A security engineer needs to implement a solution to determine whether a company’s Amazon EC2 instances are being used to mine cryptocurrency. The solution must provide notifications of cryptocurrency-related activity to an Amazon Simple Notification Service (Amazon SNS) topic.
Which solution will meet these requirements?
A. Create AWS Config custom rules by using GuardDuty custom policy. Configure the AWS Config rules to detect when an EC2 instance queries a DNS domain name that is associated with cryptocurrency-related activity. Configure AWS Config to initiate alerts to the SNS topic.
B. Enable Amazon GuardDuty. Create an Amazon EventBridge rule to send alerts to the SNS topic when GuardDuty creates a finding that is associated with cryptocurrency-related activity.
C. Enable Amazon Inspector. Create an Amazon EventBridge rule to send alerts to the SNS topic when Amazon Inspector creates a finding that is associated with cryRtocurrency-related activity.
D. Enable VPC flow logs. Send the flow logs to an Amazon S3 bucket. Set up a query in Amazon Athena to detect when an EC2 instance queries a DNS domain name that is associated with cryptocurrency-related activity. Configure the Athena query to initiate alerts to the SNS topic.
B
一位安全工程師需要實施一個解決方案,以確定公司的亞馬遜彈性計算云(Amazon EC2)實例是否被用于挖掘加密貨幣。該解決方案必須向亞馬遜簡單通知服務(Amazon Simple Notification Service,Amazon SNS)主題提供與加密貨幣相關活動的通知。
哪些解決方案能滿足這些要求?
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。使用 Guard 自定義策略創建 AWS Config 自定義規則。配置 AWS Config 規則,以檢測 EC2 實例何時查詢與加密貨幣相關活動關聯的 DNS 域名。配置 AWS Config 向 SNS 主題發起警報。通過創建自定義規則能檢測特定 DNS 查詢,且可配置向 SNS 主題發警報,理論上可行,但需正確編寫 Guard 策略和配置規則。
B. 正確。啟用 Amazon GuardDuty。創建一個 Amazon EventBridge 規則,當 GuardDuty 創建與加密貨幣相關活動關聯的發現結果時,向 SNS 主題發送警報。GuardDuty 是專門威脅檢測服務,能檢測多種惡意活動,包括可能與加密貨幣挖礦相關的活動,通過 EventBridge 規則可方便地向 SNS 主題發送警報,是直接有效的方案。
C. 不正確。啟用 Amazon Inspector。創建一個 Amazon EventBridge 規則,當 Amazon Inspector 創建與加密貨幣相關活動關聯的發現結果時,向 SNS 主題發送警報。Amazon Inspector 主要針對應用程序安全評估,并非專門用于檢測加密貨幣挖礦活動,其發現結果與該需求關聯性不強。
D. 不正確。啟用 VPC 流量日志。將流量日志發送到 Amazon S3 存儲桶。在 Amazon Athena 中設置查詢,以檢測 EC2 實例何時查詢與加密貨幣相關活動關聯的 DNS 域名。配置 Athena 查詢向 SNS 主題發起警報。此方案可行涉及多個步驟和組件配置,相比其他方案,實施和維護成本較高。
AWS Config 服務:可用于創建自定義規則,通過配置規則能檢測特定活動,如 EC2 實例查詢特定 DNS 域名,并可發起警報到指定主題,符合檢測和通知需求。
Amazon GuardDuty 服務:是一項威脅檢測服務,能創建與特定活動關聯的發現結果,可通過創建 Amazon EventBridge 規則,在有相關發現時向 SNS 主題發送警報,實現檢測與通知功能。
Amazon Inspector 服務:主要用于評估應用程序的安全性,雖能創建發現結果,但重點并非針對加密貨幣挖礦活動的檢測,不過通過創建規則也可實現向 SNS 主題發送相關警報。
VPC 流量日志服務:記錄 VPC 內的流量信息,將日志發送到 S3 存儲桶后,可通過 Amazon Athena 設置查詢來檢測特定活動,并配置查詢發起警報到 SNS 主題,但過程相對復雜。