Q61 — AWS DOP-C02 第1章
第 61/100 問 | ← 第1章
ある企業は、AWS Organizations内の組織に属するAWSアカウントでアプリケーションを実行しています。これらのアプリケーションは、Amazon EC2インスタンスおよびAmazon S3を使用しています。 同社は、自社のAWSアカウントおよびAWS Organizationsで作成されたすべてのAWSアカウントにおいて、侵害された可能性のあるEC2インスタンス、疑わしいネットワーク活動、異常なAPI活動を検出したいと考えています。検出されたイベントに対し、関連するAmazon Simple Notification Service(Amazon SNS)トピックを使用して、運用サポートチームに通知を送信し、調査および是正措置を実施したいと考えています。 AWSのベストプラクティスに従う場合、これらの要件を満たすソリューションはどれですか?
- A. 組織のマスターアカウントで、Amazon GuardDutyの管理者アカウントとしてAWSアカウントを設定します。GuardDuty管理者アカウントで、企業の既存のAWSアカウントをメンバーとしてGuardDutyに追加します。GuardDuty管理者アカウントで、イベントパターンを使用してAmazon EventBridgeルールを作成し、GuardDutyイベントに一致するものをSNSトピックに転送します。 ✓
- B. 組織のマスターアカウントで、Amazon GuardDutyが新規AWSアカウントを招待によって追加できるよう設定し、既存のAWSアカウントに招待を送信します。GuardDuty招待を受け入れ、Amazon EventBridgeルールを作成するAWS CloudFormationスタックセットを作成します。イベントパターンでルールを設定し、GuardDutyイベントに一致するものをSNSトピックに転送します。CloudFormationスタックセットを組織内のすべてのAWSアカウントに展開するよう設定します。
- C. 組織のマスターアカウントで、AWS CloudTrail組織トレースを作成します。組織内のすべてのAWSアカウントで組織トレースを有効化します。組織内の各アカウントでVPCフローログを有効化するSCPを作成します。組織全体でAWS Security Hubを設定します。イベントパターンを使用してAmazon EventBridgeルールを作成し、Security Hubイベントに一致するものをSNSトピックに転送します。
- D. 組織のマスターアカウントで、AWS CloudTrail管理者アカウントとしてAWSアカウントを設定します。CloudTrail管理者アカウントでCloudTrail組織トレースを作成します。企業の既存のAWSアカウントを組織トレースに追加します。組織内の各アカウントでVPCフローログを有効化するSCPを作成します。組織全体でAWS Security Hubを設定します。イベントパターンを使用してAmazon EventBridgeルールを作成し、Security Hubイベントに一致するものをSNSトピックに転送します。
正解: A. 組織のマスターアカウントで、Amazon GuardDutyの管理者アカウントとしてAWSアカウントを設定します。GuardDuty管理者アカウントで、企業の既存のAWSアカウントをメンバーとしてGuardDutyに追加します。GuardDuty管理者アカウントで、イベントパターンを使用してAmazon EventBridgeルールを作成し、GuardDutyイベントに一致するものをSNSトピックに転送します。
解説
「GuardDuty管理者アカウントで、イベントパターンを使用してAmazon EventBridgeルールを作成し、GuardDutyイベントに一致するものをSNSトピックに転送する。」が正しい解答です。