Q30 — AWS ANS-C01 第1章
第 30/100 题 | ← 返回第1章
一家公司在VPC中部署了一个应用程序,该应用程序使用NAT网关进行出站互联网流量。网络工程师注意到大量可疑网络流量正通过互联网从VPC流向一个拒绝列表中包含的IP地址。网络工程师必须实施一种解决方案,以确定哪些AWS资源正在生成这些可疑流量。该解决方案必须最小化成本和管理开销。
- A. 在VPC中启动一台Amazon EC2实例。使用流量镜像,指定NAT网关为源、EC2实例为目标。使用开源工具分析捕获的流量,以识别生成可疑流量的AWS资源。
- B. 使用VPC流日志。在VPC中部署一套安全信息与事件管理(SIEM)解决方案。配置该SIEM解决方案以接收VPC流日志。在SIEM解决方案中运行查询,以识别生成可疑流量的AWS资源。
- C. 使用VPC流日志。将流日志发布到Amazon CloudWatch Logs中的日志组。使用CloudWatch Logs Insights查询流日志,以识别生成可疑流量的AWS资源。 ✓
- D. 配置VPC直接将网络流量流式传输至Amazon Kinesis数据流。将Kinesis数据流中的数据发送至Amazon Kinesis Data Firehose交付流,以将数据存储在Amazon S3中。使用Amazon Athena查询数据,以识别生成可疑流量的AWS资源。
正确答案: C. 使用VPC流日志。将流日志发布到Amazon CloudWatch Logs中的日志组。使用CloudWatch Logs Insights查询流日志,以识别生成可疑流量的AWS资源。
解析
在解决此问题时,目标是确定哪个AWS资源正在生成可疑流量,同时要求解决方案成本最低且管理开销最小。A选项通过EC2实例和流量镜像来捕获和分析流量,但这种方法增加了额外的EC2成本和管理复杂性。B选项使用VPC流日志和SIEM解决方案,虽然有效,但SIEM解决方案的部署和配置可能增加成本和复杂性。C选项使用VPC流日志并将其发布到CloudWatch Logs,然后使用CloudWatch Logs Insights进行查询。这种方法既经济又高效,因为CloudWatch Logs Insights提供了强大的查询能力来分析流量日志,且无需额外部署复杂的SIEM系统。D选项虽然使用了Kinesis和Athena等高级服务,但这种方法在成本和管理复杂性上可能更高,不适合最小化成本和开销的要求。因此,C选项是最佳选择。