Q25 — AWS SCS-C02 第1章

第 25/100 問 | ← 第1章

ある企業のセキュリティエンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、またはAmazon Macieが高重大度のセキュリティ検出を生成した際に、メールアラートを受信したいと考えています。この企業は、すべてのアカウントを管理するためにAWS Control Towerを使用しています。また、すべてのAWSサービス統合を有効化した状態でAWS Security Hubも使用しています。 これらの要件を満たすソリューションのうち、最も少ない運用オーバーヘッドで実現できるものはどれですか?

正解: B. 高重大度のSecurity Hub検出イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。このルールを構成して、検出をターゲットのAmazon Simple Notification Service (Amazon SNS) トピックに送信します。目的のメールアドレスをSNSトピックにサブスクライブします。

解説

AWSサービス統合において、複数のセキュリティサービス(GuardDuty、IAM Access Analyzer、Macie)が高重大度のイベントを生成した場合、AWS Security Hubはデフォルトでこれらの結果を集約します。Amazon EventBridgeはSecurity Hubのイベントを直接サブスクライブ可能であり、ルールによる高重大度レベルのフィルタリングが可能です。選択肢Bは、単一のEventBridgeルールでSecurity Hubのイベントパターンをマッチさせ、SNS通知をトリガーするため、追加のコードやリソースの保守を必要とせず、最小運用オーバーヘッドの原則を満たします。他の選択肢はカスタムLambda、APIのポーリング、またはEC2インスタンスを含み、複雑性と管理コストを増加させます。AWS公式ドキュメントでは、Security HubとEventBridgeの統合により、コンプライアンスに準拠したセキュリティイベントを直接転送できることに言及されています。