトを含むアカウントを展開します。
          3. Enabled ラベルの横にある Edit ボタン () をクリックして、Vulnerability Scanning モーダルを開きます。
          4. Vulnerability Scanning の横にあるトグルをオフに切り替えます。
          5. Done をクリックします。

          エージェントレス スキャンをアンインストールする

            エージェントレス スキャンをアンインストールするには、Terraform コードからスキャナー モジュールを削除します。詳細は Terraform モジュール のドキュメントを参照してください。

            エージェントレス スキャンをアンインストールするには、AWS コンソールにログインし、エージェントレス スキャン用に作成した CloudFormation スタックを削除します。

            エージェントレス スキャンをアンインストールするには、Azure アカウントにログインします。エージェントレス スキャナー用に専用のリソース グループを作成している場合は、次の Azure ロール定義とあわせて、そのリソース グループを削除します:

            • Datadog Agentless Scanner Role
            • Datadog Agentless Scanner Delegate Role

            専用のリソース グループを使用していない場合は、タグ Datadog:true および DatadogAgentlessScanner:true により識別できるスキャナー リソースを手動で削除する必要があります。

            参考資料

            お役に立つドキュメント、リンクや記事:

            クラウド セキュリティのセットアップドキュメント more more クラウド セキュリティのエージェントレス スキャンドキュメント more more