Q19 — AWS SCS-C02 第1章

第 19/100 题 | ← 返回第1章

一家公司已在其所有 AWS 区域启用 Amazon GuardDuty,作为其安全监控策略的一部分。该公司在一个 VPC 中托管了一个用作 FTP 服务器的 Amazon EC2 实例。大量来自多个位置的客户端连接该 FTP 服务器。 GuardDuty 因每小时发生的连接数量过高,将此活动识别为暴力破解攻击。 该公司已将该发现标记为误报,但 GuardDuty 仍持续发出该告警。一名安全工程师必须在不损害公司对潜在异常行为可见性的前提下,提高信噪比。 哪种解决方案可满足这些要求?

正确答案: C. 在 GuardDuty 中创建抑制规则,通过自动归档匹配指定条件的新发现来过滤告警。

解析

Amazon GuardDuty提供抑制规则功能,允许用户根据特定条件(如实例ID、IP地址、标签等)自动归档符合条件的发现,从而减少重复处理已知的误报。题目场景中,FTP服务器的正常流量被误判为暴力攻击,通过抑制规则可以过滤这些已知的合法流量触发的告警。选项C不会影响GuardDuty对其他潜在威胁的检测,仅对符合条件的告警静默处理。选项A关闭特定区域的FTP规则会降低整体监控能力;B信任IP列表不适用于动态客户端地址;D自动化删除告警会破坏审计追踪和可见性。GuardDuty官方文档推荐使用抑制规则管理误报以提高告警效率。