A company has an AWS account that hosts a production application. The company receives an email notification that Amazon GuardDuty has detected an Impact:IAMUser/AnomalousBehavior finding in the account. A security engineer needs to run the investigation playbook for this security incident and must collect and analyze the information without affecting the application. Which solution will meet these requirements MOST quickly?
A. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding for details about the IAM credentials that were used. Use the IAM console to add a DenyAll policy to the IAM principal.
B. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding to determine which API calls initiated the finding. Use Amazon Detective to review the API calls in context.
C. Log in to the AWS account by using administrator credentials. Review the GuardDuty finding for details about the IAM credentials that were used. Use the IAM console to add a DenyAll policy to the IAM principal.
D. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding to determine which API calls initiated the finding. Use AWS CloudTrail Insights and AWS CloudTrail Lake to review the API calls in context.
B
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
? 題干翻譯
某公司在 AWS 賬戶中托管了一個生產環境應用。該公司收到一封電子郵件通知,稱 Amazon GuardDuty 檢測到賬戶中存在一個 Impact:IAMUser/AnomalousBehavior(IAM 用戶異常行為)的安全事件。安全工程師需要運行該安全事件的調查劇本(playbook),并在不影響生產應用的前提下快速收集和分析信息。以下哪個解決方案能最快滿足需求?
? 問題概括
調查 GuardDuty 檢測到的 IAM 用戶異常行為,不能影響生產應用(即不能直接修改權限或中斷服務),快速完成調查(優先選擇自動化或低侵入性工具)。
GuardDuty 是實時威脅檢測服務,會生成安全事件(Finding)并附帶上下文(如 API 調用、IP 地址等)。調查需要分析異常行為的上下文(如誰在何時調用了什么 API),而非直接阻斷(阻斷可能影響應用)。調查應使用只讀權限,避免誤操作。
? 技術分析
GuardDuty 會提供異常行為的詳細信息。包括:涉及的 IAM 用戶 / 角色,觸發事件的 API 調用(如 ConsoleLogin、S3:PutObject 等),源 IP 地址、時間戳等。
Amazon Detective 專為安全調查設計,能自動聚合 GuardDuty、CloudTrail、VPC Flow Log 等數據,提供可視化時間線、攻擊路徑分析等,無需編寫查詢或修改權限。
A. 不正確。使用只讀憑證登錄 AWS 賬戶。查看 GuardDuty 事件詳情,確定使用的 IAM 憑證。通過 IAM 控制臺為該 IAM 主體添加 DenyAll 策略。添加 DenyAll 策略會立即阻斷用戶訪問,可能導致生產應用中斷(如該用戶是應用運行所需的服務賬號)。
B. 正確。使用只讀憑證登錄 AWS 賬戶。查看 GuardDuty 事件,確定觸發事件的 API 調用。使用 Amazon Detective 審查 API 調用的上下文。只讀權限安全無風險。
Amazon Detective 自動關聯 GuardDuty 和 CloudTrail 數據,提供可視化分析,最快完成調查。
C. 不正確。使用管理員憑證登錄 AWS 賬戶。查看 GuardDuty 事件詳情,確定使用的 IAM 憑證。通過 IAM 控制臺為該 IAM 主體添加 DenyAll 策略。使用管理員憑證違反最低權限原則,增加誤操作風險。
添加 DenyAll 策略會阻斷用戶,影響生產。
D. 不正確。使用只讀憑證登錄 AWS 賬戶。查看 GuardDuty 事件,確定觸發事件的 API 調用。使用 AWS CloudTrail Insight 和 AWS CloudTrail Lake 審查 API 調用的上下文。CloudTrail Insight 和 Lake 需手動編寫查詢,效率低于 Amazon Detective。調查速度較慢,不符合“最快”要求。