Q47 — AWS SCS-C02 第1章

第 47/100 問 | ← 第1章

ある会社は、過剰な権限を持つロールを悪用して、Amazon EC2インスタンスメタデータから資格情報をエクスポートした攻撃者が存在すると疑っています。同社はAmazon GuardDutyおよびAWS Audit Managerを導入しており、すべてのAWSアカウントでAWS CloudTrailログおよびAmazon CloudWatchログを有効化しています。セキュリティエンジニアは、これらの資格情報が外部アカウントから会社のリソースにアクセスするために使用されたかどうかを特定する必要があります。 この情報を提供するソリューションはどれですか?

正解: A. GuardDutyの検出結果を確認し、InstanceCredentialExfiltrationイベントを探します。

解説

Amazon GuardDutyのInstanceCredentialExfiltrationイベントタイプは、EC2インスタンスメタデータから不適切に資格情報をエクスポートする行為を検出するために特化しており、特にその資格情報が外部AWSアカウントによって使用された場合も検出可能です。AWS公式ドキュメントでは、GuardDutyがこのような異常活動を識別し、対応するセキュリティ検出結果を生成することを明記しています。選択肢BのAudit Managerは、コンプライアンス評価に焦点を当てており、リアルタイムの脅威検出には対応していません。選択肢CおよびDで言及されるCloudTrail/CloudWatchログは、特定のAPI呼び出しを手動でフィルタリングする必要があり、資格情報漏洩後の外部アカウントによる使用行為を直接関連付けることはできません。選択肢Aは、資格情報漏洩シナリオにおける自動化された脅威検出機能に直接対応しています。