Cloud Security Management の設定

概要

Cloud Security Management (CSM) を使い始めるには、以下を確認してください。

Agent レススキャンの有効化

最も簡単に Cloud Security Management を始める方法は、エージェントレススキャニングの有効化です。エージェントレススキャニングを使用すると、Datadog Agent をインストールすることなく、AWS ホスト、稼働中のコンテナ、Lambda 関数、および稼働中の Amazon Machine Images (AMI) 内に存在する脆弱性を可視化できます。

エージェントレススキャニングの詳細については、Cloud Security Management Agentless Scanning を参照してください。

追加のカバレッジのために Agent をデプロイする

より広範なカバレッジと追加機能を得るには、ホストに Datadog Agent をデプロイしてください。以下の表では、Agent ベースのデプロイによって提供される機能拡張を示しています。詳細については、Agent での Cloud Security Management のセットアップを参照してください。

機能エージェントレスエージェントレス + Agent ベースのデプロイAgent ベースのデプロイ
CSM Identity Risks
CSM Misconfigurations
ホストベンチマーク
CSM Vulnerabilities
脆弱性の優先順位付け
ランタイムコンテキストを含む
ランタイムコンテキストを含む
脆弱性の更新頻度12 時間リアルタイムリアルタイム
CSM Threats
Threat detection
Security Inbox
より正確なインサイト付き
より正確なインサイト付き

追加機能を有効にする

AWS CloudTrail ログ

AWS CloudTrail ログを活用して、CSM Identity Risks の利点を最大化しましょう。クラウドリソースの使用状況をより深く把握し、プロビジョニングされた権限と実際に使用されている権限の差が大きいユーザーやロールを特定できます。詳細については、Cloud Security Management 向けの AWS CloudTrail ログの設定をご覧ください。

IaC スキャニング

Infrastructure as Code (IaC) スキャニングを GitHub と統合して、Terraform で定義されたクラウドリソースの誤構成を検出します。詳細については、Cloud Security Management 向けの IaC スキャニングの設定を参照してください。

IaC リメディエーション

Terraform を用いた IaC リメディエーションを使うことで、GitHub 上でプルリクエストを作成し、誤構成を修正してアイデンティティリスクを軽減するコード変更を適用できます。詳細については、Cloud Security Management 向けの IaC リメディエーションの設定を参照してください。

クラウドインテグレーション経由でのデプロイ

AWS、Azure、GCP 向けのリソーススキャニングを有効にすると、コンプライアンスセキュリティのカバレッジを監視し、IAM ベースの攻撃からクラウドインフラストラクチャーを保護できます。詳細については、クラウドインテグレーションを介した Cloud Security Management のデプロイを参照してください。

CSM の無効化

CSM の無効化については、以下のドキュメントを参照してください。

参考資料

お役に立つドキュメント、リンクや記事:

サポートされるデプロイメントタイプドキュメント more more Datadog Security を使用するための AWS Fargate 構成ガイドドキュメント more more Cloud Security Management Agent 変数ガイド more more
PREVIEWING: ashley.yip/dynamic-cost-allocation-docs