SCS-C02#1(threat-detection)

セキュリティエンジニアは、Amazon GuardDuty を組織で初めて有効化しました。最初のスキャンで CryptoCurrency:EC2/BitcoinTool.B!DNS という検出結果が単一の本番 EC2 インスタンスから出力されています。エンジニアはこの検出結果に対して、フォレンジック証拠を保全しつつ、最小限の運用負荷で初期対応を実施したいと考えています。

どの対応が最も適切でしょうか。

A. 対象 EC2 を直ちに停止して EBS ボリュームをデタッチし、別の調査用アカウントへ手動でコピーします。
B. GuardDuty の抑制ルールに当該 finding type を追加して通知を停止し、本番影響を回避します。
C. 対象 EC2 を隔離 SG に切替えて EBS スナップショットを取得し、調査用 AMI を別途作成して保全します。
D. AWS Config を使用して当該インスタンスの設定履歴のみ取得し、影響範囲を判断します。同時に、各リソースのタグ情報も照合した上で対応の優先順位を決定します。

正解と解説ディスカッション 0

正解：C

正解の根拠

CryptoCurrency 系の検出は、インスタンスがビットコインプール等と通信していることを示すマルウェア感染の強い兆候です。AWS のインシデント対応ベストプラクティスでは、揮発メモリと非揮発メモリを保全しつつ、インスタンスは稼働させたまま隔離 SG へ切り替え、EBS スナップショットを取得します。

不正解の理由

A: 即時停止により揮発メモリが破棄されてしまい、フォレンジック証拠の重要部分を失う行為です。
B: 抑制ルールは誤検知への対応手段であり、真の脅威に対して使用するのは不適切な運用判断です。
D: Config は構成変更履歴の記録を主目的としており、マルウェア感染対応の主要手段にはなりません。

参考：GuardDuty findings types

SCS-C02#1(threat-detection)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル