Q19 — AWS SCS-C02 第1章

第 19/100 問 | ← 第1章

ある企業は、セキュリティ監視戦略の一環として、すべてのAWSリージョンでAmazon GuardDutyを有効化しています。同社はVPC内に、FTPサーバーとして機能するAmazon EC2インスタンスをホストしています。多数の場所から多数のクライアントがFTPサーバーにアクセスしています。 GuardDutyは、1時間あたりの接続数が非常に多いため、この活動をブルートフォース攻撃として検出しています。 同社はこの検出結果を誤検知としてフラグ付けしましたが、GuardDutyは引き続きこの問題を報告しています。セキュリティエンジニアは、潜在的な異常な動作に対する可視性を損なうことなく、シグナル対ノイズ比を向上させる必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. GuardDutyで抑制ルールを作成し、指定された条件に一致する新しい検出結果を自動的にアーカイブすることで検出結果をフィルタリングします。

解説

Amazon GuardDutyは、特定の条件(例:インスタンスID、IPアドレス、タグなど)に基づいて検出結果を自動的にアーカイブする抑制ルール機能を提供しており、既知の誤検知を減らすことができます。本シナリオでは、FTPサーバーの通常のトラフィックがブルートフォース攻撃として誤判定されており、抑制ルールを用いることで、このような合法なトラフィックによってトリガーされるアラートをフィルタリングできます。オプションCは、GuardDutyによる他の潜在的脅威の検出能力を損なわず、条件に合致するアラートのみを静黙化します。オプションAは特定リージョンのFTPルールを無効化するため全体的な監視能力が低下し、Bは動的なクライアントIPアドレスには適用できず、Dはアラートの自動削除により監査追跡および可視性が損なわれます。GuardDutyの公式ドキュメントでは、誤検知の管理には抑制ルールの使用が推奨されています。