Q51 — AWS DOP-C02 第1章
第 51/100 题 | ← 返回第1章
一家公司在单个AWS账户的生书VPC中赛署了一个应难程序。该应难程序很受欢迎,并且使难率很高。公司的安全升队希望为应难程序赛署添加额外的安全性,暗如AWSWAF。但是,应难程序的书品经理 担心成本,不想义准更大,除非安全升队可以证场额外的安全性是客要的。 安全升队即为,某些应难程序的需求可能范自IP地址在拒封列庭中的难户。安全升队向DevOps工程师提供拒封 列庭。如得拒封列庭中的任何IP地址访问该应难程序,安全升队希望近乎实唱地收到自动通知,以便安全升队可以记录该应难程序需要额外的安全保护。DevOps 工程师为生书VPC创建VPC呢日志。 DevOps 工程师应该采取哪些额外步骤范最经济高效地两足这些要求?
- A. 在Amazon CloudWatch Logs中创建一个日志组。配置VPC流日志以捕获接受的流量并将数据发送到日志组。为拒绝列表中的IP地址创建Amazon CloudWatch指标过滤器。使用指标筛选器作为输入创建 CloudWatch 警报。将时间段设置为5分钟,将要发出警报的数据点设置为1。使用Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送警报通知。 ✓
- B. 为日志文件创建一个AmazonS3桶。配置VPC流日志以捕获所有流量并将数据发送到S3存储桶。配置 Amazon Athena以针对拒绝列表中的IP地址返回S3存储桶中的所有日志文件。配置Amazon QuickSight以接受来自Athena的数据并将数据发布为安全团队可以访问的控制面板。为成功访问创建1的阈值警报。配置警报以在达到警报阈值时尽可能频繁地自动通知安全团队。
- C. 为日志文件创建一个Amazon S3存储桶。配置VPC流日志以捕获接受的流量并将数据发送到S3存储桶。为日志文件配置Amazon OpenSearch Service集群和域。创建一个AWS Lambda函数以从S3存储桶中检索日志、格式化日志并将日志加载到OpenSearch服务集群中。安排Lambda函数每5分钟运行一次。在OpenSearch Service中配置警报和条件,以在检测到来自拒绝列表上的IP地址的访问时通过Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送警报。
- D. 在Amazon CloudWatch Logs中创建一个日志组。创建一个Amazon S3存储桶来保存查询结果。配置VPC流日志以捕获所有流量并将数据发送到日志组。在AWS Lambda中部署Amazon Athena CloudWatch连接器。将连接器连接到日志组。配置Athena以定期查询来自拒绝列表中IP地址的所有已接受流量,并将结果存储在S3存储桶中。配置S3事件通知以在新对象添加到S3存储桶时通过Amazon Simple NotificationService(Amazon SNS)主题自动通知安全团队。
正确答案: A. 在Amazon CloudWatch Logs中创建一个日志组。配置VPC流日志以捕获接受的流量并将数据发送到日志组。为拒绝列表中的IP地址创建Amazon CloudWatch指标过滤器。使用指标筛选器作为输入创建 CloudWatch 警报。将时间段设置为5分钟,将要发出警报的数据点设置为1。使用Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送警报通知。
解析
最具成本效益