典型的考试题目,非常容易记忆,如果你能识别出用例模式,那就更容易了:
数字月亮咖啡馆(Digital Café Luna)希望如果 AWS 账户根用户在 10 分钟内超过三次控制台登录尝试失败,则通知安全运营团队。安全团队希望从 CloudTrail 日志数据生成基于阈值的警报,并通知一个简单通知服务(SNS)主题。
哪种解决方案能满足这些要求?
A. 配置 AWS Config 以检测失败的根用户登录尝试,并向 SNS 主题发送通知。
B. 配置 CloudTrail 将日志发送到 CloudWatch Logs,为失败的根用户控制台登录尝试创建指标过滤器,创建一个在 10 分钟内阈值大于 3 的 CloudWatch 警报,并通知一个 SNS 主题。
C. 配置 Amazon GuardDuty 以检测失败的根用户登录尝试,并将发现结果直接发送到 SNS 主题。
D. 配置 IAM Access Analyzer 以检测失败的根用户身份验证尝试,并触发 EventBridge 规则。
✅ 正确答案:B
这个问题有几个关键点可以帮助我们要识别答案:
- 想要检测超过三次失败的尝试。
- 评估窗口为 10 分钟。
- 警报由 CloudTrail 日志触发。
- 通知必须通过 AWS SNS 送达。
模式几乎自动显现:
CloudTrail → CloudWatch Logs → 指标过滤器 → CloudWatch 警报 → SNS
CloudTrail 记录控制台登录事件,然后这些事件到达 CloudWatch Logs。在那里,我们可以创建一个指标过滤器来搜索失败的登录尝试,将其转换为指标,创建警报并通过 AWS SNS 进行通知。就这样完成了。
为什么其他选项不正确?
A: AWS Config 不是这种情况下的最佳选择,AWS Config 更适合评估资源配置和合规性。
C: GuardDuty 与这种模式毫不相干,它更适合检测可疑活动并生成发现结果。
D: IAM Access Analyzer 也不适用于此场景,其重点是分析访问权限和策略等其他事项。
让我们开始吧。
在此之前,请注意技术细节:在实际环境中,这种模式的数据源是 CloudTrail,它将事件发送到 CloudWatch Logs。仅出于本实验的目的,我们不会尝试真正失败地登录根用户账户,最好是在实验室日志组内模拟具有类似 CloudTrail 结构的事件。这样我们可以在不触及或危及你的根账户以及我的账户的情况下验证逻辑!!!哈哈。
首先,我们将位置定位在我们的实验室区域:us-east-1(美国东部(弗吉尼亚北部)),这类问题属于 AWS 认证安全 – 专业级 (SCS-C03) 认证中的监控、检测和响应主题。
再次强调,由于我们正在专业化操作,我们将尽可能通过命令行界面(CLI)进行。
步骤 1 — 准备实验室变量
REGION="us-east-1"
LAB_ID="scs-root-login-alarm"
LOG_GROUP="/aws/lab/${LAB_ID}"
LOG_STREAM="simulated-cloudtrail-events"
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
