Q47 — AWS SCS-C02 第1章

第 47/100 题 | ← 返回第1章

一家公司怀疑攻击者利用过度宽松的角色从Amazon EC2实例元数据中导出凭证。该公司使用Amazon GuardDuty和AWS Audit Manager。该公司已为其所有AWS账户启用了AWS CloudTrail日志记录和Amazon CloudWatch日志记录。一名安全工程师必须确定这些凭证是否被用于从外部账户访问公司的资源。

正确答案: A. 查看GuardDuty发现结果,查找InstanceCredentialExfiltration事件。

解析

Amazon GuardDuty的InstanceCredentialExfiltration事件类型专门用于检测从EC2实例元数据中不当导出凭证的行为,包括凭证被外部AWS账户使用的场景。AWS官方文档明确说明GuardDuty能识别此类异常活动并生成对应安全发现结果。选项B的Audit Manager侧重合规性评估而非实时威胁检测。选项C和D涉及的CloudTrail/CloudWatch日志需手动筛选特定API调用,无法直接关联凭证泄露后的外部账户使用行为。选项A直接对应凭证泄露场景的自动化威胁检测能力。