Q5 — AWS DOP-C02 第2章
第 5/100 問 | ← 第2章
高度に規制された企業が、DevOpsエンジニアがAmazon EC2インスタンスにログインすることを、緊急時を除き禁止するポリシーを定めました。DevOpsエンジニアが実際にログインした場合、セキュリティチームには発生後15分以内に通知する必要があります。 この要件を満たすソリューションはどれですか?
- A. 各EC2インスタンスにAmazon Inspectorエージェントをインストールします。Amazon EventBridgeの通知をサブスクライブし、AWS Lambda関数を呼び出してメッセージがユーザーのログインに関連しているかを確認します。該当する場合は、Amazon SNSを使用してセキュリティチームに通知します。
- B. 各EC2インスタンスにAmazon CloudWatchエージェントをインストールします。エージェントを構成してすべてのログをAmazon CloudWatch Logsにプッシュし、CloudWatchメトリクスフィルターを設定してユーザーのログインを検索します。ログインが検出された場合は、Amazon SNSを使用してセキュリティチームに通知します。 ✓
- C. Amazon CloudWatch LogsでAWS CloudTrailを設定します。CloudWatch LogsをAmazon Kinesisにサブスクライブします。KinesisにAWS Lambda関数をアタッチしてログを解析し、ログにユーザーのログインが含まれているかを判定します。該当する場合は、Amazon SNSを使用してセキュリティチームに通知します。
- D. 各Amazon EC2インスタンスにスクリプトを設定し、すべてのログをAmazon S3にプッシュします。S3イベントを設定してAWS Lambda関数を呼び出し、その関数からAmazon Athenaクエリを実行します。Athenaクエリはログインをチェックし、Amazon SNSを使用して結果をセキュリティチームに送信します。
正解: B. 各EC2インスタンスにAmazon CloudWatchエージェントをインストールします。エージェントを構成してすべてのログをAmazon CloudWatch Logsにプッシュし、CloudWatchメトリクスフィルターを設定してユーザーのログインを検索します。ログインが検出された場合は、Amazon SNSを使用してセキュリティチームに通知します。
解説
xmexam.taobao.com