Q65 — AWS DOP-C02 第2章
第 65/100 問 | ← 第2章
ある企業は、積極的な開発を行うために1つのAWSアカウントを使用しています。セキュリティチームは、アカウント内にAmazon GuardDuty、AWS Config、およびAWS CloudTrailを導入しています。セキュリティチームは、GuardDutyの高重要度の調査結果について、ほぼリアルタイムで通知を受け取りたいと考えています。また、セキュリティチームは、アカウント内の他のセキュリティツールからの通知も受信するためにAmazon Simple Notification Service (Amazon SNS)トピックを使用しています。
- A. GuardDutyの結果を検出するAmazon EventBridge (Amazon CloudWatch Events)ルールを設定します。入力変換器を使用して高重要度イベントパターンを検出します。ルールを設定してメッセージをSNSトピックに公開します。
- B. GuardDutyの高重要度の結果のうち、AWS Configマネージドルール「guardduty-non-archived-Findings」に準拠していないものを検出するAmazon EventBridge (Amazon CloudWatch Events)ルールを設定します。EventBridge (CloudWatch Events)ルールを設定してメッセージをSNSトピックに公開します。
- C. GuardDuty ListFindings API呼び出しのうち、高重要度レベルを持つものに一致するイベントパターンを使用してAmazon EventBridge (Amazon CloudWatch Events)ルールを設定します。ルールを設定してメッセージをSNSトピックに公開します。
- D. イベント内で高重要度レベルを持つGuardDutyの結果に一致するイベントパターンを使用してAmazon EventBridge (Amazon CloudWatch Events)ルールを設定します。ルールを設定してメッセージをSNSトピックに公開します。 ✓
正解: D. イベント内で高重要度レベルを持つGuardDutyの結果に一致するイベントパターンを使用してAmazon EventBridge (Amazon CloudWatch Events)ルールを設定します。ルールを設定してメッセージをSNSトピックに公開します。
解説
GuardDutyは、検出された脅威の重要度レベル(severity)を含むイベントをAmazon EventBridgeに送信します。EventBridgeルールで、イベントペイロード内の「detail.severity」フィールドが高重要度(例:HIGHまたはCRITICAL)であることを条件にマッチさせることが可能です。これは、リアルタイムかつ正確な通知を実現する最も直接的かつ推奨される方法です。選択肢Aは入力変換器の使用を提案していますが、これは不必要な複雑さを追加し、単純なイベントパターンマッチングで十分です。選択肢BはAWS Configルールに依存しており、GuardDutyの検出結果を直接フィルタリングするものではありません。選択肢CはListFindings API呼び出しを前提としていますが、これはイベント駆動型ではなく、ポーリング方式でありリアルタイム性に劣ります。選択肢Dは、イベントペイロード内のGuardDuty結果の重要度を直接マッチさせる正しいアプローチです。