Q19 — AWS SCS-C02 第1章
第 19/100 問 | ← 第1章
ある企業は、セキュリティ監視戦略の一環として、すべてのAWSリージョンでAmazon GuardDutyを有効化しています。同社はVPC内に、FTPサーバーとして機能するAmazon EC2インスタンスをホストしています。多数の場所から多数のクライアントがFTPサーバーにアクセスしています。 GuardDutyは、1時間あたりの接続数が非常に多いため、この活動をブルートフォース攻撃として検出しています。 同社はこの検出結果を誤検知としてフラグ付けしましたが、GuardDutyは引き続きこの問題を報告しています。セキュリティエンジニアは、潜在的な異常な動作に対する可視性を損なうことなく、シグナル対ノイズ比を向上させる必要があります。 これらの要件を満たすソリューションはどれですか?
- A. FTPサーバーがデプロイされているリージョンで、GuardDutyのFTPルールを無効化します。
- B. FTPサーバーを信頼済みIPリストに追加し、そのリストをGuardDutyに展開して通知の受信を停止します。
- C. GuardDutyで抑制ルールを作成し、指定された条件に一致する新しい検出結果を自動的にアーカイブすることで検出結果をフィルタリングします。 ✓
- D. 新しい検出が報告されるたびに検出結果を削除する適切な権限を持つAWS Lambda関数を作成します。
正解: C. GuardDutyで抑制ルールを作成し、指定された条件に一致する新しい検出結果を自動的にアーカイブすることで検出結果をフィルタリングします。
解説
Amazon GuardDutyは、特定の条件(例:インスタンスID、IPアドレス、タグなど)に基づいて検出結果を自動的にアーカイブする抑制ルール機能を提供しており、既知の誤検知を減らすことができます。本シナリオでは、FTPサーバーの通常のトラフィックがブルートフォース攻撃として誤判定されており、抑制ルールを用いることで、このような合法なトラフィックによってトリガーされるアラートをフィルタリングできます。オプションCは、GuardDutyによる他の潜在的脅威の検出能力を損なわず、条件に合致するアラートのみを静黙化します。オプションAは特定リージョンのFTPルールを無効化するため全体的な監視能力が低下し、Bは動的なクライアントIPアドレスには適用できず、Dはアラートの自動削除により監査追跡および可視性が損なわれます。GuardDutyの公式ドキュメントでは、誤検知の管理には抑制ルールの使用が推奨されています。