Q32 — AWS DOP-C02 第1章
第 32/100 题 | ← 返回第1章
一家公司在AWS Organizations中的组织中的AWS账户中运行应难程序。这些应难程 序使难Amazon EC2实暗和Amazon S3。 该公司希望在密现响AWS账户和公司未范创建的任何AWS账户中检测可能受损的EC2实暗、可疑网络过动和异 常API过动。当公司检测到密中一个事件唱,公司希望使难现响的Amazon Simple Notification Service(Amazon SNS)主题向密运愿支持升队发送通知以进行调查和补救。 根据AWS最佳实践,哪种解决方案将两足这些要求?
- A. 在组织的主账户中,配置一个AWS账户作为Amazon GuardDuty管理员账户。在GuardDuty管理员账户 中,将公司现有的AWS账户作为成员添加到GuardDuty。在GuardDuty管理员账户中,使用事件模式创建 Amazon EventBridge (Amazon CloudWatch Events)规则以匹配GuardDuty事件并将匹配事件转发到SNS 主题。
- B. 在组织的主账户中,配置Amazon GuardDuty通过邀请添加新创建的AWS账户,并向现有AWS账户发 送邀请。创建接受GuardDuty邀请的AWS CloudFormation 堆栈集并创建Amazon EventBridge(Amazon CloudWatch Events)规则。使用事件模式配置规则以匹配GuardDuty事件并将匹配事件转发到SNS主题。 配置CloudFormation 堆栈集以部署到组织中的所有AWS账户中。 ✓
- C. 在组织的主账户中,创建一个AWS CloudTrail组织跟踪。在组织中的所有AWS账户中激活组织跟踪。创 建一个SCP,在组织中的每个账户中启用VPC流日志为组织配置AWS Security Hub。使用事件模式创建 Amazon EventBridge(Amazon CloudWatch Events)规则以匹配Security Hub 事件并将匹配事件转发到SNS 主题。
- D. 在组织的主账户中,将AWS账户配置为AWS CloudTrail管理员账户。在CloudTrail管理员账户中,创 建CloudTrail组织跟踪。将公司现有的AWS账户添加到组织跟踪中。创建一个SCP,在组织中的每个账户 中启用VPC流日志。为组织配置AWS Security Hub。使用事件模式创建Amazon EventBridge(Amazon CloudWatch Events)规则以匹配Security Hub事件并将匹配事件转发到SNS主题。
正确答案: B. 在组织的主账户中,配置Amazon GuardDuty通过邀请添加新创建的AWS账户,并向现有AWS账户发 送邀请。创建接受GuardDuty邀请的AWS CloudFormation 堆栈集并创建Amazon EventBridge(Amazon CloudWatch Events)规则。使用事件模式配置规则以匹配GuardDuty事件并将匹配事件转发到SNS主题。 配置CloudFormation 堆栈集以部署到组织中的所有AWS账户中。
解析
选项B描述了使用AmazonGuardDuty来检测可能受损的EC2实例、可疑网络活动和异常API活动,并将这些事件通过AmazonEventBridge转发到SNS主题,这符合题目中的要求。GuardDuty是一个威胁检测服务,可以持续监控恶意活动,并将发现的安全事件发送到AmazonEventBridge。通过创建CloudFormation堆栈集,可以确保新创建的AWS账户也能自动加入GuardDuty的监控,并通过EventBridge规则将事件转发到SNS主题,以便运营支持团队进行调查和补救。因此,B选项是正确的解决方案。 查看全部