Q25 — AWS SCS-C02 第1章
第 25/100 問 | ← 第1章
ある企業のセキュリティエンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、またはAmazon Macieが高重大度のセキュリティ検出を生成した際に、メールアラートを受信したいと考えています。この企業は、すべてのアカウントを管理するためにAWS Control Towerを使用しています。また、すべてのAWSサービス統合を有効化した状態でAWS Security Hubも使用しています。 これらの要件を満たすソリューションのうち、最も少ない運用オーバーヘッドで実現できるものはどれですか?
- A. GuardDuty、IAM Access Analyzer、Macieそれぞれに対して個別のAWS Lambda関数を設定し、各サービスのパブリックAPIを呼び出して高重大度の検出を取得します。Amazon Simple Notification Service (Amazon SNS) を使用してメールアラートを送信します。Amazon EventBridgeルールを作成し、スケジュールに基づいてこれらの関数を呼び出します。
- B. 高重大度のSecurity Hub検出イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。 ✓
- C. 高重大度のAWS Control Towerイベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。
- D. Amazon EC2上でアプリケーションをホストし、GuardDuty、IAM Access Analyzer、MacieのAPIを呼び出します。アプリケーション内でAmazon Simple Notification Service (Amazon SNS) APIを使用して高重大度の検出を取得し、SNSトピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。
正解: B. 高重大度のSecurity Hub検出イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。
解説
AWSサービス統合において、複数のセキュリティサービス(GuardDuty、IAM Access Analyzer、Macie)が高重大度のイベントを生成した場合、AWS Security Hubはデフォルトでこれらの結果を集約します。Amazon EventBridgeはSecurity Hubのイベントを直接サブスクライブ可能であり、ルールによる高重大度レベルのフィルタリングが可能です。選択肢Bは、単一のEventBridgeルールでSecurity Hubのイベントパターンをマッチさせ、SNS通知をトリガーするため、追加のコードやリソースの保守を必要とせず、最小運用オーバーヘッドの原則を満たします。他の選択肢はカスタムLambda、APIのポーリング、またはEC2インスタンスを含み、複雑性と管理コストを増加させます。AWS公式ドキュメントでは、Security HubとEventBridgeの統合により、コンプライアンスに準拠したセキュリティイベントを直接転送できることに言及されています。