Q32 — AWS DOP-C02 第1章
第 32/100 問 | ← 第1章
ある企業は、AWS Organizations内の組織のAWSアカウントでアプリケーションを実行しています。これらのアプリケーションはAmazon EC2インスタンスおよびAmazon S3を使用しています。同社は、自社が所有するAWSアカウントおよび自社が作成していない任意のAWSアカウントにおいて、侵害された可能性のあるEC2インスタンス、疑わしいネットワーク活動、異常なAPI活動を検出したいと考えています。検出されたイベントに対して、同社は関連するAmazon Simple Notification Service(Amazon SNS)トピックを使用して運用サポートチームへ調査および是正措置のための通知を送信したいと考えています。
- A. 組織のマスターアカウントで、AWSアカウントをAmazon GuardDutyの管理者アカウントとして設定します。GuardDuty管理者アカウントで、既存のAWSアカウントをGuardDutyメンバーとして追加します。GuardDuty管理者アカウントで、GuardDutyイベントに一致するイベントパターンを使用したAmazon EventBridge(Amazon CloudWatch Events)ルールを作成し、一致したイベントをSNSトピックへ転送します。
- B. 組織のマスターアカウントで、Amazon GuardDutyが新規作成されたAWSアカウントを招待により追加するよう設定し、既存のAWSアカウントへ招待を送信します。GuardDuty招待を承諾するAWS CloudFormationスタックセットを作成し、Amazon EventBridge(Amazon CloudWatch Events)ルールを作成します。イベントパターンを設定してGuardDutyイベントに一致させ、一致したイベントをSNSトピックへ転送します。CloudFormationスタックセットを組織内のすべてのAWSアカウントへデプロイするよう設定します。 ✓
- C. 組織のマスターアカウントで、AWS CloudTrailの組織トレースを作成します。組織内のすべてのAWSアカウントで組織トレースを有効化します。組織内の各アカウントでVPCフローログを有効化するサービスコントロールポリシー(SCP)を作成し、組織全体でAWS Security Hubを設定します。Security Hubイベントに一致するイベントパターンを使用したAmazon EventBridge(Amazon CloudWatch Events)ルールを作成し、一致したイベントをSNSトピックへ転送します。
- D. 組織のマスターアカウントで、AWSアカウントをAWS CloudTrail管理者アカウントとして設定します。CloudTrail管理者アカウントで、CloudTrail組織トレースを作成します。既存のAWSアカウントを組織トレースに追加します。組織内の各アカウントでVPCフローログを有効化するSCPを作成し、組織全体でAWS Security Hubを設定します。Security Hubイベントに一致するイベントパターンを使用したAmazon EventBridge(Amazon CloudWatch Events)ルールを作成し、一致したイベントをSNSトピックへ転送します。
正解: B. 組織のマスターアカウントで、Amazon GuardDutyが新規作成されたAWSアカウントを招待により追加するよう設定し、既存のAWSアカウントへ招待を送信します。GuardDuty招待を承諾するAWS CloudFormationスタックセットを作成し、Amazon EventBridge(Amazon CloudWatch Events)ルールを作成します。イベントパターンを設定してGuardDutyイベントに一致させ、一致したイベントをSNSトピックへ転送します。CloudFormationスタックセットを組織内のすべてのAWSアカウントへデプロイするよう設定します。
解説
選択肢Bは、Amazon GuardDutyを用いて侵害された可能性のあるEC2インスタンス、疑わしいネットワーク活動、異常なAPI活動を検出し、これらのセキュリティイベントをAmazon EventBridge経由でSNSトピックへ転送するという要件を満たしています。GuardDutyは悪意のある活動を継続的に監視する脅威検出サービスであり、検出されたセキュリティイベントをAmazon EventBridgeへ送信できます。CloudFormationスタックセットにより、新規作成されたAWSアカウントも自動的にGuardDuty監視対象となり、EventBridgeルールを通じてイベントがSNSトピックへ転送されるため、運用サポートチームによる調査および是正措置が可能になります。したがって、Bが正しいソリューションです。