Q23 — AWS SCS-C02 第1章
第 23/100 题 | ← 返回第1章
一家公司使用 AWS Organizations,并在多个 AWS 账户中运行生产工作负载。一名安全工程师需要设计一种解决方案,以主动监控所有包含生产工作负载的账户中的可疑行为。 该解决方案必须在生产账户中自动修复事件。此外,当检测到关键安全发现时,该解决方案必须向 Amazon Simple Notification Service(Amazon SNS)主题发布通知。同时,该解决方案必须将所有安全事件日志发送到一个专用账户。 哪种解决方案可满足这些要求?
- A. 在每个生产账户中启用 Amazon GuardDuty。在专用日志账户中,聚合来自每个生产账户的所有 GuardDuty 日志。通过配置 GuardDuty 直接调用 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。
- B. 在每个生产账户中启用 AWS Security Hub。在专用日志账户中,聚合来自每个生产账户的所有 Security Hub 发现。使用 AWS Config 和 AWS Systems Manager 修复事件。配置 Systems Manager 也向 SNS 主题发布通知。
- C. 在每个生产账户中启用 Amazon GuardDuty。在专用日志账户中,聚合来自每个生产账户的所有 GuardDuty 日志。使用 Amazon EventBridge 根据 GuardDuty 发现调用自定义 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。 ✓
- D. 在每个生产账户中启用 AWS Security Hub。在专用日志账户中,聚合来自每个生产账户的所有 Security Hub 发现。使用 Amazon EventBridge 根据 Security Hub 发现调用自定义 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。
正确答案: C. 在每个生产账户中启用 Amazon GuardDuty。在专用日志账户中,聚合来自每个生产账户的所有 GuardDuty 日志。使用 Amazon EventBridge 根据 GuardDuty 发现调用自定义 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。
解析
在每个生产账户启用Amazon GuardDuty可主动监测可疑行为,通过在专用日志账户聚合各生产账户的GuardDuty日志实现集中管理。利用Amazon EventBridge响应GuardDuty发现的安全事件,触发自定义Lambda函数实现自动修复,该Lambda函数同时向SNS主题发布关键安全发现通知,满足监控、自动修复、通知及日志集中需求。