以下の手順を使用して、Kubernetes 上で CSM MisconfigurationsCSM Threats、および CSM Vulnerabilities を有効にします。各 CSM 機能でサポートされるデプロイメントタイプの詳細については、Cloud Security Management のセットアップを参照してください。

  1. datadog-agent.yaml ファイルの spec セクションに以下を追加します。

    # datadog-agent.yaml file
    apiVersion: datadoghq.com/v2alpha1
    kind: DatadogAgent
    metadata:
      name: datadog
    spec:
      features:
        remoteConfiguration:
          enabled: true
        cws:
          enabled: true
        # Enables CSM Misconfigurations
        cspm:
          enabled: true
          hostBenchmarks:
            enabled: true
        # Enables the image metadata collection and Software Bill of Materials (SBOM) collection
        sbom:
          enabled: true
          # Image collection is enabled by default with Datadog Operator version `>= 1.3.0`
          containerImage:
            enabled: true
          host:
            enabled: true
    
  2. 変更を適用し、Agent を再起動します。

  1. datadog-values.yaml ファイルの datadog セクションに以下を追加します。

    # datadog-values.yaml file
    datadog:
      remoteConfiguration:
        enabled: true
      securityAgent:
        # Enables CSM Threats
        runtime:
          enabled: true
        # Enables CSM Misconfigurations
        compliance:
          enabled: true
          host_benchmarks:
            enabled: true
      # Enables CSM Vulnerabilities
      # Image collection is enabled by default with Datadog Helm version `>= 3.46.0`
      containerImageCollection:
        enabled: true
      sbom:
        containerImage:
          enabled: true
          # Uncomment the following line if you are using Google Kubernetes Engine (GKE) or Amazon Elastic Kubernetes (EKS)
          # uncompressedLayersSupport: true
        host:
          enabled: true
    
  2. Agent を再起動します。

daemonset.yaml ファイルの security-agentsystem-probeenv セクションに次の設定を追加します。

  # ソース: datadog/templates/daemonset.yaml
  apiVersion:app/1
  kind: DaemonSet
  [...]
  spec:
  [...]
  spec:
      [...]
        containers:
        [...]
          - name: agent
            [...]
            env:
              - name: DD_REMOTE_CONFIGURATION_ENABLED
                value: "true"
          - name: system-probe
            [...]
            env:
              - name: DD_RUNTIME_SECURITY_CONFIG_ENABLED
                value: "true"
              - name: DD_RUNTIME_SECURITY_CONFIG_REMOTE_CONFIGURATION_ENABLED
                value: "true"
              - name: DD_COMPLIANCE_CONFIG_ENABLED
                value: "true"
              - name: DD_COMPLIANCE_CONFIG_HOST_BENCHMARKS_ENABLED
                value: "true"
              - name: DD_SBOM_CONTAINER_IMAGE_USE_MOUNT
                value: "true"
          [...]