- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Datadog Agent がクラウドワークロードセキュリティに使用するモニタリングには、4 つのタイプがあります。
まだインストールしていない場合は、Datadog Agent (バージョン 7.27+) をインストールします。
values.yaml ファイルの datadog セクションに以下を追加します。
# values.yaml file
datadog:
# Add this to enable Cloud Workload Security
securityAgent:
runtime:
enabled: true
# Add this to enable the collection of CWS network events, only for Datadog Agent version 7.36
network:
enabled: true
Agent を再起動します。
Cloud SIEM がチェックされている場合、オプションとなります こちらの手順に従って、Kubernetes の監査ログを収集します。
Docker 環境でランタイムセキュリティ Agent と system-probe を起動するには、次のコマンドを使用します。
docker-runtime-security.sh
docker run -d --name dd-agent \
--cgroupns host \
--pid host \
--security-opt apparmor:unconfined \
--cap-add SYS_ADMIN \
--cap-add SYS_RESOURCE \
--cap-add SYS_PTRACE \
--cap-add NET_ADMIN \
--cap-add NET_BROADCAST \
--cap-add NET_RAW \
--cap-add IPC_LOCK \
--cap-add CHOWN \
-v /var/run/docker.sock:/var/run/docker.sock:ro \
-v /proc/:/host/proc/:ro \
-v /sys/fs/cgroup/:/host/sys/fs/cgroup:ro \
-v /etc/passwd:/etc/passwd:ro \
-v /etc/group:/etc/group:ro \
-v /:/host/root:ro \
-v /sys/kernel/debug:/sys/kernel/debug \
-v /etc/os-release:/etc/os-release \
-e DD_RUNTIME_SECURITY_CONFIG_ENABLED=true \
-e DD_RUNTIME_SECURITY_CONFIG_NETWORK_ENABLED=true \ # CWS ネットワークイベントの収集を可能にするため
-e HOST_ROOT=/host/root \
-e DD_API_KEY=<API KEY> \
gcr.io/datadoghq/agent:7パッケージベースのデプロイメントでは、Datadog パッケージをデプロイする必要があります。dkpg -i datadog-agent_7....deb を実行します。
デフォルトでは、ランタイムセキュリティは無効になっています。有効にするには、security-agent.yaml と system-probe.yaml ファイルの両方を適合させる必要があります。これらの構成を有効にするには、以下のコマンドを実行します。
debian-runtime-security.sh
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/security-agent.yaml
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/system-probe.yaml
systemctl restart datadog-agentDatadog Agent バージョン 7.36 のみ、CWS ネットワークイベントの収集を有効にするには
echo "runtime_security_config.network.enabled: true" >> /etc/datadog-agent/system-probe.yaml
変更を適用したら、セキュリティ Agent と system-probe の両方を再起動します。
パッケージベースのデプロイメントでは、Datadog パッケージをデプロイする必要があります。yum/dnf install datadog-agent_7....rpm を実行します。
デフォルトでは、ランタイムセキュリティは無効になっています。有効にするには、security-agent.yaml と system-probe.yaml ファイルの両方を適合させる必要があります。これらの構成を有効にするには、以下のコマンドを実行します。
fedora-centos-runtime-security.sh
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/security-agent.yaml
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/system-probe.yaml
systemctl restart datadog-agentDatadog Agent バージョン 7.36 のみ、CWS ネットワークイベントの収集を有効にするには
echo "runtime_security_config.network.enabled: true" >> /etc/datadog-agent/system-probe.yaml
パッケージベースのデプロイでは、Datadog パッケージをデプロイする必要があります。パッケージマネージャーでパッケージをインストールします。
デフォルトでは、ランタイムセキュリティは無効になっています。有効にするには、security-agent.yaml と system-probe.yaml ファイルの両方を適合させる必要があります。これらの構成を有効にするには、以下のコマンドを実行します。
host-runtime-security.sh
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/security-agent.yaml
echo "runtime_security_config.enabled: true" >> /etc/datadog-agent/system-probe.yaml
systemctl restart datadog-agentDatadog Agent バージョン 7.36 のみ、CWS ネットワークイベントの収集を有効にするには
echo "runtime_security_config.network.enabled: true" >> /etc/datadog-agent/system-probe.yaml
複数の Docker コンテナを持つ Amazon Elastic Beanstalk 環境で、Runtime Security Agent と system-probe を起動するには、次のデプロイを使用します。
{
"AWSEBDockerrunVersion": 2,
"volumes": [
{
"name": "docker_sock",
"host": {
"sourcePath": "/var/run/docker.sock"
}
},
{
"name": "proc",
"host": {
"sourcePath": "/proc/"
}
},
{
"name": "cgroup",
"host": {
"sourcePath": "/cgroup/"
}
},
{
"name": "debug",
"host": {
"sourcePath": "/sys/kernel/debug"
}
},
{
"name": "os_release",
"host": {
"sourcePath": "/etc/os-release"
}
},
{
"name": "etc_passwd",
"host": {
"sourcePath": "/etc/passwd"
}
},
{
"name": "etc_group",
"host": {
"sourcePath": "/etc/group"
}
}
],
"containerDefinitions": [
{
"image": "gcr.io/datadoghq/agent:7",
"environment": [
{
"name": "DD_API_KEY",
"value": "<YOUR_DD_API_KEY>"
},
{
"name": "DD_SITE",
"value": "<YOUR_DD_SITE>"
},
{
"name": "DD_TAGS",
"value": "<SIMPLE_TAG>, <KEY:VALUE_TAG>"
},
{
"name": "DD_RUNTIME_SECURITY_CONFIG_ENABLED",
"value": "true"
}
],
"memory": 256,
"dockerSecurityOptions": ["apparmor:unconfined"],
"linuxParameters": {
"capabilities": {
"add": [
"SYS_ADMIN",
"SYS_RESOURCE",
"SYS_PTRACE",
"NET_ADMIN",
"NET_BROADCAST",
"NET_RAW",
"IPC_LOCK",
"CHOWN"
]
}
},
"mountPoints": [
{
"sourceVolume": "docker_sock",
"containerPath": "/var/run/docker.sock",
"readOnly": false
},
{
"sourceVolume": "proc",
"containerPath": "/host/proc",
"readOnly": true
},
{
"sourceVolume": "cgroup",
"containerPath": "/host/sys/fs/cgroup",
"readOnly": true
},
{
"containerPath": "/sys/kernel/debug",
"sourceVolume": "debug"
},
{
"sourceVolume": "os_release",
"containerPath": "/host/etc/os-release",
"readOnly": false
},
{
"sourceVolume": "etc_passwd",
"containerPath": "/etc/passwd",
"readOnly": false
},
{
"sourceVolume": "etc_group",
"containerPath": "/etc/group",
"readOnly": false
}
]
}
]
}
