Q23 — AWS SCS-C02 第1章

第 23/100 問 | ← 第1章

ある企業はAWS Organizationsを使用しており、複数のAWSアカウントに本番ワークロードを展開しています。セキュリティエンジニアは、すべての本番ワークロードを含むアカウント全体で不審な動作を能動的に監視するソリューションを設計する必要があります。 このソリューションは、本番アカウント全体でのインシデントの自動修復を実行する必要があります。また、重大なセキュリティ検出が検知された際に、Amazon Simple Notification Service(Amazon SNS)トピックに通知を発行する必要があります。さらに、すべてのセキュリティインシデントログを専用アカウントに送信する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. 各本番アカウントでAmazon GuardDutyを有効化します。専用ログアカウントで、各本番アカウントからのすべてのGuardDutyログを集約します。Amazon EventBridgeを使用してGuardDutyの検出結果からカスタムAWS Lambda関数を呼び出してインシデントを修復します。Lambda関数がSNSトピックにも通知を発行するように設定します。

解説

各本番アカウントでAmazon GuardDutyを有効化することで、不審な動作を能動的に監視できます。専用ログアカウントで各本番アカウントのGuardDutyログを集中管理することで、一元的なログ管理が実現します。Amazon EventBridgeを用いてGuardDutyの検出結果に応答し、カスタムLambda関数を起動することで、自動修復を実現できます。このLambda関数は、同時にSNSトピックへ重大なセキュリティ検出の通知を発行するように設定でき、監視・自動修復・通知・ログ集中のすべての要件を満たします。