A company has enabled Amazon GuardDuty in all AWS Regions as part of its security monitoring strategy. In one of its VPCs, the company hosts an Amazon EC2 instance that works as an FTP server. A high number of clients from multiple locations contact the FTP server. GuardDuty identifies this activity as a brute force attack because of the high number of connections that happen every hour. The company has flagged the finding as a false positive, but GuardDuty continues to raise the issue. A security engineer must improve the signal-to-noise ratio without compromising the company's visibility of potential anomalous behavior.
Which solution will meet these requirements?
A. Disable the FTP rule in GuardDuty in the Region where the FTP server is deployed.
B. Add the FTP server to a trusted IP list. Deploy the list to GuardDuty to stop receiving the notifications.
C. Create a suppression rule in GuardDuty to filter findings by automatically archiving new findings that match the specified criteria.
D. Create an AWS Lambda function that has the appropriate permissions to delete the finding whenever a new occurrence is reported.
C
作為安全監(jiān)控策略的一部分,一家公司已在所有 AWS 區(qū)域啟用了 Amazon GuardDuty。在該公司的一個(gè)虛擬私有云(VPC)中,托管著一個(gè)用作 FTP 服務(wù)器的 Amazon EC2 實(shí)例。大量來自不同地點(diǎn)的客戶端與該 FTP 服務(wù)器進(jìn)行連接。由于每小時(shí)的連接數(shù)量眾多,GuardDuty 將此活動(dòng)識(shí)別為暴力攻擊。該公司已將該發(fā)現(xiàn)標(biāo)記為誤報(bào),但 GuardDuty 仍持續(xù)提出此問題。安全工程師必須在不影響公司對(duì)潛在異常行為可見性的前提下,提高信噪比。
本題核心是在 GuardDuty 持續(xù)誤報(bào) FTP 服務(wù)器正常連接為暴力攻擊的情況下,找到一種既能減少誤報(bào)(提高信噪比),又能保持對(duì)潛在異常行為監(jiān)控能力的解決方案。
Amazon GuardDuty:是一項(xiàng)智能威脅檢測(cè)服務(wù),持續(xù)監(jiān)控 AWS 環(huán)境,識(shí)別多種潛在威脅,如暴力攻擊、異常實(shí)例行為等。
信噪比:在安全監(jiān)控場(chǎng)景中,指有效安全事件(信號(hào))與誤報(bào)(噪聲)的比例。提高信噪比就是要降低誤報(bào)率,同時(shí)確保真實(shí)的安全事件不被遺漏。
技巧:排除明顯錯(cuò)誤選項(xiàng),在沒有明顯錯(cuò)誤的選項(xiàng)中選擇最合理的選項(xiàng)。
A. 不正確。在部署 FTP 服務(wù)器的區(qū)域中禁用 GuardDuty 的 FTP 相關(guān)規(guī)則。該方案禁用規(guī)則雖能阻止 GuardDuty 針對(duì)該 FTP 服務(wù)器連接發(fā)出誤報(bào),但也會(huì)使 GuardDuty 無法檢測(cè)與該 FTP 服務(wù)器相關(guān)的其他潛在威脅,降低了對(duì)潛在異常行為的可見性,不符合要求。
B. 不正確。將 FTP 服務(wù)器添加到可信 IP 列表,并將該列表部署到 GuardDuty 以停止接收通知。該方案單純將 IP 列為可信可能無法精準(zhǔn)處理誤報(bào),還可能帶來安全風(fēng)險(xiǎn),因?yàn)椴荒鼙WC這些 IP 的所有活動(dòng)都是安全無威脅的。
C. 正確。在 GuardDuty 中創(chuàng)建抑制規(guī)則,通過自動(dòng)歸檔符合指定標(biāo)準(zhǔn)的新發(fā)現(xiàn)來過濾發(fā)現(xiàn)結(jié)果。創(chuàng)建抑制規(guī)則可以根據(jù)特定的條件(如資源標(biāo)識(shí)、事件類型等),自動(dòng)將符合條件的誤報(bào)發(fā)現(xiàn)歸檔。這樣既能有效減少誤報(bào)帶來的干擾,又不會(huì)影響 GuardDuty 對(duì)其他潛在異常行為的檢測(cè),提高了信噪比,符合題目要求。
D. 不正確。創(chuàng)建一個(gè)具有適當(dāng)權(quán)限的 AWS Lambda 函數(shù),每當(dāng)有新的發(fā)現(xiàn)報(bào)告時(shí)刪除該發(fā)現(xiàn)。該方案使用 Lambda 函數(shù)直接刪除發(fā)現(xiàn)是一種比較粗暴的處理方式。雖然可以阻止誤報(bào)顯示,但很可能會(huì)誤刪一些真實(shí)的安全事件,導(dǎo)致公司無法及時(shí)察覺潛在的異常行為。